Az - Key Vault
Az - Key Vault
Taarifa Msingi
Kutoka kwa nyaraka: Azure Key Vault ni huduma ya wingu ya kuhifadhi na kupata siri kwa usalama. Siri ni kitu chochote unachotaka kudhibiti upatikanaji wake kwa karibu, kama vile funguo za API, nywila, vyeti, au funguo za kryptographia. Huduma ya Key Vault inasaidia aina mbili za kontena: hifadhi na mabwawa ya moduli ya usalama ya vifaa iliyosimamiwa (HSM). Hifadhi inasaidia kuhifadhi programu na funguo zilizosaidiwa na HSM, siri, na vyeti. Mabwawa ya HSM yaliyosimamiwa yanayosaidia tu funguo zilizosaidiwa na HSM. Angalia Maelezo ya Jumla ya Azure Key Vault REST API kwa maelezo kamili.
Muundo wa URL ni https://{jina-la-hifadhi}.vault.azure.net/{aina-ya-kiwango}/{jina-la-kiwango}/{toleo-la-kiwango}
Ambapo:
jina-la-hifadhi
ni jina la kipekee kwa kiwango cha funguoaina-ya-kiwango
inaweza kuwa "funguo", "siri" au "vyeti"jina-la-kiwango
ni jina la kipekee la kitu ndani ya kiwango cha funguotoleo-la-kiwango
linaundwa na mfumo na kutumiwa hiari kushughulikia toleo la kipekee la kitu.
Ili kupata siri zilizohifadhiwa kwenye hifadhi, mifano 2 ya ruhusa inaweza kutumika:
Sera ya Upatikanaji wa Hifadhi
Azure RBAC
Udhibiti wa Upatikanaji
Upatikanaji wa rasilimali ya Key Vault unadhibitiwa na ndege mbili:
Ndege ya usimamizi, lengo lake ni management.azure.com.
Inatumika kusimamia hifadhi ya funguo na sera za upatikanaji. Inasaidia tu udhibiti wa upatikanaji wa msingi wa jukumu la Azure (RBAC).
Ndege ya data, lengo lake ni
<jina-la-hifadhi>.vault.azure.com
.Inatumika kusimamia na kupata data (funguo, siri, na vyeti) katika hifadhi ya funguo. Hii inasaidia sera za upatikanaji wa hifadhi ya funguo au Azure RBAC.
Jukumu kama Mchangiaji ambaye ana ruhusa katika mahali pa usimamizi kusimamia sera za upatikanaji anaweza kupata siri kwa kubadilisha sera za upatikanaji.
Majukumu Yaliyojengwa Ndani ya RBAC ya Key Vault
Upatikanaji wa Mtandao
Katika Azure Key Vault, sheria za firewall zinaweza kuwekwa ili kuruhusu operesheni za ndege ya data tu kutoka kwenye mitandao ya kawaida iliyosanidiwa au safu za anwani za IPv4. Kizuizi hiki pia kinaathiri upatikanaji kupitia lango la utawala la Azure; watumiaji hawataweza kuorodhesha funguo, siri, au vyeti katika hifadhi ya funguo ikiwa anwani yao ya IP ya kuingia haiko ndani ya safu iliyoruhusiwa.
Kwa uchambuzi na usimamizi wa mipangilio hii, unaweza kutumia Azure CLI:
Amri iliyopita itaonyesha mipangilio ya firewall ya name-vault
, ikiwa ni pamoja na safu zilizowezeshwa za IP na sera za trafiki iliyokataliwa.
Uchambuzi
```bash #!/bin/bash
Dump all keyvaults from the subscription
Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"
Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"
Login to Azure account
az login
Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID
Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)
Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT
Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS do
Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)
Process each key vault
for VAULT in $VAULT_LIST do
Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)
Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT done done
Last updated