Az - Key Vault
Informações Básicas
Dos documentos: Azure Key Vault é um serviço em nuvem para armazenar e acessar segredos de forma segura. Um segredo é qualquer coisa que você deseja controlar rigorosamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço Key Vault suporta dois tipos de contêineres: cofres e pools de módulos de segurança de hardware (HSM) gerenciados. Cofres suportam o armazenamento de chaves de software e HSM, segredos e certificados. Pools de HSM gerenciados suportam apenas chaves HSM. Veja Visão geral da API REST do Azure Key Vault para detalhes completos.
O formato da URL é https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Onde:
vault-name
é o nome único globalmente do cofre de chavesobject-type
pode ser "keys", "secrets" ou "certificates"object-name
é o nome único do objeto dentro do cofre de chavesobject-version
é gerado pelo sistema e opcionalmente usado para endereçar uma versão única de um objeto.
Para acessar os segredos armazenados no cofre, 2 modelos de permissões podem ser usados:
Política de acesso ao cofre
Azure RBAC
Controle de Acesso
O acesso a um recurso Key Vault é controlado por dois planos:
O plano de gerenciamento, cujo alvo é management.azure.com.
É usado para gerenciar o cofre de chaves e políticas de acesso. Apenas controle de acesso baseado em função do Azure (RBAC) é suportado.
O plano de dados, cujo alvo é
<vault-name>.vault.azure.com
.É usado para gerenciar e acessar os dados (chaves, segredos e certificados) no cofre de chaves. Isso suporta políticas de acesso ao cofre de chaves ou RBAC do Azure.
Uma função como Contributor que tem permissões no plano de gerenciamento para gerenciar políticas de acesso pode obter acesso aos segredos modificando as políticas de acesso.
Funções RBAC Integradas do Key Vault
Acesso à Rede
No Azure Key Vault, regras de firewall podem ser configuradas para permitir operações no plano de dados apenas de redes virtuais especificadas ou intervalos de endereços IPv4. Essa restrição também afeta o acesso através do portal de administração do Azure; os usuários não poderão listar chaves, segredos ou certificados em um cofre de chaves se o endereço IP de login não estiver dentro do intervalo autorizado.
Para analisar e gerenciar essas configurações, você pode usar o Azure CLI:
O comando anterior exibirá as configurações de firewall do name-vault
, incluindo intervalos de IP habilitados e políticas para tráfego negado.
Enumeração
Last updated