Az - Key Vault

Osnovne informacije

Od dokumentacije: Azure Key Vault je cloud servis za sigurno čuvanje i pristup tajnama. Tajna je bilo šta čijem pristupu želite strogo kontrolisati, kao što su API ključevi, lozinke, sertifikati ili kriptografski ključevi. Servis Key Vault podržava dva tipa kontejnera: sefove i upravljane module za bezbednosni hardver (HSM). Sefovi podržavaju čuvanje softverskih i HSM podržanih ključeva, tajni i sertifikata. Upravljani HSM moduli podržavaju samo HSM podržane ključeve. Pogledajte Pregled Azure Key Vault REST API-ja za kompletne detalje.

Format URL-a je https://{ime-sefa}.vault.azure.net/{tip-objekta}/{ime-objekta}/{verzija-objekta} Gde:

• ime-sefa je globalno jedinstveno ime sefa ključeva

• tip-objekta može biti "ključevi", "tajne" ili "sertifikati"

• ime-objekta je jedinstveno ime objekta unutar sefa ključeva

• verzija-objekta je sistemski generisana i opciono se koristi za adresiranje jedinstvene verzije objekta.

Da bi se pristupilo tajnama smeštenim u sefu, mogu se koristiti 2 modela dozvola:

• Politika pristupa sefu

• Azure RBAC

Kontrola pristupa

Pristup resursu Key Vault kontroliše se putem dva plana:

• Plan upravljanja, čiji je cilj management.azure.com.

• Koristi se za upravljanje sefom ključeva i politikama pristupa. Podržan je samo Azure role based access control (RBAC).

• Plan podataka, čiji je cilj <ime-sefa>.vault.azure.com.

• Koristi se za upravljanje i pristup podacima (ključevi, tajne i sertifikati) u sefu ključeva. Ovo podržava politike pristupa sefu ključeva ili Azure RBAC.

Uloga poput Contributor koja ima dozvole u planu upravljanja za upravljanje politikama pristupa može dobiti pristup tajnama modifikovanjem politika pristupa.

Ugrađene uloge RBAC za Key Vault

Pristup mreži

U Azure Key Vault-u, pravila firewall-a mogu se postaviti da dozvole operacije plana podataka samo iz određenih virtuelnih mreža ili opsega IPv4 adresa. Ovo ograničenje takođe utiče na pristup putem Azure administratorskog portala; korisnici neće moći da prikažu ključeve, tajne ili sertifikate u sefu ključeva ako se njihova IP adresa za prijavu ne nalazi unutar ovlašćenog opsega.

Za analizu i upravljanje ovim podešavanjima, možete koristiti Azure CLI:

az keyvault show --name name-vault --query networkAcls

Prethodna komanda će prikazati fajervol podešavanja name-vault, uključujući omogućene IP opsege i politike za zabranjen saobraćaj.

Enumeracija

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done