Злоумышленники могут извлекать учетные данные из облачных менеджеров секретов, таких как AWS Secrets Manager, GCP Secret Manager, Azure Key Vault и Terraform Vault.

Менеджеры секретов обеспечивают защищенное централизованное управление паролями, ключами API и другими учетными данными. Облачные сервисы, в которых используются менеджеры секретов, могут динамически получать учетные данные, направляя запросы к API, вместо того чтобы обращаться к секретам, сохраненным в текстовых файлах или переменных окружения, которые недостаточно надежно защищены.

Обладая достаточным уровнем привилегий в облачной среде, например получив учетные данные облачной учетной записи с высоким уровнем привилегий или скомпрометировав службу, имеющую право на получение секретов, злоумышленник может запросить секреты у менеджера секретов. Для этого могут использоваться такие команды, как get-secret-value в AWS, gcloud secrets describe в GCP и az key vault secret show в Azure.

Примечание. Эта техника отличается от техники использования API метаданных облачных экземпляров тем, что учетные данные запрашиваются напрямую у облачного менеджера секретов, а не через API метаданных экземпляра.