Az - Basic Information

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Organization Hierarchy

Management Groups

組織が多くのAzureサブスクリプションを持っている場合、それらのサブスクリプションのアクセス管理、ポリシー、およびコンプライアンスを効率的に管理する方法が必要です。管理グループは、サブスクリプションの上位にあるガバナンススコープを提供します。

1つのディレクトリで10,000の管理グループをサポートでき、管理グループツリーは最大6レベルの深さをサポートできることに注意してください。

From the docs: 各ディレクトリには、ルート管理グループと呼ばれる単一のトップレベル管理グループが与えられます。ルート管理グループは、すべての管理グループとサブスクリプションがそれに折りたたまれるように階層に組み込まれています。このルート管理グループにより、グローバルポリシーとAzureロールの割り当てをディレクトリレベルで適用できます。Azure AD グローバル管理者は自分自身をユーザーアクセス管理者ロールに昇格させる必要があります。アクセスを昇格させた後、管理者は他のディレクトリユーザーやグループに任意のAzureロールを割り当てて階層を管理できます。管理者として、自分のアカウントをルート管理グループの所有者として割り当てることができます。

ルート管理グループは、他の管理グループとは異なり、移動や削除ができません。

管理グループは、どのタイプのサブスクリプションを持っていても、エンタープライズグレードの管理をスケールで提供します。ただし、単一の管理グループ内のすべてのサブスクリプションは、同じAzure Active Directory (Azure AD) テナントを信頼する必要があります。

Azure Subscriptions

Azureでは、サブスクリプションはビジネスまたは技術的なリソースをプロビジョニングするための論理コンテナとして機能します。このコンテナは、仮想マシン（VM）やデータベースなどのリソースの詳細を保持します。Azureリソース（例えばVM）を作成する際には、それに関連付けられたサブスクリプションを指定します。この構造により、ロールベースのアクセス制御メカニズムを使用してアクセスの委任が容易になります。

Resource Groups

From the docs: リソースグループは、Azureソリューションの関連リソースを保持するコンテナです。リソースグループには、ソリューションのすべてのリソースを含めることも、グループとして管理したいリソースのみを含めることもできます。一般的に、同じライフサイクルを共有するリソースを同じリソースグループに追加することで、それらをグループとして簡単にデプロイ、更新、および削除できます。

すべてのリソースはリソースグループ内に存在し、グループにのみ属することができ、リソースグループが削除されると、その中のすべてのリソースも削除されます。

Administrative Units

From the docs: 管理単位を使用すると、組織を任意の単位に細分化し、その単位のメンバーのみを管理できる特定の管理者を割り当てることができます。例えば、大規模な大学の各学校の管理者に権限を委任し、工学部内でのみアクセスを制御し、ユーザーを管理し、ポリシーを設定できるようにすることができます。

ユーザー、グループ、デバイスのみが管理単位のメンバーになることができます。

したがって、管理単位にはいくつかのメンバーが含まれ、他のプリンシパルがその管理単位に対して権限を割り当てられ、その権限を使用して管理単位のメンバーを管理できます。

Azure vs Azure AD vs Azure AD Domain Services

Azure ADはAzure内のサービスであることに注意してください。AzureはMicrosoftのクラウドプラットフォームであり、Azure ADはAzure内のエンタープライズアイデンティティサービスです。さらに、Azure ADはWindows Active Directoryのようなものではありません。これは完全に異なる方法で動作するアイデンティティサービスです。Windows Active Directory環境のドメインコントローラーをAzureで実行したい場合は、Azure AD Domain Servicesを使用する必要があります。

Principals

Azureは異なるタイプのプリンシパルをサポートしています：

User: アクセスするための資格情報を持つ通常の人。
Group: 一緒に管理されるプリンシパルのグループ。グループに付与された権限はそのメンバーに継承されます。
Service Principal/Enterprise Applications: これはアプリケーション、ホストされたサービス、およびAzureリソースにアクセスするための自動化ツールで使用するために作成されたアイデンティティです。このアクセスは、サービスプリンシパルに割り当てられたロールによって制限され、どのリソースにアクセスできるかおよびどのレベルでアクセスできるかを制御できます。セキュリティ上の理由から、ユーザーアイデンティティでログインを許可するのではなく、自動化ツールにはサービスプリンシパルを使用することが常に推奨されます。

サービスプリンシパルを作成する際には、パスワード認証または証明書認証のいずれかを選択できます。

パスワード認証を選択した場合（デフォルト）、生成されたパスワードを保存してください。再度アクセスすることはできません。
証明書認証を選択した場合、アプリケーションが秘密鍵にアクセスできることを確認してください。
Managed Identity (Metadata Creds): Azure Active Directoryのマネージドアイデンティティは、アプリケーションのアイデンティティを自動的に管理するためのソリューションを提供します。これらのアイデンティティは、Azure Active Directory（Azure AD）認証と互換性のあるリソースに接続するためにアプリケーションによって使用されます。マネージドアイデンティティを使用することで、アプリケーションはAzure ADトークンを安全に取得し、資格情報を直接扱う必要がなくなります。マネージドアイデンティティには2種類あります：
システム割り当て。一部のAzureサービスでは、サービスインスタンスに直接マネージドアイデンティティを有効にすることができます。システム割り当てマネージドアイデンティティを有効にすると、Azure ADにアイデンティティが作成されます。このアイデンティティはそのサービスインスタンスのライフサイクルに結び付けられます。リソースが削除されると、Azureは自動的にアイデンティティを削除します。設計上、そのAzureリソースのみがこのアイデンティティを使用してAzure ADからトークンを要求できます。
ユーザー割り当て。スタンドアロンのAzureリソースとしてマネージドアイデンティティを作成することもできます。ユーザー割り当てマネージドアイデンティティを作成し、Azureサービスの1つまたは複数のインスタンス（複数のリソース）に割り当てることができます。ユーザー割り当てマネージドアイデンティティの場合、アイデンティティはそれを使用するリソースとは別に管理されます。

Roles & Permissions

ロールはスコープに対してプリンシパルに割り当てられます： principal -[HAS ROLE]->(scope)

グループに割り当てられたロールは、そのグループのメンバー全員に継承されます。

ロールが割り当てられたスコープに応じて、ロールはスコープコンテナ内の他のリソースに継承されることがあります。例えば、ユーザーAがサブスクリプションにロールを持っている場合、そのユーザーはサブスクリプション内のすべてのリソースグループおよびリソースグループ内のすべてのリソースにそのロールを持つことになります。

Classic Roles

Owner

すべてのリソースへのフルアクセス
他のユーザーのアクセスを管理できる

すべてのリソースタイプ

Contributor

すべてのリソースへのフルアクセス
アクセスを管理できない

すべてのリソースタイプ

Reader

• すべてのリソースを表示

すべてのリソースタイプ

User Access Administrator

すべてのリソースを表示
他のユーザーのアクセスを管理できる

すべてのリソースタイプ

Built-In roles

From the docs: Azure role-based access control (Azure RBAC) には、ユーザー、グループ、サービスプリンシパル、およびマネージドアイデンティティに割り当てることができるいくつかのAzureの組み込みロールがあります。ロールの割り当ては、Azureリソースへのアクセスを制御する方法です。組み込みロールが組織の特定のニーズを満たさない場合は、独自のAzureカスタムロールを作成できます。

組み込みロールは、それが意図されたリソースにのみ適用されます。例えば、Computeリソースに対する組み込みロールの2つの例を確認してください：

Disk Backup Reader

ディスクバックアップを実行するためのバックアップボールトへの権限を提供します。

3e5e47e6-65f7-47ef-90b5-e5dd4d455f24

Virtual Machine User Login

ポータルで仮想マシンを表示し、通常のユーザーとしてログインします。

fb879df8-f326-4884-b1cf-06f3ad86be52

これらのロールは論理コンテナ（管理グループ、サブスクリプション、リソースグループなど）にも割り当てることができ、影響を受けるプリンシパルはそのコンテナ内のリソースに対してそれらのロールを持つことになります。

すべてのAzure組み込みロールのリストはこちら。
すべてのAzure AD組み込みロールのリストはこちら。

Custom Roles

Azureはまた、ユーザーが必要とする権限を持つカスタムロールを作成することもできます。

Permission Denied

プリンシパルがリソースに対して何らかのアクセスを持つためには、（いかなる方法でも）その権限を付与する明示的なロールが必要です。
明示的な拒否ロールの割り当ては、権限を付与するロールよりも優先されます。

Global Administrator

グローバル管理者ロールを持つユーザーは、ルート管理グループに対してユーザーアクセス管理者Azureロールに「昇格」する能力を持っています。これは、グローバル管理者がすべてのAzureサブスクリプションおよび管理グループのアクセスを管理できることを意味します。この昇格は次のページの最後で行うことができます：https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Azure Policies

Azureポリシーは、クラウドコンピューティングサービスであるMicrosoft Azureにおける規則と規制のセットであり、組織の標準を管理および強制し、スケールでのコンプライアンスを評価するのに役立ちます。これらのポリシーは、Azureリソースに対してさまざまな規則を強制し、それらのリソースが企業の標準およびサービスレ

PreviousAzure Pentesting NextAz - Unauthenticated Enum & Initial Entry

Last updated 1 month ago