Swahili - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Az - Key Vault

Az - Key Vault

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Taarifa Msingi

Kutoka kwa nyaraka: Azure Key Vault ni huduma ya wingu ya kuhifadhi na kupata siri kwa usalama. Siri ni kitu chochote unachotaka kudhibiti upatikanaji wake kwa karibu, kama vile funguo za API, nywila, vyeti, au funguo za kryptographia. Huduma ya Key Vault inasaidia aina mbili za kontena: hifadhi na mabwawa ya moduli ya usalama ya vifaa iliyosimamiwa (HSM). Hifadhi inasaidia kuhifadhi programu na funguo zilizosaidiwa na HSM, siri, na vyeti. Mabwawa ya HSM yaliyosimamiwa yanayosaidia tu funguo zilizosaidiwa na HSM. Angalia Maelezo ya Jumla ya Azure Key Vault REST API kwa maelezo kamili.

Muundo wa URL ni https://{jina-la-hifadhi}.vault.azure.net/{aina-ya-kiwango}/{jina-la-kiwango}/{toleo-la-kiwango} Ambapo:

  • jina-la-hifadhi ni jina la kipekee kwa kiwango cha funguo

  • aina-ya-kiwango inaweza kuwa "funguo", "siri" au "vyeti"

  • jina-la-kiwango ni jina la kipekee la kitu ndani ya kiwango cha funguo

  • toleo-la-kiwango linaundwa na mfumo na kutumiwa hiari kushughulikia toleo la kipekee la kitu.

Ili kupata siri zilizohifadhiwa kwenye hifadhi, mifano 2 ya ruhusa inaweza kutumika:

  • Sera ya Upatikanaji wa Hifadhi

  • Azure RBAC

Udhibiti wa Upatikanaji

Upatikanaji wa rasilimali ya Key Vault unadhibitiwa na ndege mbili:

  • Ndege ya usimamizi, lengo lake ni management.azure.com.

  • Inatumika kusimamia hifadhi ya funguo na sera za upatikanaji. Inasaidia tu udhibiti wa upatikanaji wa msingi wa jukumu la Azure (RBAC).

  • Ndege ya data, lengo lake ni <jina-la-hifadhi>.vault.azure.com.

  • Inatumika kusimamia na kupata data (funguo, siri, na vyeti) katika hifadhi ya funguo. Hii inasaidia sera za upatikanaji wa hifadhi ya funguo au Azure RBAC.

Jukumu kama Mchangiaji ambaye ana ruhusa katika mahali pa usimamizi kusimamia sera za upatikanaji anaweza kupata siri kwa kubadilisha sera za upatikanaji.

Majukumu Yaliyojengwa Ndani ya RBAC ya Key Vault

Upatikanaji wa Mtandao

Katika Azure Key Vault, sheria za firewall zinaweza kuwekwa ili kuruhusu operesheni za ndege ya data tu kutoka kwenye mitandao ya kawaida iliyosanidiwa au safu za anwani za IPv4. Kizuizi hiki pia kinaathiri upatikanaji kupitia lango la utawala la Azure; watumiaji hawataweza kuorodhesha funguo, siri, au vyeti katika hifadhi ya funguo ikiwa anwani yao ya IP ya kuingia haiko ndani ya safu iliyoruhusiwa.

Kwa uchambuzi na usimamizi wa mipangilio hii, unaweza kutumia Azure CLI:

az keyvault show --name name-vault --query networkAcls

Amri iliyopita itaonyesha mipangilio ya firewall ya name-vault, ikiwa ni pamoja na safu zilizowezeshwa za IP na sera za trafiki iliyokataliwa.

Uchambuzi

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

```bash #!/bin/bash

Dump all keyvaults from the subscription

Define Azure subscription ID

AZ_SUBSCRIPTION_ID="your-subscription-id"

Specify the filename for output

CSV_OUTPUT="vault-names-list.csv"

Login to Azure account

az login

Select the desired subscription

az account set --subscription $AZ_SUBSCRIPTION_ID

Retrieve all resource groups within the subscription

AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

Initialize the CSV file with headers

echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

Iterate over each resource group

for GROUP in $AZ_RESOURCE_GROUPS do

Fetch key vaults within the current resource group

VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

Process each key vault

for VAULT in $VAULT_LIST do

Extract the key vault's name

VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

Append the key vault name and its resource group to the file

echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT done done

<details>

<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>

Njia nyingine za kusaidia HackTricks:

* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.

</details>
PreviousAz - IntuneNextAz - Logic Apps

Last updated