Az - Local Cloud Credentials
Локальне зберігання токенів та врахування безпеки
Azure CLI (Інтерфейс командного рядка)
Токени та чутлива інформація зберігаються локально за допомогою Azure CLI, що викликає питання безпеки:
Токени доступу: Зберігаються у відкритому вигляді в файлі
accessTokens.json
, розташованому за адресоюC:\Users\<username>\.Azure
.Інформація про підписку:
azureProfile.json
, у тому ж каталозі, містить деталі підписки.Файли журналів: Папка
ErrorRecords
всередині.azure
може містити журнали з викритими обліковими даними, такими як:
Виконані команди з вбудованими обліковими даними.
URL-адреси, до яких зверталися за допомогою токенів, що потенційно можуть розкрити чутливу інформацію.
Azure PowerShell
Azure PowerShell також зберігає токени та чутливі дані, до яких можна отримати доступ локально:
Токени доступу:
TokenCache.dat
, розташований за адресоюC:\Users\<username>\.Azure
, зберігає токени доступу у відкритому вигляді.Секрети службових принципалів: Вони зберігаються у незашифрованому вигляді в
AzureRmContext.json
.Функція збереження токенів: Користувачі можуть постійно зберігати токени за допомогою команди
Save-AzContext
, яку слід використовувати обережно, щоб запобігти несанкціонованому доступу.
Автоматичні інструменти для їх пошуку
Рекомендації з безпеки
Оскільки чутливі дані зберігаються у відкритому вигляді, важливо захищати ці файли та каталоги, обмежуючи права доступу до них, регулярно моніторити та аудитувати ці каталоги на несанкціонований доступ або неочікувані зміни, застосовувати шифрування для чутливих файлів, де це можливо, та навчати користувачів ризикам та найкращим практикам щодо обробки такої чутливої інформації.
Last updated