Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs: Azure Key Vault एक क्लाउड सेवा है जो गोपनीयताओं को सुरक्षित रूप से संग्रहीत और एक्सेस करने के लिए है। एक गोपनीयता वह है जिसे आप कड़ाई से नियंत्रित करना चाहते हैं, जैसे API कुंजी, पासवर्ड, प्रमाणपत्र, या क्रिप्टोग्राफिक कुंजी। Key Vault सेवा दो प्रकार के कंटेनरों का समर्थन करती है: वॉल्ट और प्रबंधित हार्डवेयर सुरक्षा मॉड्यूल (HSM) पूल। वॉल्ट सॉफ़्टवेयर और HSM-समर्थित कुंजियों, गोपनीयताओं और प्रमाणपत्रों को संग्रहीत करने का समर्थन करते हैं। प्रबंधित HSM पूल केवल HSM-समर्थित कुंजियों का समर्थन करते हैं। पूर्ण विवरण के लिए Azure Key Vault REST API अवलोकन देखें।
URL प्रारूप है https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
जहाँ:
vault-name
कुंजी वॉल्ट का वैश्विक रूप से विशिष्ट नाम है
object-type
"keys", "secrets" या "certificates" हो सकता है
object-name
कुंजी वॉल्ट के भीतर वस्तु का विशिष्ट नाम है
object-version
प्रणाली द्वारा उत्पन्न होता है और वैकल्पिक रूप से एक वस्तु के विशिष्ट संस्करण को संबोधित करने के लिए उपयोग किया जाता है।
वॉल्ट में संग्रहीत गोपनीयताओं तक पहुँचने के लिए 2 अनुमतियों के मॉडल का उपयोग किया जा सकता है:
वॉल्ट एक्सेस नीति
Azure RBAC
Key Vault संसाधन तक पहुँच दो स्तरों द्वारा नियंत्रित होती है:
प्रबंधन स्तर, जिसका लक्ष्य management.azure.com है।
इसका उपयोग कुंजी वॉल्ट और एक्सेस नीतियों को प्रबंधित करने के लिए किया जाता है। केवल Azure भूमिका आधारित एक्सेस नियंत्रण (RBAC) का समर्थन किया जाता है।
डेटा स्तर, जिसका लक्ष्य <vault-name>.vault.azure.com
है।
इसका उपयोग कुंजी वॉल्ट में डेटा (कुंजी, गोपनीयताएँ और प्रमाणपत्र) को प्रबंधित और एक्सेस करने के लिए किया जाता है। यह कुंजी वॉल्ट एक्सेस नीतियों या Azure RBAC का समर्थन करता है।
एक भूमिका जैसे Contributor जिसे प्रबंधन स्थान में एक्सेस नीतियों को प्रबंधित करने के लिए अनुमतियाँ हैं, वह एक्सेस नीतियों को संशोधित करके गोपनीयताओं तक पहुँच प्राप्त कर सकता है।
Azure Key Vault में, फायरवॉल नियम सेट किए जा सकते हैं ताकि निर्धारित वर्चुअल नेटवर्क या IPv4 पते की रेंज से केवल डेटा स्तर के संचालन की अनुमति दी जा सके। यह प्रतिबंध Azure प्रशासन पोर्टल के माध्यम से पहुँच को भी प्रभावित करता है; यदि उपयोगकर्ता का लॉगिन IP पता अधिकृत रेंज के भीतर नहीं है, तो वे कुंजी, गोपनीयताएँ, या प्रमाणपत्रों की सूची नहीं देख पाएंगे।
इन सेटिंग्स का विश्लेषण और प्रबंधन करने के लिए, आप Azure CLI का उपयोग कर सकते हैं:
पिछला कमांड name-vault
के फायरवॉल सेटिंग्स को प्रदर्शित करेगा, जिसमें सक्षम IP रेंज और अस्वीकृत ट्रैफ़िक के लिए नीतियाँ शामिल हैं।
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)