Basiese Inligting

Van die dokumente: Azure Key Vault is 'n wolkdiens vir veilige berging en toegang tot geheime. 'n Geheim is enigiets waartoe jy die toegang streng wil beheer, soos API-sleutels, wagwoorde, sertifikate, of kriptografiese sleutels. Die Key Vault-diens ondersteun twee tipes houers: kluise en bestuurde hardeware-sekuriteitsmodule (HSM) poele. Kluise ondersteun die berging van sagteware en HSM-ondersteunde sleutels, geheime, en sertifikate. Bestuurde HSM-poele ondersteun slegs HSM-ondersteunde sleutels. Sien Azure Key Vault REST API-oorlewing vir volledige besonderhede.

Die URL-formaat is https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Waar:

• vault-name is die wêreldwyd unieke naam van die sleutelkluis

• object-type kan "keys", "secrets" of "certificates" wees

• object-name is die unieke naam van die voorwerp binne die sleutelkluis

• object-version word stelsel gegenereer en opsioneel gebruik om 'n unieke weergawe van 'n voorwerp aan te spreek.

Om toegang te verkry tot die geheime wat in die kluis gestoor is, kan 2 toestemmingsmodelle gebruik word:

• Kluis toegangbeleid

• Azure RBAC

Toegangsbeheer

Toegang tot 'n Sleutelkluis-hulpbron word beheer deur twee vlakke:

• Die bestuursvlak, met die teiken management.azure.com.

• Dit word gebruik om die sleutelkluis te bestuur en toegangbeleide te bestuur. Slegs Azure rolgebaseerde toegangsbeheer (RBAC) word ondersteun.

• Die data-vlak, met die teiken <vault-name>.vault.azure.com.

• Dit word gebruik om die data (sleutels, geheime en sertifikate) te bestuur en toegang te verkry in die sleutelkluis. Dit ondersteun sleutelkluis-toegangsbeleide of Azure RBAC.

'n Rol soos Bydraer wat toestemmings in die bestuursvlak het om toegangsbeleide te bestuur, kan toegang tot die geheime kry deur die toegangsbeleide te wysig.

Sleutelkluis RBAC Ingeboude Rolle

Netwerktoegang

In Azure Key Vault kan vuremuur-reëls opgestel word om data-vlak-operasies slegs vanaf gespesifiseerde virtuele netwerke of IPv4-adresreekse toe te laat. Hierdie beperking beïnvloed ook die toegang deur die Azure-administrasieportaal; gebruikers sal nie sleutels, geheime, of sertifikate in 'n sleutelkluis kan lys as hul aanmeld-IP-adres nie binne die gemagtigde reeks is nie.

Vir die analise en bestuur van hierdie instellings, kan jy die Azure CLI gebruik:

az keyvault show --name name-vault --query networkAcls

Die vorige bevel sal die firewall instellings van name-vault vertoon, insluitend geaktiveerde IP-reeks en beleid vir geweierde verkeer.

Enumerasie

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done