Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
De la documentación: Azure Key Vault es un servicio en la nube para almacenar y acceder de manera segura a secretos. Un secreto es cualquier cosa a la que deseas controlar estrictamente el acceso, como claves API, contraseñas, certificados o claves criptográficas. El servicio de Key Vault admite dos tipos de contenedores: bóvedas y grupos de módulos de seguridad de hardware (HSM) administrados. Las bóvedas admiten el almacenamiento de claves, secretos y certificados respaldados por software y HSM. Los grupos de HSM administrados solo admiten claves respaldadas por HSM. Consulta Descripción general de la API REST de Azure Key Vault para obtener detalles completos.
El formato de URL es https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Donde:
vault-name es el nombre único global de la bóveda de claves
object-type puede ser "keys", "secrets" o "certificates"
object-name es el nombre único del objeto dentro de la bóveda de claves
object-version es generado por el sistema y se utiliza opcionalmente para dirigirse a una versión única de un objeto.
Para acceder a los secretos almacenados en la bóveda se pueden utilizar 2 modelos de permisos:
Política de acceso a la bóveda
Azure RBAC
El acceso a un recurso de Key Vault está controlado por dos planos:
El plano de gestión, cuyo objetivo es management.azure.com.
Se utiliza para gestionar la bóveda de claves y las políticas de acceso. Solo se admite el control de acceso basado en roles de Azure (RBAC).
El plano de datos, cuyo objetivo es <vault-name>.vault.azure.com.
Se utiliza para gestionar y acceder a los datos (claves, secretos y certificados) en la bóveda de claves. Esto admite políticas de acceso a la bóveda de claves o RBAC de Azure.
Un rol como Contributor que tiene permisos en el plano de gestión para gestionar políticas de acceso puede obtener acceso a los secretos modificando las políticas de acceso.
En Azure Key Vault, se pueden establecer reglas de firewall para permitir operaciones del plano de datos solo desde redes virtuales específicas o rangos de direcciones IPv4. Esta restricción también afecta el acceso a través del portal de administración de Azure; los usuarios no podrán listar claves, secretos o certificados en una bóveda de claves si su dirección IP de inicio de sesión no está dentro del rango autorizado.
Para analizar y gestionar estas configuraciones, puedes usar el Azure CLI:
El comando anterior mostrará la configuración del firewall de name-vault, incluyendo rangos de IP habilitados y políticas para el tráfico denegado.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
