Az - Key Vault

Основна інформація

З документації: Azure Key Vault - це хмарний сервіс для безпечного зберігання та доступу до секретів. Секрет - це будь-що, до чого ви хочете строго контролювати доступ, наприклад, API ключі, паролі, сертифікати або криптографічні ключі. Сервіс Key Vault підтримує два типи контейнерів: сховища та керовані пули апаратних модулів безпеки (HSM). Сховища підтримують зберігання програмних та HSM-підтримуваних ключів, секретів та сертифікатів. Керовані пули HSM підтримують лише HSM-підтримувані ключі. Дивіться огляд REST API Azure Key Vault для повних деталей.

Формат URL: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Де:

• vault-name - це глобально унікальне ім'я сховища ключів

• object-type може бути "keys", "secrets" або "certificates"

• object-name - це унікальне ім'я об'єкта в сховищі ключів

• object-version генерується системою і використовується для адресації унікальної версії об'єкта.

Для доступу до секретів, що зберігаються в сховищі, можуть використовуватися 2 моделі дозволів:

• Політика доступу до сховища

• Azure RBAC

Контроль доступу

Доступ до ресурсу Key Vault контролюється двома площинами:

• Площина управління, ціль якої management.azure.com.

• Використовується для управління сховищем ключів та політиками доступу. Підтримується лише Azure рольовий контроль доступу (RBAC).

• Площина даних, ціль якої <vault-name>.vault.azure.com.

• Використовується для управління та доступу до даних (ключів, секретів та сертифікатів) в сховищі ключів. Це підтримує політики доступу до сховища ключів або Azure RBAC.

Роль, така як Contributor, яка має дозволи в площині управління для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.

Вбудовані ролі Key Vault RBAC

Мережевий доступ

В Azure Key Vault можна налаштувати правила брандмауера для дозволу операцій з площиною даних лише з вказаних віртуальних мереж або діапазонів IPv4 адрес. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть переглядати ключі, секрети або сертифікати в сховищі ключів, якщо їх IP-адреса входу не знаходиться в дозволеному діапазоні.

Для аналізу та управління цими налаштуваннями можна використовувати Azure CLI:

az keyvault show --name name-vault --query networkAcls

Попередня команда відобразить налаштування брандмауера name-vault, включаючи дозволені діапазони IP-адрес та політики для забороненого трафіку.

Перелічення

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done