Az - Key Vault
Informazioni di Base
Dalla documentazione: Azure Key Vault è un servizio cloud per memorizzare e accedere in modo sicuro a segreti. Un segreto è qualsiasi cosa a cui si desidera controllare strettamente l'accesso, come chiavi API, password, certificati o chiavi crittografiche. Il servizio Key Vault supporta due tipi di contenitori: vault e pool di moduli di sicurezza hardware gestiti (HSM). I vault supportano la memorizzazione di chiavi, segreti e certificati supportati da software e HSM. I pool HSM gestiti supportano solo chiavi supportate da HSM. Consulta Panoramica dell'API REST di Azure Key Vault per i dettagli completi.
Il formato dell'URL è https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Dove:
vault-name
è il nome globalmente unico del key vaultobject-type
può essere "keys", "secrets" o "certificates"object-name
è il nome unico dell'oggetto all'interno del key vaultobject-version
è generato dal sistema e facoltativamente utilizzato per indirizzare una versione unica di un oggetto.
Per accedere ai segreti memorizzati nel vault possono essere utilizzati 2 modelli di autorizzazioni:
Policy di accesso al vault
Azure RBAC
Controllo di Accesso
L'accesso a una risorsa Key Vault è controllato da due piani:
Il piano di gestione, il cui obiettivo è management.azure.com.
Viene utilizzato per gestire il key vault e le policy di accesso. È supportato solo il controllo degli accessi basato su ruoli di Azure (RBAC).
Il piano dati, il cui obiettivo è
<vault-name>.vault.azure.com
.Viene utilizzato per gestire e accedere ai dati (chiavi, segreti e certificati) nel key vault. Questo supporta le policy di accesso al key vault o Azure RBAC.
Un ruolo come Contributor che ha autorizzazioni nel piano di gestione per gestire le policy di accesso può accedere ai segreti modificando le policy di accesso.
Ruoli Integrati RBAC di Key Vault
Accesso di Rete
In Azure Key Vault, è possibile impostare regole del firewall per consentire operazioni sul piano dati solo da reti virtuali specificate o intervalli di indirizzi IPv4. Questa restrizione influisce anche sull'accesso tramite il portale di amministrazione di Azure; gli utenti non potranno elencare chiavi, segreti o certificati in un key vault se il loro indirizzo IP di accesso non è nell'intervallo autorizzato.
Per analizzare e gestire queste impostazioni, è possibile utilizzare l'Azure CLI:
Il comando precedente visualizzerà le impostazioni del firewall di name-vault
, inclusi gli intervalli IP abilitati e le politiche per il traffico negato.
Enumerazione
Last updated