Az - Key Vault

Основна інформація

З документації: Azure Key Vault - це хмарний сервіс для надійного зберігання та доступу до секретів. Секрет - це будь-що, до чого ви хочете ретельно контролювати доступ, наприклад, API ключі, паролі, сертифікати або криптографічні ключі. Сервіс Key Vault підтримує два типи контейнерів: сховища та керовані апаратні модулі безпеки (HSM). Сховища підтримують зберігання програмних та HSM-підтримуваних ключів, секретів і сертифікатів. Керовані HSM-пули підтримують лише HSM-підтримувані ключі. Дивіться Огляд REST API Azure Key Vault для отримання повних деталей.

Формат URL: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Де:

• vault-name - це глобально унікальна назва сховища ключів

• object-type може бути "keys", "secrets" або "certificates"

• object-name - це унікальна назва об'єкта в межах сховища ключів

• object-version - це система, що генерує версію, яка використовується для адресації унікальної версії об'єкта.

Для доступу до секретів, збережених у сховищі, можна використовувати 2 моделі дозволів:

• Політика доступу до сховища

• Azure RBAC

Контроль доступу

Доступ до ресурсу Key Vault контролюється двома площинами:

• Площа управління, ціль якої - management.azure.com.

• Використовується для управління сховищем ключів та політиками доступу. Підтримується лише контроль доступу на основі ролей Azure (RBAC).

• Площа даних, ціль якої - <vault-name>.vault.azure.com.

• Використовується для управління та доступу до даних (ключів, секретів і сертифікатів) в сховищі ключів. Це підтримує політики доступу до сховища ключів або Azure RBAC.

Роль, така як Contributor, яка має дозволи в площині управління для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.

Вбудовані ролі RBAC для Key Vault

Мережевий доступ

У Azure Key Vault можна налаштувати правила брандмауера, щоб дозволити операції площини даних лише з вказаних віртуальних мереж або діапазонів IPv4 адрес. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть перерахувати ключі, секрети або сертифікати в сховищі ключів, якщо їх IP-адреса не входить до авторизованого діапазону.

Для аналізу та управління цими налаштуваннями ви можете використовувати Azure CLI:

az keyvault show --name name-vault --query networkAcls

Попередня команда відобразить налаштування брандмауера name-vault, включаючи активовані діапазони IP та політики для забороненого трафіку.

Перерахування

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done