gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-keyvault

Browse Source
This commit is contained in:
Translator
2025-08-04 09:31:41 +00:00
parent c3bda6f370
commit 3b3bff852d
1 changed files with 7 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

11
src/pentesting-cloud/azure-security/az-services/az-keyvault.md
View File

@@ -14,9 +14,9 @@ Le **format d'URL** pour les **coffres** est `https://{vault-name}.vault.azure.n
Où :
- `vault-name` est le nom **unique** au niveau mondial du coffre de clés
- `vault-name` est le nom **unique** du coffre de clés
- `object-type` peut être "keys", "secrets" ou "certificates"
- `object-name` est le nom **unique** de l'objet au sein du coffre de clés
- `object-name` est le nom **unique** de l'objet dans le coffre de clés
- `object-version` est généré par le système et utilisé en option pour adresser une **version unique d'un objet**.
Pour accéder aux secrets stockés dans le coffre, il est possible de choisir entre 2 modèles de permissions lors de la création du coffre :
@@ -32,7 +32,7 @@ L'accès à une ressource Key Vault est contrôlé par deux plans :
- Le **plan de gestion**, dont la cible est [management.azure.com](http://management.azure.com/).
- Il est utilisé pour gérer le coffre de clés et les **politiques d'accès**. Seul l'accès basé sur les rôles Azure (**RBAC**) est pris en charge.
- Le **plan de données**, dont la cible est **`<vault-name>.vault.azure.com`**.
- Il est utilisé pour gérer et accéder aux **données** (clés, secrets et certificats) **dans le coffre de clés**. Cela prend en charge les **politiques d'accès au coffre** ou Azure **RBAC**.
- Il est utilisé pour gérer et accéder aux **données** (clés, secrets et certificats) **dans le coffre de clés**. Cela prend en charge les **politiques d'accès au coffre de clés** ou Azure **RBAC**.
Un rôle comme **Contributor** qui a des permissions dans le plan de gestion pour gérer les politiques d'accès peut accéder aux secrets en modifiant les politiques d'accès.
@@ -42,7 +42,7 @@ Un rôle comme **Contributor** qui a des permissions dans le plan de gestion pou
### Accès réseau
Dans Azure Key Vault, des règles de **pare-feu** peuvent être mises en place pour **autoriser les opérations du plan de données uniquement à partir de réseaux virtuels spécifiés ou de plages d'adresses IPv4**. Cette restriction affecte également l'accès via le portail d'administration Azure ; les utilisateurs ne pourront pas lister les clés, secrets ou certificats dans un coffre de clés si leur adresse IP de connexion ne se trouve pas dans la plage autorisée.
Dans Azure Key Vault, des règles de **pare-feu** peuvent être configurées pour **autoriser les opérations du plan de données uniquement à partir de réseaux virtuels spécifiés ou de plages d'adresses IPv4**. Cette restriction affecte également l'accès via le portail d'administration Azure ; les utilisateurs ne pourront pas lister les clés, secrets ou certificats dans un coffre de clés si leur adresse IP de connexion ne se trouve pas dans la plage autorisée.
Pour analyser et gérer ces paramètres, vous pouvez utiliser l'**Azure CLI** :
```bash
@@ -89,6 +89,9 @@ az role assignment list --include-inherited --scope "/subscriptions/<subscriptio
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>
# List deleted key vaults
az keyvault secret list-deleted --vault-name <vault-name>
```
{{#endtab }}