gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-27 13:13:06 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-kms-enum

Browse Source
This commit is contained in:
Translator
2025-07-07 09:52:28 +00:00
parent 2f72866c3d
commit da1b69c009
2 changed files with 22 additions and 20 deletions
Download Patch File Download Diff File Expand all files Collapse all files

40
src/pentesting-cloud/aws-security/aws-services/aws-kms-enum.md
View File

@@ -4,9 +4,9 @@
## KMS - Sleutelbestuurdiens
AWS Sleutelbestuurdiens (AWS KMS) word aangebied as 'n bestuurde diens, wat die proses vir gebruikers vereenvoudig om **klant meester sleutels** (CMKs) te **skep en te bestuur**. Hierdie CMKs is integraal in die versleuteling van gebruikersdata. 'n Opmerkelijke kenmerk van AWS KMS is dat CMKs hoofsaaklik **beveilig word deur hardewarebeveiligingsmodules** (HSMs), wat die beskerming van die versleuteling sleutels verbeter.
AWS Sleutelbestuurdiens (AWS KMS) word aangebied as 'n bestuurde diens, wat die proses vir gebruikers vereenvoudig om **klant meester sleutels** (CMKs) te **skep en te bestuur**. Hierdie CMKs is integraal in die versleuteling van gebruikersdata. 'n Opmerklike kenmerk van AWS KMS is dat CMKs hoofsaaklik **beveilig word deur hardewarebeveiligingsmodules** (HSMs), wat die beskerming van die versleuteling sleutels verbeter.
KMS gebruik **simmetriese kriptografie**. Dit word gebruik om **inligting in rus te versleutelen** (byvoorbeeld, binne 'n S3). As jy **inligting in oordrag wil versleutelen**, moet jy iets soos **TLS** gebruik.
KMS gebruik **simmetriese kriptografie**. Dit word gebruik om **inligting in rus te versleutelen** (byvoorbeeld, binne 'n S3). As jy **inligting in oorgang** wil versleutelen, moet jy iets soos **TLS** gebruik.
KMS is 'n **streekspesifieke diens**.
@@ -29,15 +29,15 @@ Hierdie definieer **wie 'n sleutel in KMS kan gebruik en toegang hê**.
Deur **standaard:**
- Dit gee die **IAM van die** **AWS rekening wat die KMS sleutel besit toegang** om die toegang tot die KMS sleutel via IAM te bestuur.
- Dit gee die **IAM van die** **AWS-rekening wat die KMS-sleutel besit toegang** om die toegang tot die KMS-sleutel via IAM te bestuur.
In teenstelling met ander AWS hulpbronbeleide, 'n AWS **KMS sleutelbeleid gee nie outomaties toestemming aan enige van die principals van die rekening nie**. Om toestemming aan rekening administrateurs te gee, moet die **sleutelbeleid 'n eksplisiete verklaring insluit** wat hierdie toestemming verskaf, soos hierdie een.
In teenstelling met ander AWS hulpbronbeleide, 'n AWS **KMS-sleutelbeleid gee nie outomaties toestemming aan enige van die principals van die rekening nie**. Om toestemming aan rekening administrateurs te gee, moet die **sleutelbeleid 'n eksplisiete verklaring insluit** wat hierdie toestemming verskaf, soos hierdie een.
- Sonder om die rekening toe te laat (`"AWS": "arn:aws:iam::111122223333:root"`) sal IAM toestemmings nie werk nie.
- Sonder om die rekening toe te laat (`"AWS": "arn:aws:iam::111122223333:root"`) sal IAM-toestemmings nie werk nie.
- Dit **laat die rekening toe om IAM beleide te gebruik** om toegang tot die KMS sleutel toe te laat, benewens die sleutelbeleid.
- Dit **laat die rekening toe om IAM-beleide te gebruik** om toegang tot die KMS-sleutel toe te laat, benewens die sleutelbeleid.
**Sonder hierdie toestemming is IAM beleide wat toegang tot die sleutel toelaat, ondoeltreffend**, alhoewel IAM beleide wat toegang tot die sleutel ontken steeds doeltreffend is.
**Sonder hierdie toestemming is IAM-beleide wat toegang tot die sleutel toelaat, ondoeltreffend**, alhoewel IAM-beleide wat toegang tot die sleutel ontken steeds doeltreffend is.
- Dit **verlaag die risiko dat die sleutel onbestuurbaar word** deur toegangbeheer toestemming aan die rekening administrateurs te gee, insluitend die rekening wortelgebruiker, wat nie verwyder kan word nie.
@@ -54,7 +54,7 @@ In teenstelling met ander AWS hulpbronbeleide, 'n AWS **KMS sleutelbeleid gee ni
}
```
> [!WARNING]
> As die **rekening toegelaat word** (`"arn:aws:iam::111122223333:root"`), sal 'n **hoofpersoon** van die rekening **nog steeds IAM-toestemmings** benodig om die KMS-sleutel te gebruik. As die **ARN** van 'n rol byvoorbeeld **spesifiek toegelaat** word in die **Sleutelbeleid**, het daardie rol **nie IAM-toestemmings** nodig nie.
> As die **rekening toegelaat word** (`"arn:aws:iam::111122223333:root"`), sal 'n **hoofpersoon** van die rekening **nog steeds IAM-toestemmings** benodig om die KMS-sleutel te gebruik. As die **ARN** van 'n rol byvoorbeeld **spesifiek toegelaat** is in die **Sleutelbeleid**, benodig daardie rol **nie IAM-toestemmings** nie.
<details>
@@ -66,7 +66,7 @@ Eienskappe van 'n beleid:
- Hulpbron --> Aangetaste hulpbronne (kan wees "\*")
- Aksie --> kms:Encrypt, kms:Decrypt, kms:CreateGrant ... (toestemmings)
- Effek --> Toelaat/Weier
- Hoofpersoon --> arn aangetas
- Hoofpersoon --> arn aangetref
- Voorwaardes (opsioneel) --> Voorwaarde om die toestemmings te gee
Toekennings:
@@ -76,9 +76,9 @@ Toekennings:
**Toegang**:
- Via **sleutelbeleid** -- As dit bestaan, het dit **prioriteit** bo die IAM-beleid
- Via **IAM-beleid**
- Via **toekennings**
- Via **sleutelbeleid** -- As dit bestaan, het dit **prioriteit** bo die IAM-beleid.
- Via **IAM-beleid**.
- Via **toekennings**.
</details>
@@ -86,36 +86,36 @@ Toekennings:
Sleuteladministrateur per standaard:
- Het toegang om KMS te bestuur, maar nie om data te enkripteer of te dekripteer nie
- Slegs IAM-gebruikers en rolle kan by die Sleuteladministratorslys gevoeg word (nie groepe nie)
- As 'n eksterne CMK gebruik word, het Sleuteladministrators die toestemming om sleutelmateriaal te importeer
- Het toegang om KMS te bestuur, maar nie om data te enkripteer of te dekripteer nie.
- Slegs IAM-gebruikers en rolle kan by die Sleuteladministratorslys gevoeg word (nie groepe nie).
- As 'n eksterne CMK gebruik word, het Sleuteladministrators die toestemming om sleutelmateriaal te importeer.
### Rotasie van CMK's
- Hoe langer dieselfde sleutel in plek gelaat word, hoe meer data word met daardie sleutel geënkripteer, en as daardie sleutel gecompromitteer word, is die groter die blast area van data in gevaar. Benewens dit, hoe langer die sleutel aktief is, hoe groter is die waarskynlikheid dat dit gecompromitteer sal word.
- **KMS roteer kliëntsleutels elke 365 dae** (of jy kan die proses handmatig uitvoer wanneer jy wil) en **sleutels wat deur AWS bestuur word elke 3 jaar** en hierdie tyd kan nie verander word nie.
- **Ou sleutels word behou** om data te dekripteer wat voor die rotasie geënkripteer was.
- In 'n breek, sal die rotasie van die sleutel nie die bedreiging verwyder nie, aangesien dit moontlik sal wees om al die data wat met die gecompromitteerde sleutel geënkripteer is, te dekripteer. Maar, die **nuwe data sal geënkripteer word met die nuwe sleutel**.
- In 'n breek, sal die rotasie van die sleutel nie die bedreiging verwyder nie, aangesien dit moontlik sal wees om al die data wat met die gecompromitteerde sleutel geënkripteer is, te dekripteer. Maar, die **nuwe data sal met die nuwe sleutel geënkripteer word**.
- As **CMK** in 'n toestand van **gedeaktiveer** of **hangende** **verwydering** is, sal KMS **nie 'n sleutelrotasie uitvoer** totdat die CMK heraktiveer of die verwydering gekanselleer word nie.
#### Handmatige rotasie
- 'n **Nuwe CMK moet geskep word**, dan, 'n nuwe CMK-ID word geskep, so jy sal **moet opdateer** enige **toepassing** om die nuwe CMK-ID te **verwys**.
- Om hierdie proses makliker te maak, kan jy **aliasse gebruik om na 'n sleutel-id te verwys** en dan net die sleutel wat die alias verwys, opdateer.
- Om hierdie proses makliker te maak, kan jy **aliases gebruik om na 'n sleutel-id te verwys** en dan net die sleutel wat die alias verwys, opdateer.
- Jy moet **ou sleutels hou om ou lêers te dekripteer** wat daarmee geënkripteer is.
Jy kan sleutels van jou plaaslike sleutel-infrastruktuur invoer.
### Ander relevante KMS-inligting
KMS is geprys per aantal enkripsie/dekripsie versoeke wat van alle dienste per maand ontvang word.
KMS word geprys per aantal enkripsie/dekripsie versoeke wat van alle dienste per maand ontvang word.
KMS het volle oudit en nakoming **integrasie met CloudTrail**; dit is waar jy al die veranderinge wat op KMS uitgevoer is, kan oudit.
Met KMS-beleid kan jy die volgende doen:
- Beperk wie data sleutels kan skep en watter dienste toegang het om hierdie sleutels te gebruik
- Beperk stelsels se toegang om slegs te enkripteer, slegs te dekripteer of albei
- Beperk wie data sleutels kan skep en watter dienste toegang het om hierdie sleutels te gebruik.
- Beperk stelsels se toegang om slegs te enkripteer, slegs te dekripteer of albei.
- Definieer om stelsels toe te laat om sleutels oor streke te benader (alhoewel dit nie aanbeveel word nie, aangesien 'n mislukking in die streek wat KMS huisves, die beskikbaarheid van stelsels in ander streke sal beïnvloed).
Jy kan nie sleutels oor streke sinkroniseer of beweeg/kopieer nie; jy kan slegs reëls definieer om toegang oor streke toe te laat.