Az - Key Vault
Grundlegende Informationen
Aus den Dokumenten: Azure Key Vault ist ein Cloud-Dienst zum sicheren Speichern und Zugreifen auf Geheimnisse. Ein Geheimnis ist alles, auf das Sie den Zugriff eng kontrollieren möchten, wie z. B. API-Schlüssel, Passwörter, Zertifikate oder kryptografische Schlüssel. Der Key Vault-Dienst unterstützt zwei Arten von Containern: Tresore und verwaltete Hardware-Sicherheitsmodul(HSM)-Pools. Tresore unterstützen das Speichern von Software- und HSM-gesicherten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-gesicherte Schlüssel. Siehe Azure Key Vault REST API-Übersicht für weitere Details.
Das URL-Format lautet https://{tresor-name}.vault.azure.net/{objekt-typ}/{objekt-name}/{objekt-version}
Wo:
tresor-name
ist der global eindeutige Name des Schlüsseltresorsobjekt-typ
kann "keys", "secrets" oder "certificates" seinobjekt-name
ist der eindeutige Name des Objekts innerhalb des Schlüsseltresorsobjekt-version
wird vom System generiert und optional verwendet, um eine eindeutige Version eines Objekts anzusprechen.
Um auf die im Tresor gespeicherten Geheimnisse zuzugreifen, können zwei Berechtigungsmodelle verwendet werden:
Tresorzugriffsrichtlinie
Azure RBAC
Zugriffskontrolle
Der Zugriff auf eine Key Vault-Ressource wird von zwei Ebenen gesteuert:
Die Verwaltungsebene, deren Ziel management.azure.com ist.
Es wird verwendet, um den Schlüsseltresor und Zugriffsrichtlinien zu verwalten. Es wird nur die Azure-Rolle basierte Zugriffssteuerung (RBAC) unterstützt.
Die Datenflugebene, deren Ziel
<tresor-name>.vault.azure.com
ist.Es wird verwendet, um die Daten (Schlüssel, Geheimnisse und Zertifikate) im Schlüsseltresor zu verwalten und darauf zuzugreifen. Dies unterstützt Tresorzugriffsrichtlinien oder Azure RBAC.
Eine Rolle wie Mitwirkender, die Berechtigungen in der Verwaltungsebene hat, um Zugriffsrichtlinien zu verwalten, kann auf die Geheimnisse zugreifen, indem sie die Zugriffsrichtlinien ändert.
Key Vault RBAC Built-In Rollen
Netzwerkzugriff
In Azure Key Vault können Firewall-Regeln eingerichtet werden, um Datenflugoperationen nur aus bestimmten virtuellen Netzwerken oder IPv4-Adressbereichen zuzulassen. Diese Einschränkung betrifft auch den Zugriff über das Azure-Verwaltungsportal; Benutzer können keine Schlüssel, Geheimnisse oder Zertifikate in einem Schlüsseltresor auflisten, wenn ihre Login-IP-Adresse nicht innerhalb des autorisierten Bereichs liegt.
Zur Analyse und Verwaltung dieser Einstellungen können Sie die Azure CLI verwenden:
Die vorherige Befehl wird die Firewall-Einstellungen von name-vault
anzeigen, einschließlich der aktivierten IP-Bereiche und Richtlinien für abgelehnten Datenverkehr.
Enumeration
Last updated