Az - Key Vault

Grundlegende Informationen

Aus den Dokumenten: Azure Key Vault ist ein Cloud-Dienst zum sicheren Speichern und Zugreifen auf Geheimnisse. Ein Geheimnis ist alles, worauf Sie den Zugriff streng kontrollieren möchten, wie z. B. API-Schlüssel, Passwörter, Zertifikate oder kryptografische Schlüssel. Der Key Vault-Dienst unterstützt zwei Arten von Containern: Tresore und verwaltete Hardware-Sicherheitsmodul (HSM)-Pools. Tresore unterstützen das Speichern von software- und HSM-gestützten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-gestützte Schlüssel. Siehe Azure Key Vault REST API-Übersicht für vollständige Details.

Das URL-Format ist https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} wobei:

• vault-name der global eindeutige Name des Key Vault ist

• object-type kann "keys", "secrets" oder "certificates" sein

• object-name ist der eindeutige Name des Objekts innerhalb des Key Vault

• object-version wird vom System generiert und optional verwendet, um eine eindeutige Version eines Objekts anzusprechen.

Um auf die im Tresor gespeicherten Geheimnisse zuzugreifen, können zwei Berechtigungsmodelle verwendet werden:

• Vault-Zugriffsrichtlinie

• Azure RBAC

Zugriffskontrolle

Der Zugriff auf eine Key Vault-Ressource wird durch zwei Ebenen kontrolliert:

• Die Verwaltungsebene, deren Ziel management.azure.com ist.

• Sie wird verwendet, um den Key Vault und Zugriffsrichtlinien zu verwalten. Es wird nur Azure rollenbasierte Zugriffskontrolle (RBAC) unterstützt.

• Die Datenebene, deren Ziel <vault-name>.vault.azure.com ist.

• Sie wird verwendet, um die Daten (Schlüssel, Geheimnisse und Zertifikate) im Key Vault zu verwalten und darauf zuzugreifen. Dies unterstützt Key Vault-Zugriffsrichtlinien oder Azure RBAC.

Eine Rolle wie Contributor, die in der Verwaltungsebene Berechtigungen zum Verwalten von Zugriffsrichtlinien hat, kann durch Ändern der Zugriffsrichtlinien Zugriff auf die Geheimnisse erhalten.

Key Vault RBAC Eingebaute Rollen

Netzwerkzugriff

In Azure Key Vault können Firewall-Regeln eingerichtet werden, um Datenebenenoperationen nur von bestimmten virtuellen Netzwerken oder IPv4-Adressbereichen zuzulassen. Diese Einschränkung betrifft auch den Zugriff über das Azure-Verwaltungsportal; Benutzer können keine Schlüssel, Geheimnisse oder Zertifikate in einem Key Vault auflisten, wenn ihre Anmelde-IP-Adresse nicht innerhalb des autorisierten Bereichs liegt.

Zum Analysieren und Verwalten dieser Einstellungen können Sie die Azure CLI verwenden:

az keyvault show --name name-vault --query networkAcls

Der vorherige Befehl zeigt die Firewall-Einstellungen von name-vault an, einschließlich aktivierter IP-Bereiche und Richtlinien für abgelehnten Datenverkehr.

Aufzählung

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done