gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 03:16:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-kms-enum

Browse Source
This commit is contained in:
Translator
2025-07-07 09:57:55 +00:00
parent b1451a80c7
commit 2ca5afbbe0
2 changed files with 9 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

14
src/pentesting-cloud/aws-security/aws-services/aws-kms-enum.md
View File

@@ -14,7 +14,7 @@ KMS 是一种 **区域特定服务**。
**客户主密钥** (CMK):可以加密最大 4KB 大小的数据。它们通常用于创建、加密和解密 DEKs数据加密密钥。然后使用 DEKs 来加密数据。
客户主密钥 (CMK) 是 AWS KMS 中主密钥的逻辑表示。除了主密钥的标识符和其他元数据(包括创建日期、描述和密钥状态)外,**CMK 包含用于加密和解密数据的密钥材料**。当您创建 CMK 时,默认情况下,AWS KMS 为该 CMK 生成密钥材料。然而,您可以选择创建没有密钥材料的 CMK然后将自己的密钥材料导入该 CMK。
客户主密钥 (CMK) 是 AWS KMS 中主密钥的逻辑表示。除了主密钥的标识符和其他元数据(包括创建日期、描述和密钥状态)外,**CMK 包含用于加密和解密数据的密钥材料**。当您创建 CMK 时AWS KMS 默认会为该 CMK 生成密钥材料。然而,您可以选择创建没有密钥材料的 CMK然后将自己的密钥材料导入该 CMK。
主密钥有两种类型:
@@ -29,13 +29,13 @@ KMS 是一种 **区域特定服务**。
**默认情况下:**
- 它授予 **拥有 KMS 密钥的 AWS 账户的 IAM 访问** 管理 KMS 密钥的访问。
- 它授予 **拥有 KMS 密钥的 AWS 账户的 IAM 访问** 管理 KMS 密钥的访问权限
与其他 AWS 资源策略不同AWS **KMS 密钥策略不会自动授予账户的任何主体权限**。要授予账户管理员权限,**密钥策略必须包含提供此权限的明确声明**,如下所示。
- 如果不允许账户(`"AWS": "arn:aws:iam::111122223333:root"`)的 IAM 权限将无效。
-**允许账户使用 IAM 策略** 允许访问 KMS 密钥,除了密钥策略之外。
-**允许账户使用 IAM 策略** 允许访问 KMS 密钥,除了密钥策略之外。
**没有此权限,允许访问密钥的 IAM 策略将无效**,尽管拒绝访问密钥的 IAM 策略仍然有效。
@@ -92,10 +92,10 @@ KMS 是一种 **区域特定服务**。
### CMK的轮换
- 同一密钥放置的时间越长,使用该密钥加密的数据就越多,如果该密钥被攻破,则数据的风险范围就越广。此外,密钥活动的时间越长,被攻破的概率就越高。
- 同一密钥放置的时间越长,使用该密钥加密的数据就越多,如果该密钥被泄露,则数据的风险范围就越广。此外,密钥活动的时间越长,被泄露的概率就越高。
- **KMS每365天轮换客户密钥**(或者您可以在任何时候手动执行此过程),**AWS管理的密钥每3年轮换一次**,且此时间不可更改。
- **旧密钥被保留**以解密在轮换之前加密的数据
- 在发生泄露时,轮换密钥不会消除威胁,因为仍然可以解密所有使用被攻破密钥加密的数据。然而,**新数据将使用新密钥加密**。
- 在发生泄露时,轮换密钥不会消除威胁,因为仍然可以解密所有使用被泄露密钥加密的数据。然而,**新数据将使用新密钥加密**。
- 如果**CMK**处于**禁用**或**待删除**状态KMS将**不执行密钥轮换**直到CMK被重新启用或删除被取消。
#### 手动轮换
@@ -110,7 +110,7 @@ KMS 是一种 **区域特定服务**。
KMS按每月从所有服务接收的加密/解密请求数量定价。
KMS与CloudTrail有完整的审计和合规**集成**在这里,您可以审计对KMS所做的所有更改。
KMS与CloudTrail有完整的审计和合规**集成**;您可以在此审计对KMS所做的所有更改。
使用KMS策略您可以执行以下操作
@@ -152,7 +152,7 @@ done
../aws-persistence/aws-kms-persistence.md
{{#endref}}
## 参考
## 参考文献
- [https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)

2
theme/ht_searcher.js
View File

@@ -101,6 +101,8 @@
const READY_ICON = icon.innerHTML;
icon.textContent = '⏳';
icon.setAttribute('aria-label','Loading search …');
icon.setAttribute('title','Search is loading, please wait...');
const HOT=83, ESC=27, DOWN=40, UP=38, ENTER=13;
let debounce, teaserCount=0;