Finders Keypers：开源AWS KMS密钥使用管理工具

Finders Keypers是一个开源工具，用于分析AWS KMS密钥的当前使用情况。它同时支持AWS客户管理的KMS密钥和AWS管理的KMS密钥。

用例包括：

• 识别特定KMS密钥的爆炸半径以及它们可能影响的资源，如S3数据、RDS和DynamoDB等数据库等。
• 评估加密访问控制，以确定哪些委托人可以访问数据和资源。
• 评估关键生命周期管理的影响，包括关键轮换、更新以及关键退役或删除。
• 通过分析潜在的关键使用和访问来支持审计和合规工作。
• 验证新资源创建和加密配置的默认AWS设置。

“在使用AWS KMS研究AWS中的云加密时，我们注意到了一个重大差距：使用AWS KMS加密密钥及其对AWS中多个资源数据安全的影响的可见性。一个用例是，如果KMS密钥被破坏，它可能需要密钥轮换和策略更改，当更改并仍然被活动资源使用时，可能会对下游产生重大影响——可能导致数据丢失，”Fog Security的创始人Jason Kao告诉Help Net Security。

“AWS推荐的跟踪KMS密钥使用方法，如检查密钥权限和查看CloudTrail日志，是有限制的。CloudTrail仅保留90天的历史记录，权限仅显示哪些主体有访问权限，而不是数据资源和密钥之间的直接链接。我们的方法不同：我们分析每个AWS服务及其资源，以映射活跃的KMS关键使用情况，从而更好地了解真实爆炸半径，”Kao补充道。

Finders Keypers支持21项AWS服务的28种不同的资源类型，专注于AWS计算、数据库产品、分析服务、存储以及秘密和配置管理等高使用领域。每项服务和资源可能需要不同的API调用和IAM权限，这反映了其独特的安全和访问控制要求。

未来计划和下载

“我们对未来版本的计划是继续构建和扩大Finders Keypers的覆盖范围。我们还计划继续构建云勒索软件预防和加密管理空间，特别是帮助用户了解其数据安全性、其数据如何保护其免受勒索软件、访问数据以及如何加密其数据的工具，”Kao解释说。

Finders Keypers在GitHub上免费提供。