KMS

Informações sobre KMS:

Note que no KMS as permissões não são apenas herdadas de Organizações, Pastas e Projetos, mas também de Keyrings.

cloudkms.cryptoKeyVersions.useToDecrypt

Você pode usar esta permissão para descriptografar informações com a chave sobre a qual você tem essa permissão.

gcloud kms decrypt \
--location=[LOCATION] \
--keyring=[KEYRING_NAME] \
--key=[KEY_NAME] \
--version=[KEY_VERSION] \
--ciphertext-file=[ENCRYPTED_FILE_PATH] \
--plaintext-file=[DECRYPTED_FILE_PATH]

cloudkms.cryptoKeys.setIamPolicy

Um atacante com essa permissão poderia conceder a si mesmo permissões para usar a chave para descriptografar informações.

gcloud kms keys add-iam-policy-binding [KEY_NAME] \
--location [LOCATION] \
--keyring [KEYRING_NAME] \
--member [MEMBER] \
--role roles/cloudkms.cryptoKeyDecrypter

cloudkms.cryptoKeyVersions.useToDecryptViaDelegation

Aqui está uma explicação conceitual de como essa delegação funciona:

1. Service Account A tem acesso direto para descriptografar usando uma chave específica no KMS.

2. Service Account B recebe a permissão useToDecryptViaDelegation. Isso permite que ela solicite ao KMS para descriptografar dados em nome do Service Account A.

O uso desta permissão é implícito na forma como o serviço KMS verifica as permissões quando uma solicitação de descriptografia é feita.

Quando você faz uma solicitação de descriptografia padrão usando a API do Google Cloud KMS (em Python ou outra linguagem), o serviço verifica se a service account solicitante possui as permissões necessárias. Se a solicitação for feita por uma service account com a permissão useToDecryptViaDelegation, o KMS verifica se esta conta está autorizada a solicitar descriptografia em nome da entidade que possui a chave.

Configurando para Delegação

1. Defina o Custom Role: Crie um arquivo YAML (por exemplo, custom_role.yaml) que define o custom role. Este arquivo deve incluir a permissão cloudkms.cryptoKeyVersions.useToDecryptViaDelegation. Aqui está um exemplo de como este arquivo pode parecer:

title: "KMS Decryption via Delegation"
description: "Allows decryption via delegation"
stage: "GA"
includedPermissions:
- "cloudkms.cryptoKeyVersions.useToDecryptViaDelegation"

2. Criar o Papel Personalizado Usando o gcloud CLI: Use o seguinte comando para criar o papel personalizado no seu projeto Google Cloud:

gcloud iam roles create kms_decryptor_via_delegation --project [YOUR_PROJECT_ID] --file custom_role.yaml

Substitua [YOUR_PROJECT_ID] pelo ID do seu projeto Google Cloud.

3. Conceder a Função Personalizada a uma Conta de Serviço: Atribua sua função personalizada a uma conta de serviço que usará essa permissão. Use o seguinte comando:

# Give this permission to the service account to impersonate
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[SERVICE_ACCOUNT_B_EMAIL]" \
--role "projects/[PROJECT_ID]/roles/[CUSTOM_ROLE_ID]"

# Give this permission over the project to be able to impersonate any SA
gcloud projects add-iam-policy-binding [YOUR_PROJECT_ID] \
--member="serviceAccount:[SERVICE_ACCOUNT_EMAIL]" \
--role="projects/[YOUR_PROJECT_ID]/roles/kms_decryptor_via_delegation"

Substitua [YOUR_PROJECT_ID] e [SERVICE_ACCOUNT_EMAIL] pelo seu ID de projeto e pelo email da conta de serviço, respectivamente.