mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-01-18 07:35:41 -08:00
Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/
This commit is contained in:
Translator
@@ -10,7 +10,7 @@ KMS utiliza **criptografía simétrica**. Esto se utiliza para **encriptar infor
|
||||
|
||||
KMS es un **servicio específico de región**.
|
||||
|
||||
**Los administradores de Amazon no tienen acceso a tus claves**. No pueden recuperar tus claves y no te ayudan con la encriptación de tus claves. AWS simplemente administra el sistema operativo y la aplicación subyacente; depende de nosotros administrar nuestras claves de encriptación y gestionar cómo se utilizan esas claves.
|
||||
**Los administradores de Amazon no tienen acceso a tus claves**. No pueden recuperar tus claves y no te ayudan con la encriptación de tus claves. AWS simplemente administra el sistema operativo y la aplicación subyacente; depende de nosotros administrar nuestras claves de encriptación y cómo se utilizan esas claves.
|
||||
|
||||
**Claves Maestras de Cliente** (CMK): Pueden encriptar datos de hasta 4KB de tamaño. Se utilizan típicamente para crear, encriptar y desencriptar las DEKs (Claves de Encriptación de Datos). Luego, las DEKs se utilizan para encriptar los datos.
|
||||
|
||||
@@ -29,11 +29,11 @@ Estas definen **quién puede usar y acceder a una clave en KMS**.
|
||||
|
||||
Por **defecto:**
|
||||
|
||||
- Da acceso a la **IAM de la** **cuenta de AWS que posee la clave KMS** para gestionar el acceso a la clave KMS a través de IAM.
|
||||
- Da acceso al **IAM de la** **cuenta de AWS que posee la clave KMS** para gestionar el acceso a la clave KMS a través de IAM.
|
||||
|
||||
A diferencia de otras políticas de recursos de AWS, una **política de clave KMS de AWS no otorga automáticamente permiso a ninguno de los principales de la cuenta**. Para otorgar permiso a los administradores de la cuenta, **la política de clave debe incluir una declaración explícita** que proporcione este permiso, como esta.
|
||||
|
||||
- Sin permitir la cuenta (`"AWS": "arn:aws:iam::111122223333:root"`), los permisos de IAM no funcionarán.
|
||||
- Sin permitir la cuenta(`"AWS": "arn:aws:iam::111122223333:root"`) los permisos de IAM no funcionarán.
|
||||
|
||||
- **Permite que la cuenta use políticas de IAM** para permitir el acceso a la clave KMS, además de la política de clave.
|
||||
|
||||
@@ -76,9 +76,9 @@ Concesiones:
|
||||
|
||||
**Acceso**:
|
||||
|
||||
- A través de **política de clave** -- Si esto existe, esto tiene **precedencia** sobre la política de IAM
|
||||
- A través de **política de IAM**
|
||||
- A través de **concesiones**
|
||||
- A través de **política de clave** -- Si esto existe, esto tiene **precedencia** sobre la política de IAM.
|
||||
- A través de **política de IAM**.
|
||||
- A través de **concesiones**.
|
||||
|
||||
</details>
|
||||
|
||||
@@ -86,22 +86,22 @@ Concesiones:
|
||||
|
||||
Administrador de clave por defecto:
|
||||
|
||||
- Tienen acceso para gestionar KMS pero no para cifrar o descifrar datos
|
||||
- Solo se pueden agregar usuarios y roles de IAM a la lista de Administradores de Clave (no grupos)
|
||||
- Si se utiliza un CMK externo, los Administradores de Clave tienen el permiso para importar material de clave
|
||||
- Tienen acceso para gestionar KMS pero no para cifrar o descifrar datos.
|
||||
- Solo se pueden agregar usuarios y roles de IAM a la lista de Administradores de Clave (no grupos).
|
||||
- Si se utiliza un CMK externo, los Administradores de Clave tienen el permiso para importar material de clave.
|
||||
|
||||
### Rotación de CMKs
|
||||
|
||||
- Cuanto más tiempo se deja la misma clave en su lugar, más datos se cifran con esa clave, y si esa clave se ve comprometida, entonces mayor será el área de impacto de los datos en riesgo. Además de esto, cuanto más tiempo esté activa la clave, aumenta la probabilidad de que sea comprometida.
|
||||
- Cuanto más tiempo se deja la misma clave en su lugar, más datos se cifran con esa clave, y si esa clave es comprometida, entonces mayor será el área de impacto de los datos en riesgo. Además de esto, cuanto más tiempo esté activa la clave, aumenta la probabilidad de que sea comprometida.
|
||||
- **KMS rota las claves de cliente cada 365 días** (o puedes realizar el proceso manualmente cuando quieras) y **las claves gestionadas por AWS cada 3 años** y este tiempo no se puede cambiar.
|
||||
- **Las claves más antiguas se retienen** para descifrar datos que fueron cifrados antes de la rotación.
|
||||
- En un compromiso, rotar la clave no eliminará la amenaza, ya que será posible descifrar todos los datos cifrados con la clave comprometida. Sin embargo, los **nuevos datos se cifrarán con la nueva clave**.
|
||||
- En un compromiso, rotar la clave no eliminará la amenaza, ya que será posible descifrar todos los datos cifrados con la clave comprometida. Sin embargo, **los nuevos datos se cifrarán con la nueva clave**.
|
||||
- Si el **CMK** está en estado de **deshabilitado** o **pendiente de** **eliminación**, KMS **no realizará una rotación de clave** hasta que el CMK sea reactivado o se cancele la eliminación.
|
||||
|
||||
#### Rotación manual
|
||||
|
||||
- Se **necesita crear un nuevo CMK**, luego, se crea un nuevo CMK-ID, por lo que necesitarás **actualizar** cualquier **aplicación** para **referenciar** el nuevo CMK-ID.
|
||||
- Para facilitar este proceso, puedes **usar alias para referirte a un key-id** y luego solo actualizar la clave a la que se refiere el alias.
|
||||
- Para facilitar este proceso, puedes **usar alias para referenciar un key-id** y luego solo actualizar la clave a la que se refiere el alias.
|
||||
- Necesitas **mantener claves antiguas para descifrar archivos antiguos** cifrados con ellas.
|
||||
|
||||
Puedes importar claves de tu infraestructura de claves local.
|
||||
@@ -110,12 +110,12 @@ Puedes importar claves de tu infraestructura de claves local.
|
||||
|
||||
KMS se cobra por el número de solicitudes de cifrado/descifrado recibidas de todos los servicios por mes.
|
||||
|
||||
KMS tiene una completa auditoría e **integración de cumplimiento con CloudTrail**; aquí es donde puedes auditar todos los cambios realizados en KMS.
|
||||
KMS tiene una completa auditoría y **integración de cumplimiento con CloudTrail**; aquí es donde puedes auditar todos los cambios realizados en KMS.
|
||||
|
||||
Con la política de KMS puedes hacer lo siguiente:
|
||||
|
||||
- Limitar quién puede crear claves de datos y qué servicios tienen acceso para usar estas claves
|
||||
- Limitar el acceso de los sistemas a cifrar solo, descifrar solo o ambos
|
||||
- Limitar quién puede crear claves de datos y qué servicios tienen acceso para usar estas claves.
|
||||
- Limitar el acceso de los sistemas a cifrar solo, descifrar solo o ambos.
|
||||
- Definir para habilitar a los sistemas a acceder a claves a través de regiones (aunque no se recomienda, ya que una falla en la región que aloja KMS afectará la disponibilidad de los sistemas en otras regiones).
|
||||
|
||||
No puedes sincronizar o mover/copiar claves entre regiones; solo puedes definir reglas para permitir el acceso entre regiones.
|
||||
@@ -135,13 +135,13 @@ aws kms describe-custom-key-stores
|
||||
../aws-privilege-escalation/aws-kms-privesc.md
|
||||
{{#endref}}
|
||||
|
||||
### Post Exploitation
|
||||
### Post Explotación
|
||||
|
||||
{{#ref}}
|
||||
../aws-post-exploitation/aws-kms-post-exploitation.md
|
||||
{{#endref}}
|
||||
|
||||
### Persistence
|
||||
### Persistencia
|
||||
|
||||
{{#ref}}
|
||||
../aws-persistence/aws-kms-persistence.md
|
||||
|
||||
Reference in New Issue
Block a user