gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-10 23:00:49 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-kms-enum

Browse Source
This commit is contained in:
Translator
2025-07-07 09:57:58 +00:00
parent df0dcc4c9f
commit 86444b7eda
2 changed files with 9 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

14
src/pentesting-cloud/aws-security/aws-services/aws-kms-enum.md
View File

@@ -6,11 +6,11 @@
O AWS Key Management Service (AWS KMS) é apresentado como um serviço gerenciado, simplificando o processo para os usuários **criarem e gerenciarem chaves mestras do cliente** (CMKs). Essas CMKs são integrais na criptografia dos dados do usuário. Um recurso notável do AWS KMS é que as CMKs são predominantemente **protegidas por módulos de segurança de hardware** (HSMs), aumentando a proteção das chaves de criptografia.
O KMS utiliza **criptografia simétrica**. Isso é usado para **criptografar informações em repouso** (por exemplo, dentro de um S3). Se você precisar **criptografar informações em trânsito**, precisará usar algo como **TLS**.
O KMS usa **criptografia simétrica**. Isso é usado para **criptografar informações em repouso** (por exemplo, dentro de um S3). Se você precisar **criptografar informações em trânsito**, precisará usar algo como **TLS**.
O KMS é um **serviço específico de região**.
O KMS é um **serviço específico da região**.
**Administradores da Amazon não têm acesso às suas chaves**. Eles não podem recuperar suas chaves e não ajudam você com a criptografia de suas chaves. A AWS simplesmente administra o sistema operacional e o aplicativo subjacente; cabe a nós administrar nossas chaves de criptografia e administrar como essas chaves são usadas.
**Administradores da Amazon não têm acesso às suas chaves**. Eles não podem recuperar suas chaves e não ajudam você com a criptografia de suas chaves. O AWS simplesmente administra o sistema operacional e o aplicativo subjacente; cabe a nós administrar nossas chaves de criptografia e administrar como essas chaves são usadas.
**Chaves Mestras do Cliente** (CMK): Podem criptografar dados de até 4KB de tamanho. Elas são tipicamente usadas para criar, criptografar e descriptografar as DEKs (Chaves de Criptografia de Dados). Então, as DEKs são usadas para criptografar os dados.
@@ -33,7 +33,7 @@ Por **padrão:**
Ao contrário de outras políticas de recursos da AWS, uma **política de chave KMS da AWS não concede automaticamente permissão a nenhum dos principais da conta**. Para conceder permissão aos administradores da conta, a **política de chave deve incluir uma declaração explícita** que forneça essa permissão, como esta.
- Sem permitir a conta (`"AWS": "arn:aws:iam::111122223333:root"`) as permissões IAM não funcionarão.
- Sem permitir a conta (`"AWS": "arn:aws:iam::111122223333:root"`) as permissões do IAM não funcionarão.
- Ela **permite que a conta use políticas IAM** para permitir acesso à chave KMS, além da política de chave.
@@ -88,7 +88,7 @@ Administrador de chaves por padrão:
- Tem acesso para gerenciar KMS, mas não para criptografar ou descriptografar dados
- Apenas usuários e papéis IAM podem ser adicionados à lista de Administradores de Chaves (não grupos)
- Se uma CMK externa for usada, os Administradores de Chaves têm a permissão para importar material de chave
- Se um CMK externo for usado, os Administradores de Chaves têm a permissão para importar material de chave
### Rotação de CMKs
@@ -96,11 +96,11 @@ Administrador de chaves por padrão:
- **KMS rotaciona chaves de clientes a cada 365 dias** (ou você pode realizar o processo manualmente sempre que quiser) e **chaves gerenciadas pela AWS a cada 3 anos**, e esse tempo não pode ser alterado.
- **Chaves mais antigas são retidas** para descriptografar dados que foram criptografados antes da rotação
- Em caso de violação, rotacionar a chave não removerá a ameaça, pois será possível descriptografar todos os dados criptografados com a chave comprometida. No entanto, os **novos dados serão criptografados com a nova chave**.
- Se a **CMK** estiver em estado de **desativada** ou **pendente de** **exclusão**, o KMS **não realizará uma rotação de chave** até que a CMK seja reativada ou a exclusão seja cancelada.
- Se o **CMK** estiver em estado de **desativado** ou **pendente de** **exclusão**, o KMS **não realizará uma rotação de chave** até que o CMK seja reativado ou a exclusão seja cancelada.
#### Rotação manual
- Uma **nova CMK precisa ser criada**, então, um novo CMK-ID é criado, e você precisará **atualizar** qualquer **aplicação** para **referenciar** o novo CMK-ID.
- Um **novo CMK precisa ser criado**, então, um novo CMK-ID é criado, e você precisará **atualizar** qualquer **aplicação** para **referenciar** o novo CMK-ID.
- Para facilitar esse processo, você pode **usar aliases para se referir a um key-id** e, em seguida, apenas atualizar a chave à qual o alias está se referindo.
- Você precisa **manter chaves antigas para descriptografar arquivos antigos** criptografados com elas.

2
theme/ht_searcher.js
View File

@@ -101,6 +101,8 @@
const READY_ICON = icon.innerHTML;
icon.textContent = '⏳';
icon.setAttribute('aria-label','Loading search …');
icon.setAttribute('title','Search is loading, please wait...');
const HOT=83, ESC=27, DOWN=40, UP=38, ENTER=13;
let debounce, teaserCount=0;