mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2025-12-30 14:40:37 -08:00
Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/
This commit is contained in:
Translator
@@ -10,18 +10,18 @@ KMS використовує **симетричну криптографію**.
|
||||
|
||||
KMS є **сервісом, специфічним для регіону**.
|
||||
|
||||
**Адміністратори Amazon не мають доступу до ваших ключів**. Вони не можуть відновити ваші ключі і не допомагають вам з шифруванням ваших ключів. AWS просто адмініструє операційну систему та основний додаток, а нам потрібно адмініструвати наші шифрувальні ключі та контролювати, як ці ключі використовуються.
|
||||
**Адміністратори Amazon не мають доступу до ваших ключів**. Вони не можуть відновити ваші ключі і не допомагають вам з шифруванням ваших ключів. AWS просто адмініструє операційну систему та основний додаток, нам потрібно адмініструвати наші шифрувальні ключі та контролювати, як ці ключі використовуються.
|
||||
|
||||
**Основні ключі клієнта** (CMK): Можуть шифрувати дані розміром до 4KB. Вони зазвичай використовуються для створення, шифрування та дешифрування DEK (Ключі шифрування даних). Потім DEK використовуються для шифрування даних.
|
||||
**Основні ключі клієнта** (CMK): Можуть шифрувати дані розміром до 4KB. Вони зазвичай використовуються для створення, шифрування та розшифрування DEK (Ключі шифрування даних). Потім DEK використовуються для шифрування даних.
|
||||
|
||||
Основний ключ клієнта (CMK) є логічним представленням основного ключа в AWS KMS. На додаток до ідентифікаторів основного ключа та іншої метаданих, включаючи дату створення, опис та стан ключа, **CMK містить матеріал ключа, який використовується для шифрування та дешифрування даних**. Коли ви створюєте CMK, за замовчуванням AWS KMS генерує матеріал ключа для цього CMK. Однак ви можете вибрати створити CMK без матеріалу ключа, а потім імпортувати свій власний матеріал ключа в цей CMK.
|
||||
Основний ключ клієнта (CMK) є логічним представленням основного ключа в AWS KMS. На додаток до ідентифікаторів основного ключа та іншої метаданих, включаючи дату створення, опис та стан ключа, **CMK містить матеріал ключа, який використовується для шифрування та розшифрування даних**. Коли ви створюєте CMK, за замовчуванням AWS KMS генерує матеріал ключа для цього CMK. Однак ви можете вибрати створити CMK без матеріалу ключа, а потім імпортувати свій власний матеріал ключа в цей CMK.
|
||||
|
||||
Існує 2 типи основних ключів:
|
||||
|
||||
- **CMK, керовані AWS: Використовуються іншими службами для шифрування даних**. Вони використовуються службою, яка їх створила в регіоні. Вони створюються перший раз, коли ви реалізуєте шифрування в цій службі. Обертаються кожні 3 роки, і їх неможливо змінити.
|
||||
- **CMK, керовані клієнтом**: Гнучкість, обертання, налаштовуваний доступ і політика ключів. Увімкнення та вимкнення ключів.
|
||||
- **CMK, керовані AWS: Використовуються іншими службами для шифрування даних**. Вони використовуються службою, яка їх створила в регіоні. Вони створюються перший раз, коли ви реалізуєте шифрування в цій службі. Обертаються кожні 3 роки, і змінити їх неможливо.
|
||||
- **CMK, керовані клієнтом**: Гнучкість, ротація, налаштовуваний доступ і політика ключів. Увімкнення та вимкнення ключів.
|
||||
|
||||
**Шифрування конвертів** в контексті Служби управління ключами (KMS): Двоярусна ієрархічна система для **шифрування даних за допомогою ключа даних, а потім шифрування ключа даних за допомогою основного ключа**.
|
||||
**Шифрування конвертів** в контексті Служби управління ключами (KMS): Система з двох рівнів для **шифрування даних за допомогою ключа даних, а потім шифрування ключа даних за допомогою основного ключа**.
|
||||
|
||||
### Політики ключів
|
||||
|
||||
@@ -33,13 +33,13 @@ KMS є **сервісом, специфічним для регіону**.
|
||||
|
||||
На відміну від інших політик ресурсів AWS, політика **ключа KMS не надає автоматично дозволу жодному з принципалів облікового запису**. Щоб надати дозвіл адміністраторам облікового запису, **політика ключа повинна містити явну заяву**, яка надає цей дозвіл, як ця.
|
||||
|
||||
- Без дозволу облікового запису(`"AWS": "arn:aws:iam::111122223333:root"`) дозволи IAM не працюватимуть.
|
||||
- Без дозволу облікового запису (`"AWS": "arn:aws:iam::111122223333:root"`) дозволи IAM не працюватимуть.
|
||||
|
||||
- Це **дозволяє обліковому запису використовувати політики IAM** для надання доступу до ключа KMS, на додаток до політики ключа.
|
||||
- Вона **дозволяє обліковому запису використовувати політики IAM** для надання доступу до ключа KMS, на додаток до політики ключа.
|
||||
|
||||
**Без цього дозволу політики IAM, які дозволяють доступ до ключа, є неефективними**, хоча політики IAM, які забороняють доступ до ключа, все ще є ефективними.
|
||||
|
||||
- Це **зменшує ризик того, що ключ стане некерованим**, надаючи дозвіл на контроль доступу адміністраторам облікового запису, включаючи кореневого користувача облікового запису, якого не можна видалити.
|
||||
- Вона **зменшує ризик того, що ключ стане некерованим**, надаючи дозвіл на контроль доступу адміністраторам облікового запису, включаючи кореневого користувача облікового запису, який не може бути видалений.
|
||||
|
||||
**Приклад політики за замовчуванням**:
|
||||
```json
|
||||
@@ -54,7 +54,7 @@ KMS є **сервісом, специфічним для регіону**.
|
||||
}
|
||||
```
|
||||
> [!WARNING]
|
||||
> Якщо **обліковому запису дозволено** (`"arn:aws:iam::111122223333:root"`), **суб'єкт** з облікового запису **все ще потребуватиме IAM дозволів** для використання KMS ключа. Однак, якщо **ARN** ролі, наприклад, **конкретно дозволено** в **Політиці ключа**, ця роль **не потребує IAM дозволів**.
|
||||
> Якщо **обліковий запис дозволено** (`"arn:aws:iam::111122223333:root"`), **основний суб'єкт** з облікового запису **все ще потребуватиме IAM дозволів** для використання KMS ключа. Однак, якщо **ARN** ролі, наприклад, **спеціально дозволено** в **Політиці ключа**, ця роль **не потребує IAM дозволів**.
|
||||
|
||||
<details>
|
||||
|
||||
@@ -65,14 +65,14 @@ KMS є **сервісом, специфічним для регіону**.
|
||||
- Документ на основі JSON
|
||||
- Ресурс --> Підлягаючі ресурси (може бути "\*")
|
||||
- Дія --> kms:Encrypt, kms:Decrypt, kms:CreateGrant ... (дозволи)
|
||||
- Ефект --> Дозволити/Заборонити
|
||||
- Суб'єкт --> arn, що підлягає
|
||||
- Ефект --> Дозволити/Відмовити
|
||||
- Основний суб'єкт --> arn, що підлягає
|
||||
- Умови (необов'язково) --> Умова для надання дозволів
|
||||
|
||||
Гранти:
|
||||
|
||||
- Дозволяє делегувати ваші дозволи іншому AWS суб'єкту у вашому обліковому записі AWS. Вам потрібно створити їх за допомогою AWS KMS API. Можна вказати ідентифікатор CMK, суб'єкт гранту та необхідний рівень операції (Decrypt, Encrypt, GenerateDataKey...)
|
||||
- Після створення гранту видаються GrantToken та GrantID
|
||||
- Дозволяє делегувати ваші дозволи іншому AWS основному суб'єкту у вашому обліковому записі AWS. Вам потрібно створити їх, використовуючи AWS KMS API. Можна вказати ідентифікатор CMK, основний суб'єкт гранту та необхідний рівень операції (Decrypt, Encrypt, GenerateDataKey...)
|
||||
- Після створення гранту видається GrantToken та GrantID
|
||||
|
||||
**Доступ**:
|
||||
|
||||
@@ -87,13 +87,13 @@ KMS є **сервісом, специфічним для регіону**.
|
||||
Адміністратори ключів за замовчуванням:
|
||||
|
||||
- Мають доступ для управління KMS, але не для шифрування або дешифрування даних
|
||||
- Тільки користувачі та ролі IAM можуть бути додані до списку Адміністраторів ключів (не групи)
|
||||
- Якщо використовується зовнішній CMK, Адміністратори ключів мають дозвіл на імпорт матеріалів ключа
|
||||
- Тільки користувачі та ролі IAM можуть бути додані до списку адміністраторів ключів (не групи)
|
||||
- Якщо використовується зовнішній CMK, адміністратори ключів мають дозвіл на імпорт матеріалів ключа
|
||||
|
||||
### Ротація CMK
|
||||
|
||||
- Чим довше той самий ключ залишається на місці, тим більше даних шифрується цим ключем, і якщо цей ключ буде зламано, то ширша зона ризику даних. Крім того, чим довше ключ активний, тим більше ймовірність його зламу.
|
||||
- **KMS ротує ключі клієнтів кожні 365 днів** (або ви можете виконати процес вручну, коли захочете) і **ключі, що керуються AWS, кожні 3 роки**, і цього разу змінити не можна.
|
||||
- **KMS ротує ключі клієнтів кожні 365 днів** (або ви можете виконати процес вручну, коли захочете) і **ключі, що управляються AWS, кожні 3 роки**, і цього разу змінити не можна.
|
||||
- **Старі ключі зберігаються** для дешифрування даних, які були зашифровані до ротації
|
||||
- У разі зламу, ротація ключа не усуне загрозу, оскільки буде можливість дешифрувати всі дані, зашифровані зламаним ключем. Однак, **нові дані будуть зашифровані новим ключем**.
|
||||
- Якщо **CMK** знаходиться в стані **вимкнено** або **в очікуванні** **видалення**, KMS **не виконає ротацію ключа**, поки CMK не буде повторно активовано або видалення не буде скасовано.
|
||||
@@ -118,7 +118,7 @@ KMS має повну аудиторську та комплаєнс **інте
|
||||
- Обмежити доступ систем до шифрування лише, дешифрування лише або обидва
|
||||
- Визначити, щоб системи могли отримувати доступ до ключів через регіони (хоча це не рекомендується, оскільки збій у регіоні, що хостить KMS, вплине на доступність систем в інших регіонах).
|
||||
|
||||
Ви не можете синхронізувати або переміщати/копіювати ключі між регіонами; ви можете лише визначити правила для дозволу доступу через регіони.
|
||||
Ви не можете синхронізувати або переміщати/копіювати ключі між регіонами; ви можете лише визначити правила для дозволу доступу через регіон.
|
||||
|
||||
### Перерахування
|
||||
```bash
|
||||
|
||||
Reference in New Issue
Block a user