Translated ['', 'src/pentesting-cloud/aws-security/aws-services/aws-s3-a

src/pentesting-cloud/aws-security/aws-services/aws-s3-athena-and-glacier-enum.md

@@ -1,39 +1,39 @@
-# AWS - S3, Athena & Glacier Enum
+# AWS - S3, Athena & Glacier 列挙
 
 {{#include ../../../banners/hacktricks-training.md}}
 
 ## S3
 
-Amazon S3は、大量のデータを**保存する**ことを可能にするサービスです。
+Amazon S3 は **大量のデータを保存** できるサービスです。
 
-Amazon S3は、データの静止状態での**保護**を実現するための複数のオプションを提供します。オプションには、**権限**（ポリシー）、**暗号化**（クライアントおよびサーバーサイド）、**バケットバージョニング**、および**MFA** **ベースの削除**が含まれます。**ユーザーはこれらのオプションのいずれかを有効にしてデータ保護を実現できます**。**データレプリケーション**は、AWSによる内部機能であり、**S3は自動的に各オブジェクトをすべてのアベイラビリティゾーンにレプリケートします**。この場合、組織はそれを有効にする必要はありません。
+Amazon S3 は静止状態のデータの**保護**を実現するための複数のオプションを提供しています。オプションには **Permission**（Policy）、**Encryption**（クライアント側およびサーバー側）、**Bucket Versioning**、および **MFA** **based delete** が含まれます。**ユーザーが有効化できる**これらのいずれかのオプションによりデータ保護を実現できます。**Data replication** は AWS の内部機能で、**S3 が各オブジェクトをすべての Availability Zones に自動的に複製する**ため、組織がそれを有効にする必要はありません。
 
 リソースベースの権限を使用すると、バケットのサブディレクトリに対して個別に権限を定義できます。
 
-### バケットバージョニングとMFAベースの削除
+### Bucket Versioning and MFA based delete
 
-バケットバージョニングが有効になっている場合、ファイル内のファイルを変更しようとするアクションは、新しいバージョンのファイルを生成し、同時に以前のコンテンツも保持します。したがって、コンテンツが上書きされることはありません。
+Bucket Versioning が有効な場合、ファイルを変更しようとする操作は新しいバージョンを生成し、以前の内容も保持します。そのため、内容は上書きされません。
 
-さらに、MFAベースの削除は、S3バケット内のファイルのバージョンが削除されるのを防ぎ、バケットバージョニングが無効にされるのを防ぐため、攻撃者はこれらのファイルを変更することができません。
+さらに、MFA based delete は S3 バケット内のファイルのバージョンが削除されるのを防ぎ、Bucket Versioning が無効化されるのも防ぐため、攻撃者はこれらのファイルを変更できません。
 
-### S3アクセスログ
+### S3 Access logs
 
-S3アクセスログを**有効にする**（デフォルトでは無効）ことができ、特定のバケットに対してログを別のバケットに保存して、誰がバケットにアクセスしているかを知ることができます（両方のバケットは同じリージョンに存在する必要があります）。
+あるバケットに対して **S3 アクセスログを有効化**（デフォルトでは無効）し、ログを別のバケットに保存することで誰がバケットにアクセスしているかを把握できます（両方のバケットは同じリージョンである必要があります）。
 
-### S3プレサインドURL
+### S3 Presigned URLs
 
-バケット内の**指定されたファイルにアクセスするために通常使用できるプレサインドURLを生成する**ことが可能です。**プレサインドURLはこのようになります**:
+バケット内の特定のファイルに通常**アクセスする**ために使用できる presigned URL を生成することが可能です。**presigned URL は次のようになります**：
 ```
 https://<bucket-name>.s3.us-east-1.amazonaws.com/asd.txt?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=ASIAUUE8GZC4S5L3TY3P%2F20230227%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20230227T142551Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Security-Token=IQoJb3JpZ2luX2VjELf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLWVhc3QtMSJHMEUCIBhQpdETJO3HKKDk2hjNIrPWwBE8gZaQccZFV3kCpPCWAiEAid3ueDtFFU%2FOQfUpvxYTGO%2BHoS4SWDMUrQAE0pIaB40qggMIYBAAGgwzMTgxNDIxMzg1NTMiDJLI5t7gr2EGxG1Y5CrfAioW0foHIQ074y4gvk0c%2B%2Fmqc7cNWb1njQslQkeePHkseJ3owzc%2FCwkgE0EuZTd4mw0aJciA2XIbJRCLPWTb%2FCBKPnIMJ5aBzIiA2ltsiUNQTTUxYmEgXZoJ6rFYgcodnmWW0Et4Xw59UlHnCDB2bLImxPprriyCzDDCD6nLyp3J8pFF1S8h3ZTJE7XguA8joMs4%2B2B1%2FeOZfuxXKyXPYSKQOOSbQiHUQc%2BFnOfwxleRL16prWk1t7TamvHR%2Bt3UgMn5QWzB3p8FgWwpJ6GjHLkYMJZ379tkimL1tJ7o%2BIod%2FMYrS7LDCifP9d%2FuYOhKWGhaakPuJKJh9fl%2B0vGl7kmApXigROxEWon6ms75laXebltsWwKcKuYca%2BUWu4jVJx%2BWUfI4ofoaGiCSaKALTqwu4QNBRT%2BMoK6h%2BQa7gN7JFGg322lkxRY53x27WMbUE4unn5EmI54T4dWt1%2Bg8ljDS%2BvKfBjqmAWRwuqyfwXa5YC3xxttOr3YVvR6%2BaXpzWtvNJQNnb6v0uI3%2BTtTexZkJpLQYqFcgZLQSxsXWSnf988qvASCIUhAzp2UnS1uqy7QjtD5T73zksYN2aesll7rvB80qIuujG6NOdHnRJ2M5%2FKXXNo1Yd15MtzPuSjRoSB9RSMon5jFu31OrQnA9eCUoawxbB0nHqwK8a43CKBZHhA8RoUAJW%2B48EuFsp3U%3D&X-Amz-Signature=3436e4139e84dbcf5e2e6086c0ebc92f4e1e9332b6fda24697bc339acbf2cdfa
 ```
-プリサインされたURLは、**オブジェクトへのアクセス権を持つプリンシパルの資格情報を使用してCLIから作成できます**（使用しているアカウントにアクセス権がない場合、短いプリサインされたURLが作成されますが、それは無意味です）
+presigned URL は **オブジェクトへアクセス権を持つ principal の資格情報を使って cli から作成できます**（使用しているアカウントにアクセス権がない場合、より短い presigned URL が作成されますが、役に立ちません）
 ```bash
 aws s3 presign --region <bucket-region> 's3://<bucket-name>/<file-name>'
 ```
 > [!NOTE]
-> 事前署名付きURLを生成するために必要な権限は、与えられる権限のみであるため、前のコマンドでは、主体が必要とする唯一の権限は `s3:GetObject` です。
+> presigned URL を生成するのに必要な唯一の権限は付与される権限そのものであり、したがって前のコマンドではプリンシパルに必要なのは `s3:GetObject` のみです
 
-**他の権限**を持つ事前署名付きURLを作成することも可能です:
+また、**他の権限**を使って presigned URL を作成することも可能です:
 ```python
 import boto3
 url = boto3.client('s3').generate_presigned_url(
@@ -42,99 +42,99 @@ Params={'Bucket': 'BUCKET_NAME', 'Key': 'OBJECT_KEY'},
 ExpiresIn=3600
 )
 ```
-### S3暗号化メカニズム
+### S3 暗号化メカニズム
 
-**DEKはデータ暗号化キーを意味し**、常に生成され、データを暗号化するために使用されるキーです。
+**DEKはData Encryption Key（データ暗号化鍵）を意味し**、常に生成されデータの暗号化に使用される鍵です。
 
 <details>
 
-<summary><strong>S3管理キーによるサーバーサイド暗号化、SSE-S3</strong></summary>
+<summary><strong>Server-side encryption with S3 managed keys, SSE-S3</strong></summary>
 
-このオプションは最小限の設定を必要とし、使用される暗号化キーの管理はすべてAWSによって管理されます。あなたがする必要があるのは、**データをアップロードすることで、S3が他のすべての側面を処理します**。S3アカウント内の各バケットにはバケットキーが割り当てられます。
+このオプションはほとんど設定を必要とせず、使用される暗号化鍵の管理はすべてAWSが行います。あなたがやるべきことは**データをアップロードするだけで、S3がそれ以外の処理をすべて行います**。S3アカウント内の各バケットにはバケットキーが割り当てられます。
 
 - 暗号化:
-- オブジェクトデータ + 作成された平文DEK --> 暗号化データ（S3内に保存）
-- 作成された平文DEK + S3マスターキー --> 暗号化DEK（S3内に保存）および平文はメモリから削除される
+- Object Data + 生成されたプレーンテキストDEK --> 暗号化データ（S3内に保存）
+- 生成されたプレーンテキストDEK + S3 Master Key --> 暗号化DEK（S3内に保存）およびプレーンテキストはメモリから削除
 - 復号化:
-- 暗号化DEK + S3マスターキー --> 平文DEK
-- 平文DEK + 暗号化データ --> オブジェクトデータ
+- 暗号化DEK + S3 Master Key --> プレーンテキストDEK
+- プレーンテキストDEK + 暗号化データ --> オブジェクトデータ
 
-この場合、**キーはAWSによって管理されている**ことに注意してください（ローテーションは3年ごと）。独自のキーを使用する場合、ローテーション、無効化、およびアクセス制御を適用できます。
+なお、この場合**鍵はAWSによって管理されます**（ローテーションは3年ごと）。自身のキーを使用する場合は、ローテーション、無効化、およびアクセス制御の適用が可能になります。
 
 </details>
 
 <details>
 
-<summary><strong>KMS管理キーによるサーバーサイド暗号化、SSE-KMS</strong></summary>
+<summary><strong>Server-side encryption with KMS managed keys, SSE-KMS</strong></summary>
 
-この方法では、S3がキー管理サービスを使用してデータ暗号化キーを生成します。KMSは、キーの管理方法に対してはるかに大きな柔軟性を提供します。たとえば、CMKを無効化、ローテーション、およびアクセス制御を適用し、AWS Cloud Trailを使用してその使用に対して順序を付けることができます。
+この方法ではS3がKMSを用いてデータ暗号化キーを生成できます。KMSにより鍵管理の柔軟性が大幅に向上します。たとえば、CMKを無効化、ローテーション、アクセス制御でき、AWS Cloud Trailを使って使用状況を監査できます。
 
 - 暗号化:
-- S3がKMS CMKからデータキーを要求
-- KMSはCMKを使用して平文DEKと暗号化DEKのペアを生成し、それをS3に送信
-- S3は平文キーを使用してデータを暗号化し、暗号化データと暗号化キーを保存し、平文キーをメモリから削除
+- S3がKMSのCMKからデータキーを要求する
+- KMSはCMKを使ってプレーンテキストDEKと暗号化DEKのペアを生成し、それらをS3に返す
+- S3はプレーンテキストキーでデータを暗号化し、暗号化データと暗号化DEKを保存し、プレーンテキストキーをメモリから削除する
 - 復号化:
-- S3がKMSにオブジェクトの暗号化データキーを復号化するように要求
-- KMSはCMKでデータキーを復号化し、それをS3に返送
-- S3はオブジェクトデータを復号化
+- S3はオブジェクトの暗号化データキーを復号するようKMSに依頼する
+- KMSはCMKでデータキーを復号しS3に返す
+- S3はオブジェクトデータを復号する
 
 </details>
 
 <details>
 
-<summary><strong>顧客提供キーによるサーバーサイド暗号化、SSE-C</strong></summary>
+<summary><strong>Server-side encryption with customer provided keys, SSE-C</strong></summary>
 
-このオプションでは、AWSの外部で既に使用している可能性のある独自のマスターキーを提供する機会が与えられます。顧客提供キーは、データと共にS3に送信され、S3があなたのために暗号化を実行します。
+このオプションでは、AWS外で既に使用しているかもしれない自分のマスターキーを提供することができます。顧客提供キーはデータとともにS3に送信され、S3が代わりに暗号化を行います。
 
 - 暗号化:
-- ユーザーがオブジェクトデータ + 顧客キーをS3に送信
-- 顧客キーはデータを暗号化するために使用され、暗号化データが保存される
-- 顧客キーのソルト付きHMAC値も将来のキー検証のために保存される
-- 顧客キーはメモリから削除される
+- ユーザーがオブジェクトデータ + Customer key をS3に送信する
+- Customer keyがデータの暗号化に使われ、暗号化データが保存される
+- Customer keyのソルト付きHMAC値も将来のキー検証のために保存される
+- Customer keyはメモリから削除される
 - 復号化:
-- ユーザーが顧客キーを送信
-- キーは保存されたHMAC値に対して検証される
-- 顧客提供キーがデータを復号化するために使用される
+- ユーザーがcustomer keyを送信する
+- 保存されたHMAC値と照合してキーが検証される
+- 顧客提供キーがデータの復号に使用される
 
 </details>
 
 <details>
 
-<summary><strong>KMSによるクライアントサイド暗号化、CSE-KMS</strong></summary>
+<summary><strong>Client-side encryption with KMS, CSE-KMS</strong></summary>
 
-SSE-KMSと同様に、これもキー管理サービスを使用してデータ暗号化キーを生成します。ただし、今回はS3ではなくクライアントを介してKMSが呼び出されます。暗号化はクライアントサイドで行われ、暗号化データはS3に送信されて保存されます。
+SSE-KMSと同様に、KMSを使ってデータ暗号化キーを生成します。ただし今回はKMSはS3ではなくクライアントから呼び出されます。暗号化はクライアント側で行われ、その暗号化データがS3に送られて保存されます。
 
 - 暗号化:
-- クライアントがKMSにデータキーを要求
-- KMSは平文DEKとCMKで暗号化されたDEKを返す
-- 両方のキーが返送される
-- クライアントは平文DEKを使用してデータを暗号化し、暗号化データ + 暗号化DEK（S3内の暗号化データのメタデータとして保存）をS3に送信
+- クライアントがKMSにデータキーを要求する
+- KMSはプレーンテキストDEKとCMKで暗号化されたDEKを返す
+- 両方のキーがクライアントに返される
+- クライアントはプレーンテキストDEKでデータを暗号化し、暗号化データと暗号化DEK（S3内の暗号化データのメタデータとして保存）をS3に送信する
 - 復号化:
 - 暗号化データと暗号化DEKがクライアントに送信される
-- クライアントはCMKを使用して暗号化キーを復号化するようにKMSに要求し、KMSは平文DEKを返す
-- クライアントは暗号化データを復号化できる
+- クライアントはCMKを使って暗号化DEKを復号するようKMSに依頼し、KMSはプレーンテキストDEKを返す
+- クライアントはそのDEKで暗号化データを復号できる
 
 </details>
 
 <details>
 
-<summary><strong>顧客提供キーによるクライアントサイド暗号化、CSE-C</strong></summary>
+<summary><strong>Client-side encryption with customer provided keys, CSE-C</strong></summary>
 
-このメカニズムを使用すると、独自の提供されたキーを利用し、AWS-SDKクライアントを使用してデータを暗号化してからS3に送信して保存できます。
+この仕組みでは、自分で用意したキーを使い、AWS-SDKクライアントでデータを暗号化してからS3に送信できます。
 
 - 暗号化:
-- クライアントがDEKを生成し、平文データを暗号化
-- 次に、独自のカスタムCMKを使用してDEKを暗号化
-- 暗号化データ + 暗号化DEKをS3に送信し、保存される
+- クライアントがDEKを生成しプレーンテキストデータを暗号化する
+- その後、自身のcustom CMKでDEKを暗号化する
+- 暗号化データと暗号化DEKをS3に送信して保存する
 - 復号化:
-- S3が暗号化データとDEKを送信
-- クライアントはDEKを暗号化するために使用されたCMKを既に持っているため、DEKを復号化し、平文DEKを使用してデータを復号化
+- S3が暗号化データとDEKを送信する
+- クライアントはDEKを暗号化したCMKを既に持っているため、DEKを復号しプレーンテキストDEKでデータを復号する
 
 </details>
 
 ### **列挙**
 
-AWS組織を侵害する伝統的な主な方法の1つは、公開アクセス可能なバケットを侵害することから始まります。**あなたは** [**このページで公開バケット列挙ツールを見つけることができます**](../aws-unauthenticated-enum-access/#s3-buckets)**。**
+伝統的にAWS組織を侵害する主要な方法の一つは、公開アクセス可能なバケットを侵害することです。**こちらで見つけられます** [**public buckets enumerators in this page**](../aws-unauthenticated-enum-access/index.html#s3-buckets)**.**
 ```bash
 # Get buckets ACLs
 aws s3api get-bucket-acl --bucket <bucket-name>
@@ -229,16 +229,16 @@ aws s3api put-object-acl --bucket <bucket-name> --key flag --access-control-poli
 ```
 ### dual-stack <a href="#dual-stack-endpoints-description" id="dual-stack-endpoints-description"></a>
 
-S3バケットには、仮想ホストスタイルまたはパススタイルのエンドポイント名を使用して、デュアルスタックエンドポイントを介してアクセスできます。これは、IPv6を介してS3にアクセスするのに便利です。
+virtual hosted-style または path-style のエンドポイント名を使用して、dual-stack エンドポイント経由で S3 バケットにアクセスできます。これらは IPv6 経由で S3 にアクセスする際に便利です。
 
-デュアルスタックエンドポイントは、以下の構文を使用します：
+Dual-stack エンドポイントは次の構文を使用します:
 
 - `bucketname.s3.dualstack.aws-region.amazonaws.com`
 - `s3.dualstack.aws-region.amazonaws.com/bucketname`
 
 ### Privesc
 
-次のページでは、**S3の権限を悪用して特権を昇格させる方法**を確認できます：
+以下のページで **S3 の権限を悪用して権限昇格する方法** を確認できます:
 
 {{#ref}}
 ../aws-privilege-escalation/aws-s3-privesc/README.md
@@ -266,19 +266,19 @@ S3バケットには、仮想ホストスタイルまたはパススタイルの
 
 ### S3 HTTP Cache Poisoning Issue <a href="#heading-s3-http-desync-cache-poisoning-issue" id="heading-s3-http-desync-cache-poisoning-issue"></a>
 
-[**この研究によると**](https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies#heading-s3-http-desync-cache-poisoning-issue)、任意のバケットの応答を異なるバケットのようにキャッシュすることが可能でした。これを悪用して、例えばJavaScriptファイルの応答を変更し、S3を使用して静的コードを保存する任意のページを危険にさらすことができました。
+[**この調査によると**](https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies#heading-s3-http-desync-cache-poisoning-issue)、任意のバケットのレスポンスを別のバケットのものとしてキャッシュできる場合がありました。これを悪用すると、例えば javascript ファイルのレスポンスを書き換えて、S3 を使って静的コードをホストしている任意のページを改竄することが可能になり得ます。
 
 ## Amazon Athena
 
-Amazon Athenaは、標準の**SQL**を使用してAmazon Simple Storage Service（Amazon **S3**）内のデータを直接**分析する**のを容易にするインタラクティブなクエリサービスです。
+Amazon Athena は、Amazon Simple Storage Service (Amazon **S3**) 内のデータを標準の **SQL** を使って直接 **分析する** のを容易にするインタラクティブなクエリサービスです。
 
-監視対象のS3バケットに表示されるコンテンツの形式で**リレーショナルDBテーブルを準備する**必要があります。その後、Amazon AthenaはログからDBをポピュレートできるため、クエリを実行できます。
+監視対象の S3 バケットに含まれるコンテンツの形式に合わせて **リレーショナル DB テーブルを準備** する必要があります。すると、Amazon Athena はログから DB を構築できるようになり、クエリを実行できます。
 
-Amazon Athenaは、**すでに暗号化されたS3データをクエリする能力をサポートしており**、設定されている場合、**Athenaはクエリの結果を暗号化し、それをS3に保存することもできます**。
+Amazon Athena は **既に暗号化されている S3 データをクエリする機能** をサポートしており、設定によっては **Athena がクエリ結果を暗号化して S3 に保存することも可能** です。
 
-**この結果の暗号化は、基盤となるクエリされたS3データとは独立しています**。つまり、S3データが暗号化されていなくても、クエリされた結果は暗号化できます。注意すべき点は、Amazon Athenaは**次のS3暗号化方式**、**SSE-S3、SSE-KMS、およびCSE-KMS**で**暗号化されたデータ**のみをサポートすることです。
+**クエリ結果の暗号化は、基になるクエリ対象の S3 データの暗号化とは独立しています**。つまり、S3 データ自体が暗号化されていなくても、クエリ結果を暗号化することができます。注意点として、Amazon Athena は **次の S3 暗号化方式で暗号化されたデータ**、つまり **SSE-S3, SSE-KMS, and CSE-KMS** のみをサポートしています。
 
-SSE-CおよびCSE-Eはサポートされていません。さらに、Amazon Athenaは**クエリ自体と同じリージョンにある暗号化されたオブジェクトに対してのみクエリを実行する**ことを理解することが重要です。KMSを使用して暗号化されたS3データをクエリする必要がある場合、Athenaユーザーがクエリを実行できるようにするために特定の権限が必要です。
+SSE-C と CSE-C はサポートされていません。加えて、Amazon Athena は **クエリを実行するリージョンと同じリージョンにある暗号化オブジェクトに対してのみクエリを実行する** ことにも注意が必要です。KMS を使って暗号化された S3 データをクエリする必要がある場合、Athena ユーザーにはそのクエリを実行するための特定の権限が要求されます。
 
 ### Enumeration
 ```bash
@@ -302,7 +302,7 @@ aws athena get-prepared-statement --statement-name <name> --work-group <wg-name>
 # Run query
 aws athena start-query-execution --query-string <query>
 ```
-## 参考文献
+## 参考資料
 
 - [https://cloudsecdocs.com/aws/defensive/tooling/cli/#s3](https://cloudsecdocs.com/aws/defensive/tooling/cli/#s3)
 - [https://docs.aws.amazon.com/AmazonS3/latest/userguide/dual-stack-endpoints.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/dual-stack-endpoints.html)