gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 22:50:43 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/

Browse Source
This commit is contained in:
Translator
2025-01-02 01:25:02 +00:00
parent c0ee8b41f2
commit ff7e659f3f
209 changed files with 1994 additions and 1989 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-cloud/aws-security/aws-services/aws-kms-enum.md
View File

@@ -21,7 +21,7 @@ Es gibt 2 Arten von Master-Schlüsseln:
- **AWS verwaltete CMKs: Werden von anderen Diensten zur Verschlüsselung von Daten verwendet**. Es wird von dem Dienst verwendet, der es in einer Region erstellt hat. Sie werden beim ersten Mal erstellt, wenn Sie die Verschlüsselung in diesem Dienst implementieren. Wechselt alle 3 Jahre und es ist nicht möglich, es zu ändern.
- **Kundenverwaltete CMKs**: Flexibilität, Rotation, konfigurierbarer Zugriff und Schlüsselrichtlinie. Aktivieren und Deaktivieren von Schlüsseln.
**Envelope Encryption** im Kontext des Key Management Service (KMS): Zweistufiges Hierarchiesystem zur **Verschlüsselung von Daten mit einem Datenschlüssel und dann zur Verschlüsselung des Datenschlüssels mit einem Master-Schlüssel**.
**Envelope Encryption** im Kontext des Key Management Service (KMS): Zweistufiges Hierarchiesystem zur **Verschlüsselung von Daten mit einem Datenschlüssel und dann Verschlüsselung des Datenschlüssels mit dem Master-Schlüssel**.
### Schlüsselrichtlinien
@@ -31,7 +31,7 @@ Diese definieren **wer einen Schlüssel in KMS verwenden und darauf zugreifen ka
- Es gibt dem **IAM des** **AWS-Kontos, das den KMS-Schlüssel besitzt, Zugriff**, um den Zugriff auf den KMS-Schlüssel über IAM zu verwalten.
Im Gegensatz zu anderen AWS-Ressourcenrichtlinien gewährt eine AWS **KMS-Schlüsselrichtlinie nicht automatisch Berechtigungen an eines der Prinzipale des Kontos**. Um den Kontoadministratoren Berechtigungen zu gewähren, **muss die Schlüsselrichtlinie eine explizite Aussage enthalten**, die diese Berechtigung bereitstellt, wie diese hier.
Im Gegensatz zu anderen AWS-Ressourcenrichtlinien gewährt eine AWS **KMS-Schlüsselrichtlinie nicht automatisch Berechtigungen an die Prinzipale des Kontos**. Um den Kontoadministratoren Berechtigungen zu gewähren, **muss die Schlüsselrichtlinie eine explizite Aussage enthalten**, die diese Berechtigung bereitstellt, wie diese hier.
- Ohne die Erlaubnis des Kontos (`"AWS": "arn:aws:iam::111122223333:root"`) funktionieren IAM-Berechtigungen nicht.
@@ -84,23 +84,23 @@ Grants:
### Schlüsseladministratoren
Schlüsseladministrator standardmäßig:
Schlüsseladministratoren standardmäßig:
- Haben Zugriff zur Verwaltung von KMS, jedoch nicht zum Verschlüsseln oder Entschlüsseln von Daten.
- Haben Zugriff zur Verwaltung von KMS, aber nicht zum Verschlüsseln oder Entschlüsseln von Daten.
- Nur IAM-Benutzer und -Rollen können zur Liste der Schlüsseladministratoren hinzugefügt werden (keine Gruppen).
- Wenn eine externe CMK verwendet wird, haben Schlüsseladministratoren die Berechtigung, Schlüsselmaterial zu importieren.
### Rotation von CMKs
- Je länger derselbe Schlüssel an Ort und Stelle bleibt, desto mehr Daten werden mit diesem Schlüssel verschlüsselt, und wenn dieser Schlüssel kompromittiert wird, desto größer ist der Gefahrenbereich der betroffenen Daten. Darüber hinaus steigt die Wahrscheinlichkeit eines Angriffs, je länger der Schlüssel aktiv ist.
- Je länger derselbe Schlüssel an Ort und Stelle bleibt, desto mehr Daten werden mit diesem Schlüssel verschlüsselt, und wenn dieser Schlüssel kompromittiert wird, desto größer ist das Risiko für die Daten. Darüber hinaus steigt die Wahrscheinlichkeit, dass der Schlüssel kompromittiert wird, je länger er aktiv ist.
- **KMS rotiert Kundenschlüssel alle 365 Tage** (oder Sie können den Prozess manuell durchführen, wann immer Sie möchten) und **Schlüssel, die von AWS verwaltet werden, alle 3 Jahre**, und diese Zeit kann nicht geändert werden.
- **Ältere Schlüssel werden aufbewahrt**, um Daten zu entschlüsseln, die vor der Rotation verschlüsselt wurden.
- Bei einem Bruch wird die Rotation des Schlüssels die Bedrohung nicht beseitigen, da es möglich sein wird, alle Daten zu entschlüsseln, die mit dem kompromittierten Schlüssel verschlüsselt wurden. Allerdings werden **neue Daten mit dem neuen Schlüssel verschlüsselt**.
- Wenn die **CMK** im Zustand **deaktiviert** oder **in der Löschung** **ausstehend** ist, wird KMS **keine Schlüsselrotation durchführen**, bis die CMK wieder aktiviert oder die Löschung abgebrochen wird.
- Wenn die **CMK** im Zustand **deaktiviert** oder **in der Löschung ausstehend** ist, wird KMS **keine Schlüsselrotation durchführen**, bis die CMK wieder aktiviert oder die Löschung abgebrochen wird.
#### Manuelle Rotation
- Eine **neue CMK muss erstellt werden**, dann wird eine neue CMK-ID erstellt, sodass Sie **jede Anwendung aktualisieren** müssen, um die neue CMK-ID **zu referenzieren**.
- Eine **neue CMK muss erstellt werden**, dann wird eine neue CMK-ID erstellt, sodass Sie **alle Anwendungen** **aktualisieren** müssen, um auf die neue CMK-ID zu **verweisen**.
- Um diesen Prozess zu erleichtern, können Sie **Aliase verwenden, um auf eine Schlüssel-ID zu verweisen** und dann einfach den Schlüssel aktualisieren, auf den der Alias verweist.
- Sie müssen **alte Schlüssel aufbewahren, um alte Dateien** zu entschlüsseln, die damit verschlüsselt wurden.
@@ -108,7 +108,7 @@ Sie können Schlüssel aus Ihrer lokalen Schlüssel-Infrastruktur importieren.
### Weitere relevante KMS-Informationen
KMS wird nach der Anzahl der pro Monat von allen Diensten empfangenen Verschlüsselungs-/Entschlüsselungsanfragen berechnet.
KMS wird pro Anzahl der von allen Diensten pro Monat empfangenen Verschlüsselungs-/Entschlüsselungsanfragen berechnet.
KMS hat eine vollständige Audit- und Compliance-**Integration mit CloudTrail**; hier können Sie alle Änderungen, die an KMS vorgenommen wurden, überprüfen.