Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dal documento: Azure Key Vault è un servizio cloud per memorizzare e accedere in modo sicuro ai segreti. Un segreto è qualsiasi cosa a cui si desidera controllare strettamente l'accesso, come chiavi API, password, certificati o chiavi crittografiche. Il servizio Key Vault supporta due tipi di contenitori: vault e pool di moduli di sicurezza hardware gestiti (HSM). I vault supportano la memorizzazione di chiavi software e chiavi supportate da HSM, segreti e certificati. I pool HSM gestiti supportano solo chiavi supportate da HSM. Vedi Panoramica dell'API REST di Azure Key Vault per dettagli completi.
Il formato URL è https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Dove:
vault-name
è il nome unico globale del key vault
object-type
può essere "keys", "secrets" o "certificates"
object-name
è il nome unico dell'oggetto all'interno del key vault
object-version
è generato dal sistema e utilizzato facoltativamente per indirizzare una versione unica di un oggetto.
Per accedere ai segreti memorizzati nel vault possono essere utilizzati 2 modelli di autorizzazione:
Politica di accesso al vault
Azure RBAC
L'accesso a una risorsa Key Vault è controllato da due piani:
Il piano di gestione, il cui obiettivo è management.azure.com.
Viene utilizzato per gestire il key vault e le politiche di accesso. Solo il controllo degli accessi basato sui ruoli di Azure (RBAC) è supportato.
Il piano dati, il cui obiettivo è <vault-name>.vault.azure.com
.
Viene utilizzato per gestire e accedere ai dati (chiavi, segreti e certificati) nel key vault. Questo supporta le politiche di accesso al vault o Azure RBAC.
Un ruolo come Contributor che ha permessi nel piano di gestione per gestire le politiche di accesso può accedere ai segreti modificando le politiche di accesso.
In Azure Key Vault, le regole del firewall possono essere impostate per consentire operazioni del piano dati solo da reti virtuali specificate o intervalli di indirizzi IPv4. Questa restrizione influisce anche sull'accesso tramite il portale di amministrazione di Azure; gli utenti non saranno in grado di elencare chiavi, segreti o certificati in un key vault se il loro indirizzo IP di accesso non è all'interno dell'intervallo autorizzato.
Per analizzare e gestire queste impostazioni, puoi utilizzare l'Azure CLI:
Il comando precedente mostrerà le impostazioni del firewall di name-vault
, inclusi gli intervalli IP abilitati e le politiche per il traffico negato.
Impara e pratica il hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)