gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-03-12 21:22:57 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/gcp-security/gcp-post-exploitation

Browse Source
This commit is contained in:
Translator
2026-03-04 11:29:16 +00:00
parent 6338f64420
commit 6e76c89391
2 changed files with 68 additions and 41 deletions
Download Patch File Download Diff File Expand all files Collapse all files

48
src/pentesting-cloud/gcp-security/gcp-post-exploitation/gcp-kms-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## KMS ## KMS
KMS के बारे में बुनियादी जानकारी के लिए देखें: KMS के बारे में बुनियादी जानकारी देखें:
{{#ref}} {{#ref}}
../gcp-services/gcp-kms-enum.md ../gcp-services/gcp-kms-enum.md
@@ -12,11 +12,11 @@ KMS के बारे में बुनियादी जानकारी
### `cloudkms.cryptoKeyVersions.destroy` ### `cloudkms.cryptoKeyVersions.destroy`
इस अनुमति वाले attacker KMS का एक संस्करण नष्ट कर सकत है। ऐसा करने के लिए पहले आपको कुंजी को अक्षम करना होगा और फिर उसे नष्ट करना होगा: इस अनुमति वाले attacker KMS संस्करण को नष्ट कर सकत है। ऐसा करने के लिए पहले आपको key को disable करना होगा और फिर उसे destroy करना होगा:
<details> <details>
<summary>कुंजी संस्करण को अक्षम और नष्ट करें (Python)</summary> <summary>Disable and destroy key version (Python)</summary>
```python ```python
# pip install google-cloud-kms # pip install google-cloud-kms
@@ -65,24 +65,38 @@ destroy_key_version(project_id, location_id, key_ring_id, key_id, key_version)
### KMS Ransomware ### KMS Ransomware
AWS में, KMS resource policy को संशोधित करके और केवल attacker के account को key के उपयोग की अनुमति देकर पूरी तरह से **steal a KMS key** करना संभव है। चूंकि ये resource policies GCP में मौजूद नहीं हैं, इसलिए यह संभव नहीं है। AWS में KMS resource policy को संशोधित करके और केवल attackers account को key उपयोग करने की अनुमति देकर पूरी तरह **steal a KMS key** करना संभव है। चूंकि ये resource policies GCP में मौजूद नहीं हैं, यह संभव नहीं है।
हालाँकि, global KMS Ransomware करने का एक और तरीका है, जिसमें निम्नलिखित कदम शामिल होंगे: हालाँकि, एक global KMS Ransomware करने का एक और तरीका है, ज निम्नलिखित कदमों में शामिल होगा:
- एक नया **version of the key with a key material** बनाए जिसे attacker ने import किया हो - नया **version of the key with a key material** बनाए जिसे attacker ने import किया हो
```bash ```bash
gcloud kms import-jobs create [IMPORT_JOB] --location [LOCATION] --keyring [KEY_RING] --import-method [IMPORT_METHOD] --protection-level [PROTECTION_LEVEL] --target-key [KEY] gcloud kms import-jobs create [IMPORT_JOB] --location [LOCATION] --keyring [KEY_RING] --import-method [IMPORT_METHOD] --protection-level [PROTECTION_LEVEL] --target-key [KEY]
``` ```
- इसे **डिफ़ॉल्ट संस्करण** के रूप में सेट करें (भविष्य में एन्क्रिप्ट किए जाने वाले डेटा के लिए) - इसे **default version** के रूप में सेट करें (भविष्य में encrypt किए जाने वाले data के लिए)
- **पुराने डेटा को पुनः-एन्क्रिप्ट करें** जो पिछले संस्करण के साथ एन्क्रिप्ट किया गया था, नए संस्करण के साथ - पहले वाले version से encrypted पुराने data को नई version से **Re-encrypt** करें
- **KMS key को हटाएँ** - **KMS key को Delete करें**
- अब केवल attacker ही, जिसके पास मूल key material है, एन्क्रिप्ट किए गए डेटा को डिक्रिप्ट कर सकेगा - अब केवल attacker, जिसके पास original key material है, ही encrypted data को decrypt कर पाएगा
#### नया संस्करण इम्पोर्ट करने और पुराने डेटा को निष्क्रिय/हटाने के चरण: #### Cloud Storage + CMEK अनुमति मॉडल
जब Cloud Storage में ऑब्जेक्ट्स CMEK के साथ encrypted होते हैं, तो KMS को किए गए decrypt/encrypt कॉल उस प्रोजेक्ट के **Cloud Storage service agent whose email is service-${BUCKET_PROJECT_NUMBER}@gs-project-accounts.iam.gserviceaccount.com)** द्वारा किए जाते हैं, न कि ऑब्जेक्ट पढ़ने वाले end user द्वारा सीधे।
इसका मतलब है कि CMEK द्वारा encrypted किसी चीज़ को पढ़ने के लिए:
- प्रोजेक्ट के cloud storage service agent के पास उपयोग किए गए KMS key पर KMS permissions होनी चाहिए (आम तौर पर `roles/cloudkms.cryptoKeyEncrypterDecrypter`)।
- यूज़र को केवल object read permissions चाहिए (उदाहरण के लिए `storage.objects.get`)। उसे KMS key पर अनुमतियों की ज़रूरत नहीं है।
इसका अर्थ है कि KMS key के साथ encrypted data पर नियंत्रण रखने के लिए प्रोजेक्ट के cloud storage service agent के लिए KMS permissions को जोड़ना/हटाना ज़रूरी है।
ध्यान दें कि Storage service agent के लिए प्रोजेक्ट-स्तरीय binding जैसे `roles/cloudkms.cryptoKeyEncrypterDecrypter` होने पर उसी प्रोजेक्ट की keys के साथ decrypt की अनुमति बनी रहेगी।
#### नई version को import करने और पुराने data को disable/delete करने के लिए चरण इस प्रकार हैं:
<details> <details>
<summary>नया कुंजी संस्करण आयात करें और पुराना संस्करण हटाएँ</summary> <summary>नई key version import करें और पुरानी version हटाएँ</summary>
```bash ```bash
# Encrypt something with the original key # Encrypt something with the original key
echo "This is a sample text to encrypt" > /tmp/my-plaintext-file.txt echo "This is a sample text to encrypt" > /tmp/my-plaintext-file.txt
@@ -162,7 +176,7 @@ gcloud kms keys versions destroy \
<details> <details>
<summary>सिमेट्रिक कुंजी के साथ डेटा एन्क्रिप्ट करें (Python)</summary> <summary>समान कुंजी के साथ डेटा एन्क्रिप्ट करें (Python)</summary>
```python ```python
from google.cloud import kms from google.cloud import kms
import base64 import base64
@@ -203,7 +217,7 @@ print('Ciphertext:', ciphertext)
<details> <details>
<summary>असिमेट्रिक कुंजी से संदेश पर हस्ताक्षर करना (Python)</summary> <summary>संदेश को असिमेट्रिक key से साइन करें (Python)</summary>
```python ```python
import hashlib import hashlib
from google.cloud import kms from google.cloud import kms
@@ -243,7 +257,7 @@ print('Signature:', signature)
<details> <details>
<summary>असिमेट्रिक कुंजी े साथ हस्ताक्षर सत्यापित करें (Python)</summary> <summary>असिमेट्रिक कुंजी े सिग्नेचर सत्यापित करें (Python)</summary>
```python ```python
from google.cloud import kms from google.cloud import kms
import hashlib import hashlib
@@ -271,7 +285,7 @@ verified = verify_asymmetric_signature(project_id, location_id, key_ring_id, key
print('Verified:', verified) print('Verified:', verified)
``` ```
### `cloudkms.cryptoKeyVersions.restore` ### `cloudkms.cryptoKeyVersions.restore`
यह `cloudkms.cryptoKeyVersions.restore` अनुमति किसी पहचान को Cloud KMS में पहले विनाश के लिए निर्धारित या अक्षम किए गए कुंजी संस्करण को पुनर्स्थापित करके उसे सक्रिय और उपयोग योग्य स्थिति में लौटाने की अनुमति देता है। यह अनुमति किसी identity को उस key version को restore करने की अनुमति देती है जिसे पहले destruction के लिए शेड्यूल किया गया था या जिसे Cloud KMS में disabled किया गया था, और इसे सक्रिय उपयोग योग्य स्थिति में वापस लाती है।
```bash ```bash
gcloud kms keys versions restore <VERSION_ID> \ gcloud kms keys versions restore <VERSION_ID> \
--key=<KEY_NAME> \ --key=<KEY_NAME> \
@@ -280,7 +294,7 @@ gcloud kms keys versions restore <VERSION_ID> \
--project=<PROJECT_ID> --project=<PROJECT_ID>
``` ```
### `cloudkms.cryptoKeyVersions.update` ### `cloudkms.cryptoKeyVersions.update`
`cloudkms.cryptoKeyVersions.update` अनुमति किसी पहचान को Cloud KMS में किसी विशिष्ट key version के attributes या state को संशोधित करने की क्षमत देत है — उदाहरण के लिए उसे सक्षम या अक्षम करना। `cloudkms.cryptoKeyVersions.update` permission किसी identity को Cloud KMS में किसी specific key version के attributes या state को modify करने की अनुमति देत है — उदाहरण के लिए उसे enable या disable करने के द्वारा।
```bash ```bash
# Disable key # Disable key
gcloud kms keys versions disable <VERSION_ID> \ gcloud kms keys versions disable <VERSION_ID> \

61
src/pentesting-cloud/gcp-security/gcp-services/gcp-kms-enum.md
View File

@@ -4,40 +4,53 @@
## KMS ## KMS
[**Cloud Key Management Service**](https://cloud.google.com/kms/docs/) **क्रिप्टोग्राफिक कुंजियों** के लिए एक सुरक्षित भंडारण के रूप में कार्य करता है, जो **संवेदनशील डेटा को एन्क्रिप्ट और डिक्रिप्ट करने** जैसी प्रक्रियाओं के लिए आवश्यक हैं। ये कुंजियाँ कुंजी रिंग के भीतर व्यवस्थित की जाती हैं, जिससे संरचित प्रबंधन संभव होता है। इसके अलावा, पहुँच नियंत्रण को सावधानीपूर्वक कॉन्फ़िगर किया जा सकता है, या तो व्यक्तिगत कुंजी स्तर पर या पूरे कुंजी रिंग के लिए, यह सुनिश्चित करते हुए कि अनुमतियाँ सुरक्षा आवश्यकताओं के साथ सटीक रूप से संरेखितं। The [**Cloud Key Management Service**](https://cloud.google.com/kms/docs/) एक सुरक्षित भंडारण के रूप में कार्य करता है जो **क्रिप्टोग्राफिक कुंजियों** के लिए है, जो कि संवेदनशील डेटा को **एन्क्रिप्ट और डक्रिप्ट** करने जैसे संचालन के लिए आवश्यक हैं। ये कुंजियाँ key rings के भीतर व्यवस्थित की जाती हैं, जिससे संरचित प्रबंधन संभव होता है। इसके अलावा, access control को बारीकी से कॉन्फ़िगर किया जा सकता है — चाहे वह व्यक्तिगत key स्तर पर हो या पूरे key ring के लिए — ताकि permissions सुरक्षा आवश्यकताओं के अनुरूप सटीक रूप से सेटं।
KMS कुंजी रिंग **डिफ़ॉल्ट रूप से वैश्विक** के रूप में बना जात हैं, जिसका अर्थ है कि उस कुंजी रिंग के भीतर की कुंजियाँ किसी भी क्षेत्र से सुलभ हैं। हालाकि, **विशिष्ट क्षेत्रों** में विशिष्ट कुंजी रिंग बनाना संभव है। KMS key rings डिफ़ॉल्ट रूप से **global** के रूप में बना जात हैं, जिसका मतलब है कि उस key ring के अंदर की कुंजियाँ किसी भी region से एक्सेस की जा सकती हैं। हालाकि, विशिष्ट regions में specific key rings बनाना संभव है।
### कुंजी सुरक्षा स्तर ### Key Protection Level
- **सॉफ़्टवेयर कुंजियाँ**: सॉफ़्टवेयर कुंजियाँ **KMS द्वारा पूरी तरह से सॉफ़्टवेयर में बनाई और प्रबंधित की जाती हैं**। ये कुंजियाँ **किसी भी हार्डवेयर सुरक्षा मॉड्यूल (HSM)** द्वारा सरक्षित नहीं होती हैं और **परीक्षण और विकास उद्देश्यों** के लिए उपयोग क जा सकत है। सॉफ़्टवेयर कुंजियाँ **उत्पादन** उपयोग के लिए अनुशंसित नहीं हैं क्योंकि ये कम सुरक्षा प्रदान करती हैं और हमलों के प्रति संवेदनशील होती हैं। - **Software keys**: सॉफ़्टवेयर कुंजियाँ KMS द्वारा पूरी तरह सॉफ़्टवेयर में बनाई और प्रबंधित की जाती हैं। ये कुंजियाँ किसी भी hardware security module (HSM) द्वारा सरक्षित नहीं होतीं और इन्हें परीक्षण और विकास के उद्देश्यों के लिए उपयोग किया जा सकत है। production उपयोग के लिए सॉफ़्टवेयर कुंजियाँ अनुशंसित नहीं हैं क्योंकि ये कम सुरक्षा प्रदान करती हैं और हमलों के प्रति संवेदनशील होती हैं।
- **क्लाउड-होस्टेड कुंजियाँ**: क्लाउड-होस्टेड कुंजियाँ **KMS द्वारा क्लाउड में** एक अत्यधिक उपलब्ध और विश्वसनीय बुनियादी ढाँचे का उपयोग करके बनाई और प्रबंधित की जाती हैं। ये कुंजियाँ **HSMs द्वारा सरक्षित** होती हैं, लेकिन HSMs **किसी विशेष ग्राहक के लिए समर्पित नहीं होते**। क्लाउड-होस्टेड कुंजियाँ अधिकांश उत्पादन उपयोग मामलों के लिए उपयुक्त हैं। - **Cloud-hosted keys**: Cloud-hosted कुंजियाँ KMS द्वारा क्लाउड में एक उच्च उपलब्ध और विश्वसनीय इंफ्रास्ट्रक्चर का उपयोग करके बनाई और प्रबंधित की जाती हैं। ये कुंजियाँ HSMs द्वारा सरक्षित होती हैं, लेकिन ये HSMs किसी विशिष्ट ग्राहक के लिए समर्पित नहीं होते। Cloud-hosted कुंजियाँ अधिकांश production उपयोग मामलों के लिए उपयुक्त हैं।
- **बाहरी कुंजियाँ**: बाहरी कुंजियाँ **KMS के बाहर बनाई और प्रबंधित की जाती हैं**, और क्रिप्टोग्राफिक संचालन में उपयोग के लिए KMS में आयात की जाती हैं। बाहरी कुंजियाँ **ग्राहक की पसंद के अनुसार हार्डवेयर सुरक्षा मॉड्यूल (HSM) या सॉफ़्टवेयर पुस्तकालय में संग्रहीत की जा सकती हैं** - **External keys**: External कुंजियाँ KMS के बाहर बनाई और प्रबंधित की जाती हैं, और क्रिप्टोग्राफिक ऑपरेशनों के लिए KMS में इम्पोर्ट की जाती हैं। External कुंजियाँ ग्राहक की प्राथमिकता के अनुसार hardware security module (HSM) या किसी सॉफ़्टवेयर लाइब्रेरी में संग्रहीत की जा सकती हैं।
### कुंजी के उद्देश्य ### Key Purposes
- **समानांतर एन्क्रिप्शन/डिक्रिप्शन**: **एकल कुंजी का उपयोग करके डेटा को एन्क्रिप्ट और डिक्रिप्ट करने** के लिए उपयोग किया जाता है। समानांतर कुंजियाँ बड़े डेटा वॉल्यूम को एन्क्रिप्ट और डिक्रिप्ट करने के लिए तेज और कुशल होत हैं। - **Symmetric encryption/decryption**: एक ही कुंजी का उपयोग दोनों ऑपरेशनों के लिए डेटा को एन्क्रिप्ट और डक्रिप्ट करने के लिए किया जाता है। Symmetric keys बड़े पैमाने पर डेटा को एन्क्रिप्ट और डक्रिप्ट करने के लिए तेज और प्रभावी होत हैं।
- **समर्थित**: [cryptoKeys.encrypt](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys/encrypt), [cryptoKeys.decrypt](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys/decrypt) - **Supported**: [cryptoKeys.encrypt](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys/encrypt), [cryptoKeys.decrypt](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys/decrypt)
- **असमान्य हस्ताक्षर**: दो पक्षों के बीच सुरक्षित संचार के लिए कुंजी साझा किए बिना उपयोग किया जाता है। असमान्य कुंजियाँ एक जोड़ी में आत हैं, जिमें एक **सार्वजनिक कुंजी और एक निजी कुंजी** होती है। सार्वजनिक कुंजी दूसरों के साथ साझा की जाती है, जबकि निजी कुंजी को गुप्त रख जात है। - **Asymmetric Signing**: दो पक्षों के बीच सुरक्षित संचार के लिए उपयोग किया जाता है बिना कुंजी साझा किए। Asymmetric keys जोड़ी में आत हैं, जिमें एक **public key और एक private key** शामिल होती है। public key दूसरों के साथ साझा की जाती है, जबकि private key गोपनीय रख जात है।
- **समर्थित:** [cryptoKeyVersions.asymmetricSign](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/asymmetricSign), [cryptoKeyVersions.getPublicKey](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/getPublicKey) - **Supported:** [cryptoKeyVersions.asymmetricSign](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/asymmetricSign), [cryptoKeyVersions.getPublicKey](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/getPublicKey)
- **असमान्य डिक्रिप्शन**: संदेश या डेटा की प्रामाणिकता को सत्यापित करने के लिए उपयोग किया जाता है। एक डिजिटल हस्ताक्षर एक निजी कुंजी का उपयोग करके बनाया जाता है और संबंधित सार्वजनिक कुंजी का उपयोग करके सत्यापित किया जा सकता है। - **Asymmetric Decryption**: संदेश या डेटा की प्रामाणिकता सत्यापित करने के लिए उपयोग किया जाता है। एक डिजिटल सिग्नेचर private key का उपयोग करके बनाया जाता है और संबंधित public key का उपयोग करके सत्यापित किया जा सकता है।
- **समर्थित:** [cryptoKeyVersions.asymmetricDecrypt](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/asymmetricDecrypt), [cryptoKeyVersions.getPublicKey](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/getPublicKey) - **Supported:** [cryptoKeyVersions.asymmetricDecrypt](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/asymmetricDecrypt), [cryptoKeyVersions.getPublicKey](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/getPublicKey)
- **MAC हस्ताक्षर**: **एक गुप्त कुंजी का उपयोग करके संदेश प्रमाणीकरण कोड (MAC) बनाकर डेटा की अखंडता और प्रामाणिकता सुनिश्चित करने** के लिए उपयोग किया जाता है। HMAC नेटवर्क प्रोटोकॉल और सॉफ़्टवेयर अनुप्रयोगों में संदेश प्रमाणीकरण के लिए सामान्यतः उपयोग किया जाता है। - **MAC Signing**: एक secret key का उपयोग करके message authentication code (MAC) बनाकर डेटा की अखंडता और प्रामाणिकता सुनिश्चित करने के लिए उपयोग किया जाता है। HMAC आम तौर पर नेटवर्क प्रोटोकॉल और सॉफ़्टवेयर एप्लिकेशन में संदेश प्रमाणीकरण के लिए उपयोग किया जाता है।
- **समर्थित:** [cryptoKeyVersions.macSign](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/macSign), [cryptoKeyVersions.macVerify](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/macVerify) - **Supported:** [cryptoKeyVersions.macSign](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/macSign), [cryptoKeyVersions.macVerify](https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys.cryptoKeyVersions/macVerify)
### रोटेशन अवधि और विनाश के लिए कार्यक्रमित अवधि ### Rotation Period & Programmed for destruction period
**डिफ़ॉल्ट रूप से**, प्रत्येक **90 दिन** लेकिन इसे **आसान** और **पूर्ण रूप से अनुकूलित** किया जा सकता है। डिफ़ॉल्ट रूप से, हर **90 days** पर होता है, लेकिन इसे **आसानी से** और **पूरी तरह से अनुकूलित** किया जा सकता है।
"विनाश के लिए कार्यक्रमित" अवधि वह **समय है ज उपयोगकर्ता कुंजी को हटाने के लिए कहता है** और जब तक कुंजी **हटाई नहीं जाती**। इसे कुंजी बनाए जाने के बाद नहीं बदला जा सकता (डिफ़ॉल्ट 1 दिन)। "Programmed for destruction" अवधि वह समय है ज उपयोगकर्ता ने कुंजी को हटाने के लिए अनुरोध किए जाने के बाद से कुंजी के वास्तविक रूप से हटाए जाने तक लगता है। इसे कुंजी बनाए जाने के बाद बदला नहीं जा सकता (डिफ़ॉल्ट 1 day)।
### प्राथमिक संस्करण ### Primary Version
प्रत्येक KMS कुंजी कई संस्करण हो सकते हैं, नमें से एक को **डिफ़ॉल्ट** होना चाहिए, यह वह होगा जिसका उपयोग तब किया जाएगा जब **KMS कुंजी के साथ बातचीत करते समय कोई संस्करण निर्दिष्ट नहीं किया गया हो** प्रत्येक KMS key कई संस्करण हो सकते हैं, जिनमें से एक को **default** के रूप में सेट करना अनिवार्य होता है; यह वह संस्करण होगा जिसका उपयोग तब किया जाएगा जब KMS key के साथ इंटरैक्ट करते समय कोई **version निर्दिष्ट न किया गया हो**
### गणना ### CMEK permission model
**कुंजियोंूचीबद्ध करने** के लिए अनुमतियाँ होने पर, आप उन्हें इस प्रकार एक्सेसकते हैं: जब Cloud Storage में ऑब्जेक्ट्स को CMEKाथ एन्क्रिप्ट किया जाता है, तो KMS को decrypt/encrypt कॉल्स प्रोजेक्ट के Cloud Storage service agent द्वारा किए जाते हैं (जिसका ईमेल service-${BUCKET_PROJECT_NUMBER}@gs-project-accounts.iam.gserviceaccount.com), निीधे अंतिम उपयोगकर्ता द्वारा पढ़ने पर।
इसका मतलब है कि किसी CMEK द्वारा एन्क्रिप्ट की गई चीज़ को पढ़ने के लिए:
- प्रोजेक्ट का cloud storage service agent को उपयोग की गई KMS कुंजी पर KMS permissions होने चाहिए (आम तौर पर `roles/cloudkms.cryptoKeyEncrypterDecrypter`)।
- उपयोगकर्ता को केवल object पढ़ने की permissions चाहिए (उदाहरण के लिए `storage.objects.get`)। उसे KMS कुंजी पर permissions की आवश्यकता नहीं होती।
इसका अर्थ यह भी है कि एन्क्रिप्टेड डेटा पर KMS कुंजी के माध्यम से नियंत्रित पहुँच के लिए प्रोजेक्ट के cloud storage service agent के KMS permissions को जोड़ना/हटाना आवश्यक होगा।
ध्यान दें कि Storage service agent के लिए project-level binding जैसे `roles/cloudkms.cryptoKeyEncrypterDecrypter` होने पर भी उसी प्रोजेक्ट की कुंजियों के साथ decrypt की अनुमति बनी रहेगी।
### Enumeration
यदि आपके पास **permissions to list the keys** हैं, तो आप उन्हें इस तरह एक्सेस कर सकते हैं:
```bash ```bash
# List the global keyrings available # List the global keyrings available
gcloud kms keyrings list --location global gcloud kms keyrings list --location global
@@ -61,13 +74,13 @@ gcloud kms decrypt --ciphertext-file=[INFILE] \
--keyring [KEYRING] \ --keyring [KEYRING] \
--location global --location global
``` ```
### विशेषाधिकार वृद्धि ### Privilege Escalation
{{#ref}} {{#ref}}
../gcp-privilege-escalation/gcp-kms-privesc.md ../gcp-privilege-escalation/gcp-kms-privesc.md
{{#endref}} {{#endref}}
### पोस्ट एक्सप्लोइटेशन ### Post Exploitation
{{#ref}} {{#ref}}
../gcp-post-exploitation/gcp-kms-post-exploitation.md ../gcp-post-exploitation/gcp-kms-post-exploitation.md