Az - Key Vault

Basic Information

डॉक्स से: Azure Key Vault एक क्लाउड सेवा है जो सुरक्षित रूप से सीक्रेट्स को स्टोर और एक्सेस करने के लिए है। एक सीक्रेट वह है जिसे आप कड़ी निगरानी में रखना चाहते हैं, जैसे API keys, पासवर्ड, सर्टिफिकेट्स, या क्रिप्टोग्राफिक keys। Key Vault सेवा दो प्रकार के कंटेनरों का समर्थन करती है: vaults और managed hardware security module (HSM) pools। Vaults सॉफ्टवेयर और HSM-बैक्ड keys, सीक्रेट्स, और सर्टिफिकेट्स को स्टोर करने का समर्थन करते हैं। Managed HSM pools केवल HSM-बैक्ड keys का समर्थन करते हैं। पूरी जानकारी के लिए Azure Key Vault REST API अवलोकन देखें।

URL प्रारूप है https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} जहां:

• vault-name key vault का वैश्विक अद्वितीय नाम है

• object-type "keys", "secrets" या "certificates" हो सकता है

• object-name key vault के भीतर वस्तु का अद्वितीय नाम है

• object-version सिस्टम द्वारा उत्पन्न और वैकल्पिक रूप से एक वस्तु के अद्वितीय संस्करण को संबोधित करने के लिए उपयोग किया जाता है।

vault में संग्रहीत सीक्रेट्स तक पहुंचने के लिए 2 अनुमतियों के मॉडल का उपयोग किया जा सकता है:

• Vault access policy

• Azure RBAC

Access Control

Key Vault संसाधन तक पहुंच दो विमानों द्वारा नियंत्रित होती है:

• प्रबंधन विमान, जिसका लक्ष्य management.azure.com है।

• इसका उपयोग key vault और access policies को प्रबंधित करने के लिए किया जाता है। केवल Azure role based access control (RBAC) का समर्थन किया जाता है।

• डेटा विमान, जिसका लक्ष्य <vault-name>.vault.azure.com है।

• इसका उपयोग key vault में डेटा (keys, सीक्रेट्स और सर्टिफिकेट्स) को प्रबंधित और एक्सेस करने के लिए किया जाता है। यह key vault access policies या Azure RBAC का समर्थन करता है।

एक भूमिका जैसे Contributor जिसके पास प्रबंधन स्थान में access policies को प्रबंधित करने की अनुमतियाँ हैं, access policies को संशोधित करके सीक्रेट्स तक पहुंच प्राप्त कर सकता है।

Key Vault RBAC Built-In Roles

Network Access

Azure Key Vault में, firewall नियम सेट किए जा सकते हैं ताकि डेटा विमान संचालन केवल निर्दिष्ट वर्चुअल नेटवर्क या IPv4 पता रेंज से ही अनुमति दी जा सके। यह प्रतिबंध Azure प्रशासन पोर्टल के माध्यम से पहुंच को भी प्रभावित करता है; उपयोगकर्ता key vault में keys, सीक्रेट्स, या सर्टिफिकेट्स को सूचीबद्ध नहीं कर पाएंगे यदि उनका लॉगिन IP पता अधिकृत रेंज के भीतर नहीं है।

इन सेटिंग्स का विश्लेषण और प्रबंधन करने के लिए, आप Azure CLI का उपयोग कर सकते हैं:

az keyvault show --name name-vault --query networkAcls

पिछला कमांड name-vault की फायरवॉल सेटिंग्स दिखाएगा, जिसमें सक्षम IP रेंज और अस्वीकृत ट्रैफिक के लिए नीतियाँ शामिल हैं।

Enumeration

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done