Az - Key Vault
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podstawowe Informacje
Z dokumentacji: Azure Key Vault to usługa chmurowa do bezpiecznego przechowywania i uzyskiwania dostępu do sekretów. Sekret to wszystko, do czego chcesz ściśle kontrolować dostęp, takie jak klucze API, hasła, certyfikaty lub klucze kryptograficzne. Usługa Key Vault obsługuje dwa typy kontenerów: skarbce i zarządzane pule modułów bezpieczeństwa sprzętowego (HSM). Skarbce obsługują przechowywanie kluczy programowych i wspieranych przez HSM, sekretów i certyfikatów. Zarządzane pule HSM obsługują tylko klucze wspierane przez HSM. Zobacz Azure Key Vault REST API overview dla pełnych szczegółów.
Format URL to https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Gdzie:
vault-name
to globalnie unikalna nazwa skarbcaobject-type
może być "keys", "secrets" lub "certificates"object-name
to unikalna nazwa obiektu w skarbcuobject-version
jest generowany przez system i opcjonalnie używany do adresowania unikalnej wersji obiektu.
Aby uzyskać dostęp do sekretów przechowywanych w skarbcu, można użyć 2 modeli uprawnień:
Vault access policy
Azure RBAC
Kontrola Dostępu
Dostęp do zasobu Key Vault jest kontrolowany przez dwa płaszczyzny:
Płaszczyzna zarządzania, której celem jest management.azure.com.
Jest używana do zarządzania skarbcem i politykami dostępu. Obsługiwane jest tylko Azure role based access control (RBAC).
Płaszczyzna danych, której celem jest
<vault-name>.vault.azure.com
.Jest używana do zarządzania i uzyskiwania dostępu do danych (kluczy, sekretów i certyfikatów) w skarbcu. Obsługuje polityki dostępu do skarbca lub Azure RBAC.
Rola taka jak Contributor, która ma uprawnienia w płaszczyźnie zarządzania do zarządzania politykami dostępu, może uzyskać dostęp do sekretów, modyfikując polityki dostępu.
Wbudowane Role RBAC Key Vault
Dostęp Sieciowy
W Azure Key Vault można ustawić reguły firewall, aby zezwolić na operacje w płaszczyźnie danych tylko z określonych sieci wirtualnych lub zakresów adresów IPv4. To ograniczenie dotyczy również dostępu przez portal administracyjny Azure; użytkownicy nie będą mogli wyświetlać kluczy, sekretów ani certyfikatów w skarbcu, jeśli ich adres IP logowania nie znajduje się w autoryzowanym zakresie.
Do analizy i zarządzania tymi ustawieniami można użyć Azure CLI:
Poprzednie polecenie wyświetli ustawienia zapory name-vault
, w tym włączone zakresy IP i polityki dla zablokowanego ruchu.
Enumeracja
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated