mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2025-12-30 22:50:43 -08:00
Translated ['src/pentesting-cloud/azure-security/az-services/az-file-sha
This commit is contained in:
Translator
@@ -4,29 +4,29 @@
|
||||
|
||||
## 基本情報
|
||||
|
||||
**Azure Files** は、標準の **SMB (Server Message Block)** および **NFS (Network File System)** プロトコルを介してアクセス可能な共有ファイルストレージを提供する完全管理型のクラウドファイルストレージサービスです。主に使用されるプロトコルはSMBですが、NFS Azureファイル共有はWindowsではサポートされていません([**docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)による)。これにより、複数の仮想マシン(VM)やオンプレミスシステムから同時にアクセスできる高可用性のネットワークファイル共有を作成でき、環境間でシームレスなファイル共有が可能になります。
|
||||
**Azure Files** は、標準の **SMB (Server Message Block)** および **NFS (Network File System)** プロトコルを介してアクセス可能な共有ファイルストレージを提供する完全に管理されたクラウドファイルストレージサービスです。主に使用されるプロトコルはSMBですが、NFS Azureファイル共有はWindowsではサポートされていません([**docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)による)。これにより、複数の仮想マシン(VM)やオンプレミスシステムから同時にアクセスできる高可用性のネットワークファイル共有を作成でき、環境間でシームレスなファイル共有が可能になります。
|
||||
|
||||
### アクセス階層
|
||||
### アクセスティア
|
||||
|
||||
- **トランザクション最適化**: トランザクションが多い操作に最適化されています。
|
||||
- **ホット**: トランザクションとストレージのバランスが取れています。
|
||||
- **クール**: ストレージに対してコスト効果があります。
|
||||
- **プレミアム:** 低遅延およびIOPS集中的なワークロードに最適化された高性能ファイルストレージです。
|
||||
- **プレミアム**: 低遅延およびIOPS集中的なワークロードに最適化された高性能ファイルストレージです。
|
||||
|
||||
### バックアップ
|
||||
|
||||
- **日次バックアップ**: 指定された時間(例: 19.30 UTC)に毎日バックアップポイントが作成され、1日から200日間保存されます。
|
||||
- **日次バックアップ**: 指定された時間(例:19.30 UTC)に毎日バックアップポイントが作成され、1日から200日間保存されます。
|
||||
- **週次バックアップ**: 指定された曜日と時間(毎週日曜日の19.30)にバックアップポイントが作成され、1週間から200週間保存されます。
|
||||
- **月次バックアップ**: 指定された日と時間(例: 毎月の最初の日曜日の19.30)にバックアップポイントが作成され、1ヶ月から120ヶ月保存されます。
|
||||
- **年次バックアップ**: 指定された日と時間(例: 1月の最初の日曜日の19.30)にバックアップポイントが作成され、1年から10年間保存されます。
|
||||
- **手動バックアップおよびスナップショットをいつでも実行することも可能です**。この文脈では、バックアップとスナップショットは実際には同じです。
|
||||
- **月次バックアップ**: 指定された日と時間(例:毎月の最初の日曜日の19.30)にバックアップポイントが作成され、1ヶ月から120ヶ月保存されます。
|
||||
- **年次バックアップ**: 指定された日と時間(例:1月の最初の日曜日の19.30)にバックアップポイントが作成され、1年から10年間保存されます。
|
||||
- **手動バックアップおよびスナップショットをいつでも実行することも可能です**。バックアップとスナップショットは、この文脈では実際には同じものです。
|
||||
|
||||
### SMB経由でサポートされる認証
|
||||
|
||||
- **オンプレミスAD DS認証**: オンプレミスのActive Directory資格情報を使用し、Microsoft Entra IDと同期されているアイデンティティベースのアクセスを提供します。オンプレミスAD DSへのネットワーク接続が必要です。
|
||||
- **Microsoft Entraドメインサービス認証**: Microsoft Entraドメインサービス(クラウドベースのAD)を利用して、Microsoft Entra資格情報を使用してアクセスを提供します。
|
||||
- **ハイブリッドアイデンティティ用のMicrosoft Entra Kerberos**: Microsoft Entraユーザーがインターネット経由でAzureファイル共有に対してKerberosを使用して認証できるようにします。オンプレミスのドメインコントローラーへの接続を必要とせず、ハイブリッドMicrosoft Entra参加またはMicrosoft Entra参加のVMをサポートします。ただし、クラウド専用のアイデンティティはサポートされていません。
|
||||
- **Linuxクライアント用のAD Kerberos認証**: LinuxクライアントがオンプレミスAD DSまたはMicrosoft Entraドメインサービスを介してSMB認証にKerberosを使用できるようにします。
|
||||
- **オンプレミスAD DS認証**: オンプレミスのActive Directory資格情報を使用し、Microsoft Entra IDと同期してアイデンティティベースのアクセスを提供します。オンプレミスAD DSへのネットワーク接続が必要です。
|
||||
- **Microsoft Entraドメインサービス認証**: Microsoft Entra資格情報を使用してアクセスを提供するために、Microsoft Entraドメインサービス(クラウドベースのAD)を活用します。
|
||||
- **ハイブリッドアイデンティティのためのMicrosoft Entra Kerberos**: Microsoft Entraユーザーがインターネット経由でAzureファイル共有をKerberosを使用して認証できるようにします。オンプレミスのドメインコントローラーへの接続を必要とせず、ハイブリッドMicrosoft Entra参加またはMicrosoft Entra参加のVMをサポートします。ただし、クラウド専用のアイデンティティはサポートされていません。
|
||||
- **LinuxクライアントのためのAD Kerberos認証**: LinuxクライアントがオンプレミスAD DSまたはMicrosoft Entraドメインサービスを介してSMB認証のためにKerberosを使用できるようにします。
|
||||
|
||||
## 列挙
|
||||
|
||||
@@ -45,6 +45,11 @@ az storage file list --account-name <name> --share-name <share-name>
|
||||
az storage file list --account-name <name> --share-name <prev_dir/share-name>
|
||||
# Download a complete share (with directories and files inside of them)
|
||||
az storage file download-batch -d . --source <share-name> --account-name <name>
|
||||
# List snapshots
|
||||
az storage share snapshot --name <share-name>
|
||||
# List file shares, including deleted ones
|
||||
az rest --method GET \
|
||||
--url "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/fileServices/default/shares?%24skipToken=&%24maxpagesize=20&%24filter=&%24expand=deleted&api-version=2019-06-01"
|
||||
|
||||
# Get snapshots/backups
|
||||
az storage share list --account-name <name> --include-snapshots --query "[?snapshot != null]"
|
||||
@@ -80,17 +85,17 @@ Get-AzStorageFile -ShareName "<share-name>" -Context (New-AzStorageContext -Stor
|
||||
{{#endtabs}}
|
||||
|
||||
> [!NOTE]
|
||||
> デフォルトでは、`az` cliはアカウントキーを使用してキーに署名し、アクションを実行します。Entra IDプリンシパルの権限を使用するには、パラメータ`--auth-mode login --enable-file-backup-request-intent`を使用してください。
|
||||
> デフォルトでは `az` cli はアカウントキーを使用してキーに署名し、アクションを実行します。Entra ID プリンシパルの権限を使用するには、パラメータ `--auth-mode login --enable-file-backup-request-intent` を使用してください。
|
||||
|
||||
> [!TIP]
|
||||
> 使用するアカウントキーを示すには、パラメータ`--account-key`を使用します\
|
||||
> SASトークンを使用してアクセスするには、SASトークンと共にパラメータ`--sas-token`を使用します。
|
||||
> 使用するアカウントキーを示すには、パラメータ `--account-key` を使用します\
|
||||
> SAS トークンを使用してアクセスするには、SAS トークンと共にパラメータ `--sas-token` を使用します
|
||||
|
||||
### 接続
|
||||
|
||||
これらは、執筆時にAzureが提案したファイル共有に接続するためのスクリプトです:
|
||||
これらは、執筆時に Azure が提案したファイル共有に接続するためのスクリプトです:
|
||||
|
||||
`<STORAGE-ACCOUNT>`、`<ACCESS-KEY>`、および`<FILE-SHARE-NAME>`のプレースホルダーを置き換える必要があります。
|
||||
`<STORAGE-ACCOUNT>`、`<ACCESS-KEY>`、および `<FILE-SHARE-NAME>` プレースホルダーを置き換える必要があります。
|
||||
|
||||
{{#tabs}}
|
||||
{{#tab name="Windows"}}
|
||||
|
||||
Reference in New Issue
Block a user