Az - Key Vault
Az - Key Vault
Información Básica
Desde la documentación: Azure Key Vault es un servicio en la nube para almacenar y acceder de forma segura a secretos. Un secreto es cualquier cosa a la que quieras controlar el acceso de forma estricta, como claves API, contraseñas, certificados o claves criptográficas. El servicio Key Vault admite dos tipos de contenedores: bóvedas y grupos de módulos de seguridad de hardware administrados (HSM). Las bóvedas admiten el almacenamiento de claves, secretos y certificados respaldados por software y HSM. Los grupos de HSM administrados solo admiten claves respaldadas por HSM. Consulta Descripción general de la API REST de Azure Key Vault para obtener detalles completos.
El formato de URL es https://{nombre-bóveda}.vault.azure.net/{tipo-objeto}/{nombre-objeto}/{versión-objeto}
Donde:
nombre-bóveda
es el nombre globalmente único de la bóveda de clavestipo-objeto
puede ser "claves", "secretos" o "certificados"nombre-objeto
es el nombre único del objeto dentro de la bóveda de clavesversión-objeto
es generado por el sistema y opcionalmente utilizado para hacer referencia a una versión única de un objeto.
Para acceder a los secretos almacenados en la bóveda, se pueden utilizar 2 modelos de permisos:
Política de acceso a la bóveda
Azure RBAC
Control de Acceso
El acceso a un recurso de Key Vault está controlado por dos planos:
El plano de gestión, cuyo objetivo es management.azure.com.
Se utiliza para gestionar la bóveda de claves y los permisos de acceso. Solo se admite el control de acceso basado en roles de Azure (RBAC).
El plano de datos, cuyo objetivo es
<nombre-bóveda>.vault.azure.com
.Se utiliza para gestionar y acceder a los datos (claves, secretos y certificados) en la bóveda de claves. Esto admite políticas de acceso a la bóveda de claves o Azure RBAC.
Un rol como Contributor que tiene permisos en el lugar de gestión para gestionar políticas de acceso puede acceder a los secretos modificando las políticas de acceso.
Roles Integrados de RBAC de Key Vault
Acceso a la Red
En Azure Key Vault, se pueden configurar reglas de firewall para permitir operaciones de plano de datos solo desde redes virtuales especificadas o rangos de direcciones IPv4. Esta restricción también afecta el acceso a través del portal de administración de Azure; los usuarios no podrán listar claves, secretos o certificados en una bóveda de claves si su dirección IP de inicio de sesión no está dentro del rango autorizado.
Para analizar y gestionar estas configuraciones, puedes utilizar la Azure CLI:
El comando anterior mostrará la configuración del firewall de name-vault
, incluidos los rangos de IP habilitados y las políticas para el tráfico denegado.
Enumeración
```bash #!/bin/bash
Dump all keyvaults from the subscription
Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"
Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"
Login to Azure account
az login
Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID
Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)
Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT
Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS do
Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)
Process each key vault
for VAULT in $VAULT_LIST do
Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)
Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT done done
Última actualización