AWS - Persistência do Secrets Manager

Reading time: 3 minutes

Secrets Manager

Para mais informações, consulte:

AWS - Secrets Manager Enum

Via Políticas de Recursos

É possível conceder acesso a segredos para contas externas por meio de políticas de recursos. Consulte a página de Privesc do Secrets Manager para mais informações. Observe que, para acessar um segredo, a conta externa também precisará de acesso à chave KMS que criptografa o segredo.

Via Lambda de Rotação de Segredos

Para rotacionar segredos automaticamente, uma Lambda configurada é chamada. Se um atacante puder alterar o código, ele poderá exfiltrar diretamente o novo segredo para si mesmo.

Este é um exemplo de como o código da lambda para tal ação poderia ser:

import boto3

def rotate_secrets(event, context):
# Create a Secrets Manager client
client = boto3.client('secretsmanager')

# Retrieve the current secret value
secret_value = client.get_secret_value(SecretId='example_secret_id')['SecretString']

# Rotate the secret by updating its value
new_secret_value = rotate_secret(secret_value)
client.update_secret(SecretId='example_secret_id', SecretString=new_secret_value)

def rotate_secret(secret_value):
# Perform the rotation logic here, e.g., generate a new password

# Example: Generate a new password
new_secret_value = generate_password()

return new_secret_value

def generate_password():
# Example: Generate a random password using the secrets module
import secrets
import string
password = ''.join(secrets.choice(string.ascii_letters + string.digits) for i in range(16))
return password