Az - Key Vault

基本情報

ドキュメントから: Azure Key Vaultは、秘密を安全に保存およびアクセスするためのクラウドサービスです。秘密とは、APIキー、パスワード、証明書、または暗号鍵など、アクセスを厳密に制御したいものです。Key Vaultサービスは、ボールトと管理されたハードウェアセキュリティモジュール（HSM）プールの2種類のコンテナをサポートしています。ボールトは、ソフトウェアおよびHSMバックの鍵、秘密、証明書を保存することをサポートします。管理されたHSMプールは、HSMバックの鍵のみをサポートします。完全な詳細については、Azure Key Vault REST APIの概要を参照してください。

URL形式はhttps://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}です。ここで:

• vault-nameは、キー ボールトのグローバルに一意な名前です。

• object-typeは「keys」、「secrets」または「certificates」です。

• object-nameは、キー ボールト内の一意なオブジェクト名です。

• object-versionはシステム生成され、オブジェクトの一意のバージョンを指定するためにオプションで使用されます。

ボールトに保存された秘密にアクセスするためには、2つの権限モデルを使用できます:

• ボールトアクセスポリシー

• Azure RBAC

アクセス制御

Key Vaultリソースへのアクセスは、2つのプレーンによって制御されます:

• 管理プレーン、そのターゲットはmanagement.azure.comです。

• これは、キー ボールトとアクセス ポリシーを管理するために使用されます。Azureのロールベースのアクセス制御（RBAC）のみがサポートされています。

• データプレーン、そのターゲットは**<vault-name>.vault.azure.com**です。

• これは、キー ボールト内のデータ（鍵、秘密、証明書）を管理およびアクセスするために使用されます。これには、キー ボールト アクセス ポリシーまたはAzure RBACがサポートされています。

Contributorのような役割は、アクセス ポリシーを管理するための管理プレーンでの権限を持っているため、アクセス ポリシーを変更することで秘密にアクセスできます。

Key Vault RBAC組み込みロール

ネットワークアクセス

Azure Key Vaultでは、ファイアウォールルールを設定して、指定された仮想ネットワークまたはIPv4アドレス範囲からのみデータプレーン操作を許可できます。この制限は、Azure管理ポータルを通じたアクセスにも影響します。ログインIPアドレスが承認された範囲内でない場合、ユーザーはキー、秘密、または証明書をキー ボールト内でリストすることができません。

これらの設定を分析および管理するには、Azure CLIを使用できます:

az keyvault show --name name-vault --query networkAcls

前のコマンドは、name-vaultのファイアウォール設定を表示し、許可されたIP範囲と拒否されたトラフィックのポリシーを含みます。

列挙

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done