Translated ['src/pentesting-cloud/azure-security/az-post-exploitation/az

src/pentesting-cloud/azure-security/az-post-exploitation/az-cosmosDB-post-exploitation.md

@@ -3,23 +3,35 @@
 {{#include ../../../banners/hacktricks-training.md}}
 
 ## CosmosDB ポストエクスプロイテーション
-SQL データベースに関する詳細情報は、以下を確認してください:
+SQL Database に関する詳細情報は、以下を確認してください:
 
 {{#ref}}
 ../az-services/az-cosmosDB.md
 {{#endref}}
 
-
 ### `Microsoft.DocumentDB/databaseAccounts/read` && `Microsoft.DocumentDB/databaseAccounts/write`
-この権限を持つことで、Azure Cosmos DB アカウントを作成または更新できます。これには、アカウントレベルの設定の変更、リージョンの追加または削除、一貫性レベルの変更、マルチリージョン書き込みのような機能の有効化または無効化が含まれます。
+この権限を持つことで、Azure Cosmos DB アカウントを作成または更新できます。これには、アカウントレベルの設定の変更、自動フェイルオーバーの有効化または無効化、ネットワークアクセス制御の管理、バックアップポリシーの設定、一貫性レベルの調整が含まれます。この権限を持つ攻撃者は、設定を変更してセキュリティ制御を弱体化させたり、可用性を妨害したり、ネットワークルールを変更してデータを抽出したりする可能性があります。
 ```bash
 az cosmosdb update \
 --name <account_name> \
 --resource-group <resource_group_name> \
 --public-network-access ENABLED
 ```
+
+```bash
+az cosmosdb update \
+--account-name <account_name> \
+--resource-group <resource_group_name> \
+--capabilities EnableMongoRoleBasedAccessControl
+```
+アカウントでマネージドアイデンティティを有効にすることもできます：
+```bash
+az cosmosdb identity assign \
+--name <cosmosdb_account_name> \
+--resource-group <resource_group_name>
+```
 ### `Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/read` && `Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/write`
-この権限を持つことで、Azure Cosmos DB アカウントの SQL データベース内にコンテナ（コレクション）を作成または変更できます。コンテナはデータを保存するために使用され、その変更はデータベースの構造やアクセスパターンに影響を与える可能性があります。
+この権限を持つことで、Azure Cosmos DB アカウントの SQL データベース内でコンテナ（コレクション）を作成または変更できます。コンテナはデータを保存するために使用され、その変更はデータベースの構造やアクセスパターンに影響を与える可能性があります。
 ```bash
 # Create
 az cosmosdb sql container create \
@@ -38,7 +50,7 @@ az cosmosdb sql container update \
 --ttl 3600
 ```
 ### `Microsoft.DocumentDB/databaseAccounts/sqlDatabases/write` && `Microsoft.DocumentDB/databaseAccounts/sqlDatabases/read`
-この権限を使用すると、Azure Cosmos DB アカウント内で SQL データベースを作成または変更できます。これにより、データベースの構造を管理し、新しいデータベースをアカウントに追加することができます。この権限はデータベースの作成を可能にしますが、不適切または無許可の使用は、不必要なリソース消費、コストの増加、または運用の非効率を引き起こす可能性があります。
+この権限を使用すると、Azure Cosmos DB アカウント内で SQL データベースを作成または変更できます。これにより、データベースの構造を管理し、新しいデータベースをアカウントに追加できます。この権限はデータベースの作成を可能にしますが、不適切または無許可の使用は、不必要なリソース消費、コストの増加、または運用の非効率を引き起こす可能性があります。
 ```bash
 az cosmosdb sql database create \
 --account-name <account_name> \
@@ -119,52 +131,4 @@ az cosmosdb mongodb database create \
 --resource-group <resource_group_name> \
 --name <database_name>
 ```
-### `Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write` && `Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/read`
-この権限を持つことで、Azure Cosmos DB アカウント内に新しい MongoDB ロール定義を作成できます。これにより、MongoDB ユーザーのために特定の権限を持つカスタムロールを定義できます。
-```bash
-az cosmosdb mongodb role definition create \
---account-name <account_name> \
---resource-group <resource_group_name> \
---body '{
-"Id": "<mydatabase>.readWriteRole",
-"RoleName": "readWriteRole",
-"Type": "CustomRole",
-"DatabaseName": "<mydatabase>",
-"Privileges": [
-{
-"Resource": {
-"Db": "<mydatabase>",
-"Collection": "mycollection"
-},
-"Actions": [
-"insert",
-"find",
-"update"
-]
-}
-],
-"Roles": []
-}'
-```
-### `Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write` && `Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/read`
-この権限を使用すると、Azure Cosmos DB アカウント内に新しい MongoDB ユーザー定義を作成できます。これにより、特定の役割とアクセスレベルを持つユーザーを MongoDB データベースにプロビジョニングできます。
-```bash
-az cosmosdb mongodb user definition create \
---account-name <account_name> \
---resource-group <resource_group_name> \
---body '{
-"Id": "<mydatabase>.myUser",
-"UserName": "myUser",
-"Password": "mySecurePassword",
-"DatabaseName": "<mydatabase>",
-"CustomData": "TestCustomData",
-"Mechanisms": "SCRAM-SHA-256",
-"Roles": [
-{
-"Role": "readWriteRole",
-"Db": "<mydatabase>"
-}
-]
-}'
-```
 {{#include ../../../banners/hacktricks-training.md}}