Основна інформація

З документації: Azure Key Vault - це хмарна служба для безпечного зберігання та доступу до секретів. Секрет - це все, до чого ви хочете жорстко контролювати доступ, таке як ключі API, паролі, сертифікати або криптографічні ключі. Служба Key Vault підтримує два типи контейнерів: сховища та керовані пули апаратних засобів безпеки (HSM). Сховища підтримують зберігання програмних та HSM-підтримуваних ключів, секретів та сертифікатів. Керовані пулі HSM підтримують лише HSM-підтримувані ключі. Див. Огляд REST API Azure Key Vault для повних відомостей.

Формат URL - https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Де:

• vault-name - це глобально унікальне ім'я сховища ключів

• object-type може бути "keys", "secrets" або "certificates"

• object-name - це унікальне ім'я об'єкта в межах сховища ключів

• object-version - система генерується та використовується за потреби для адресування унікальної версії об'єкта.

Для доступу до секретів, збережених у сховищі, можна використовувати 2 моделі дозволів:

• Політика доступу до сховища

• Azure RBAC

Контроль доступу

Доступ до ресурсу Key Vault контролюється двома площинами:

• Площина управління, яка має на меті management.azure.com.

• Вона використовується для управління сховищем ключів та політиками доступу. Підтримується лише Azure role based access control (RBAC).

• Площина даних, яка має на меті <vault-name>.vault.azure.com.

• Вона використовується для управління та доступу до даних (ключі, секрети та сертифікати) у сховищі ключів. Це підтримує політики доступу до сховища ключів або Azure RBAC.

Роль, така як Contributor, яка має дозволи на площині управління для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.

Вбудовані ролі RBAC Key Vault

Мережевий доступ

У Azure Key Vault можна налаштувати правила брандмауера, щоб дозволити операції площини даних лише з вказаних віртуальних мереж або діапазонів IPv4. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть переглядати ключі, секрети або сертифікати в сховищі ключів, якщо їх IP-адреса входу не знаходиться у визначеному діапазоні.

Для аналізу та управління цими налаштуваннями можна використовувати Azure CLI:

az keyvault show --name name-vault --query networkAcls

Попередня команда відображатиме налаштування брандмауера name-vault, включаючи діапазони IP-адрес, які дозволені, та політики для відхиленого трафіку.

Перелік

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done