AWS Secrets Manager

O AWS Secrets Manager é projetado para eliminar o uso de segredos codificados em aplicativos, substituindo-os por uma chamada de API. Este serviço serve como um repositório centralizado para todos os seus segredos, garantindo que sejam gerenciados de forma uniforme em todos os aplicativos.

O gerenciador simplifica o processo de rotação de segredos, melhorando significativamente a postura de segurança de dados sensíveis, como credenciais de banco de dados. Além disso, segredos como chaves de API podem ser rotacionados automaticamente com a integração de funções lambda.

O acesso aos segredos é controlado de forma rigorosa por meio de políticas detalhadas baseadas em identidade IAM e políticas baseadas em recursos.

Para conceder acesso a segredos a um usuário de uma conta AWS diferente, é necessário:

1. Autorizar o usuário a acessar o segredo.

2. Conceder permissão ao usuário para descriptografar o segredo usando o KMS.

3. Modificar a política da chave para permitir que o usuário externo a utilize.

O AWS Secrets Manager se integra ao AWS KMS para criptografar seus segredos dentro do AWS Secrets Manager.

Enumeração

aws secretsmanager list-secrets #Get metadata of all secrets
aws secretsmanager list-secret-version-ids --secret-id <secret_name> # Get versions
aws secretsmanager describe-secret --secret-id <secret_name> # Get metadata
aws secretsmanager get-secret-value --secret-id <secret_name> # Get value
aws secretsmanager get-secret-value --secret-id <secret_name> --version-id <version-id> # Get value of a different version
aws secretsmanager get-resource-policy --secret-id --secret-id <secret_name>

Privesc

Pós-Exploração

Persistência