Az - Key Vault

Support HackTricks

Basic Information

From the docs: Azure Key Vault est un service cloud pour le stockage et l'accès sécurisé aux secrets. Un secret est tout ce que vous souhaitez contrôler étroitement l'accès, comme des clés API, des mots de passe, des certificats ou des clés cryptographiques. Le service Key Vault prend en charge deux types de conteneurs : des coffres et des pools de modules de sécurité matériels gérés (HSM). Les coffres prennent en charge le stockage de clés, de secrets et de certificats logiciels et soutenus par HSM. Les pools HSM gérés ne prennent en charge que les clés soutenues par HSM. Voir Aperçu de l'API REST Azure Key Vault pour des détails complets.

Le format d'URL est https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Où :

  • vault-name est le nom unique du coffre de clés

  • object-type peut être "keys", "secrets" ou "certificates"

  • object-name est le nom unique de l'objet dans le coffre de clés

  • object-version est généré par le système et utilisé en option pour adresser une version unique d'un objet.

Pour accéder aux secrets stockés dans le coffre, 2 modèles de permissions peuvent être utilisés :

  • Politique d'accès au coffre

  • Azure RBAC

Access Control

L'accès à une ressource Key Vault est contrôlé par deux plans :

  • Le plan de gestion, dont la cible est management.azure.com.

  • Il est utilisé pour gérer le coffre de clés et les politiques d'accès. Seul le contrôle d'accès basé sur les rôles Azure (RBAC) est pris en charge.

  • Le plan de données, dont la cible est <vault-name>.vault.azure.com.

  • Il est utilisé pour gérer et accéder aux données (clés, secrets et certificats) dans le coffre de clés. Cela prend en charge les politiques d'accès au coffre ou Azure RBAC.

Un rôle comme Contributor qui a des permissions dans le plan de gestion pour gérer les politiques d'accès peut accéder aux secrets en modifiant les politiques d'accès.

Key Vault RBAC Built-In Roles

Network Access

Dans Azure Key Vault, des règles de pare-feu peuvent être mises en place pour autoriser les opérations du plan de données uniquement à partir de réseaux virtuels spécifiés ou de plages d'adresses IPv4. Cette restriction affecte également l'accès via le portail d'administration Azure ; les utilisateurs ne pourront pas lister les clés, secrets ou certificats dans un coffre de clés si leur adresse IP de connexion n'est pas dans la plage autorisée.

Pour analyser et gérer ces paramètres, vous pouvez utiliser le Azure CLI :

az keyvault show --name name-vault --query networkAcls

La commande précédente affichera les paramètres de pare-feu de name-vault, y compris les plages IP activées et les politiques pour le trafic refusé.

Énumération

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText
Soutenir HackTricks

Last updated