GCP - KMS Privesc
KMS
Maelezo kuhusu KMS:
pageGCP - KMS EnumTafadhali kumbuka kuwa katika KMS idhini si tu zinarithiwa kutoka kwa Mashirika, Makabrasha na Miradi lakini pia kutoka kwa Vidole za Kufungia.
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToDecrypt
Unaweza kutumia idhini hii kwa kufichua habari na ufunguo ambao una idhini hii juu yake.
cloudkms.cryptoKeys.setIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Mshambuliaji mwenye ruhusa hii anaweza kujipa ruhusa ya kutumia ufunguo kufanya decryption ya taarifa.
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
Hapa kuna maelezo ya dhana ya jinsi uteuzi huu unavyofanya kazi:
Akaunti ya Huduma A ina ufikiaji wa moja kwa moja wa kufuta kwa kutumia funguo maalum katika KMS.
Akaunti ya Huduma B imepewa ruhusa ya
useToDecryptViaDelegation
. Hii inaruhusu kuomba KMS kufuta data kwa niaba ya Akaunti ya Huduma A.
Matumizi ya ruhusa hii ni ya dhahiri katika jinsi huduma ya KMS inavyochunguza ruhusa wakati ombi la kufuta linapofanywa.
Unapofanya ombi la kufuta la kawaida kwa kutumia API ya Google Cloud KMS (kwa Python au lugha nyingine), huduma huchunguza ikiwa akaunti ya huduma inayotaka ina ruhusa zinazohitajika. Ikiwa ombi linafanywa na akaunti ya huduma na ruhusa ya useToDecryptViaDelegation
, KMS huthibitisha ikiwa akaunti hii inaruhusiwa kuomba kufuta kwa niaba ya kitengo kinachomiliki funguo.
Kuweka Kwa Uteuzi
Tambulisha Jukumu la Desturi: Unda faili ya YAML (k.m.,
custom_role.yaml
) ambayo inatambulisha jukumu la desturi. Faili hii inapaswa kujumuisha ruhusa yacloudkms.cryptoKeyVersions.useToDecryptViaDelegation
. Hapa kuna mfano wa jinsi faili hii inavyoweza kuonekana:
Unda Jukumu la Kipekee Kwa Kutumia gcloud CLI: Tumia amri ifuatayo kuunda jukumu la kipekee katika mradi wako wa Google Cloud:
Badilisha [YOUR_PROJECT_ID]
na Kitambulisho cha Mradi wako wa Google Cloud.
Wapa Jukumu la Desturi kwa Akaunti ya Huduma: Weka jukumu lako la desturi kwa akaunti ya huduma itakayotumia ruhusa hii. Tumia amri ifuatayo:
Badilisha [YOUR_PROJECT_ID]
na [SERVICE_ACCOUNT_EMAIL]
na kitambulisho cha mradi wako na barua pepe ya akaunti ya huduma, mtawalia.
Last updated