Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
З документації: Azure Key Vault - це хмарний сервіс для надійного зберігання та доступу до секретів. Секрет - це будь-що, до чого ви хочете ретельно контролювати доступ, наприклад, API ключі, паролі, сертифікати або криптографічні ключі. Сервіс Key Vault підтримує два типи контейнерів: сховища та керовані апаратні модулі безпеки (HSM). Сховища підтримують зберігання програмних та HSM-підтримуваних ключів, секретів і сертифікатів. Керовані HSM-пули підтримують лише HSM-підтримувані ключі. Дивіться Огляд REST API Azure Key Vault для отримання повних деталей.
Формат URL: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Де:
vault-name
- це глобально унікальна назва сховища ключів
object-type
може бути "keys", "secrets" або "certificates"
object-name
- це унікальна назва об'єкта в межах сховища ключів
object-version
- це система, що генерує версію, яка використовується для адресації унікальної версії об'єкта.
Для доступу до секретів, збережених у сховищі, можна використовувати 2 моделі дозволів:
Політика доступу до сховища
Azure RBAC
Доступ до ресурсу Key Vault контролюється двома площинами:
Площа управління, ціль якої - management.azure.com.
Використовується для управління сховищем ключів та політиками доступу. Підтримується лише контроль доступу на основі ролей Azure (RBAC).
Площа даних, ціль якої - <vault-name>.vault.azure.com
.
Використовується для управління та доступу до даних (ключів, секретів і сертифікатів) в сховищі ключів. Це підтримує політики доступу до сховища ключів або Azure RBAC.
Роль, така як Contributor, яка має дозволи в площині управління для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.
У Azure Key Vault можна налаштувати правила брандмауера, щоб дозволити операції площини даних лише з вказаних віртуальних мереж або діапазонів IPv4 адрес. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть перерахувати ключі, секрети або сертифікати в сховищі ключів, якщо їх IP-адреса не входить до авторизованого діапазону.
Для аналізу та управління цими налаштуваннями ви можете використовувати Azure CLI:
Попередня команда відобразить налаштування брандмауера name-vault
, включаючи активовані діапазони IP та політики для забороненого трафіку.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)