gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-29 22:20:33 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-keyvault

Browse Source
This commit is contained in:
Translator
2025-01-09 16:31:11 +00:00
parent 6585acf939
commit b6b832cc01
9 changed files with 10 additions and 10 deletions
Download Patch File Download Diff File Expand all files Collapse all files

18
src/pentesting-cloud/azure-security/az-services/keyvault.md → src/pentesting-cloud/azure-security/az-services/az-keyvault.md
View File

@@ -14,10 +14,10 @@
ここで:
- `vault-name`ボールトのグローバルに**ユニーク**な名前です。
- `vault-name`キー ボールトのグローバルに**一意**な名前です。
- `object-type`は「keys」、「secrets」または「certificates」です。
- `object-name`ボールト内の**ユニーク**なオブジェクト名です。
- `object-version`はシステム生成され、**オブジェクトのユニークなバージョン**を指定するためにオプションで使用されます。
- `object-name`キー ボールト内の**一意**なオブジェクト名です。
- `object-version`はシステム生成され、**オブジェクトの一意のバージョン**を指定するためにオプションで使用されます。
ボールトに保存されたシークレットにアクセスするためには、ボールト作成時に2つの権限モデルのいずれかを選択できます
@@ -30,11 +30,11 @@
Key Vaultリソースへのアクセスは、2つのプレーンによって制御されます
- **管理プレーン**、そのターゲットは[management.azure.com](http://management.azure.com/)です。
- これはボールトと**アクセスポリシー**を管理するために使用されます。Azureロールベースのアクセス制御**RBAC**)のみがサポートされています。
- これはキー ボールトと**アクセスポリシー**を管理するために使用されます。Azureロールベースのアクセス制御**RBAC**)のみがサポートされています。
- **データプレーン**、そのターゲットは**`<vault-name>.vault.azure.com`**です。
- これは**鍵ボールト内のデータ**、シークレット、証明書)を管理およびアクセスするために使用されます。これには**ボールトアクセスポリシー**またはAzure **RBAC**がサポートされています。
- これはキー ボールト内の**データ**キー、シークレット、証明書)を管理およびアクセスするために使用されます。これには**キー ボールトアクセスポリシー**またはAzure **RBAC**がサポートされています。
**Contributor**のような役割は、アクセスポリシーを管理するための管理プレーンでの権限を持っているため、アクセスポリシーを変更することでシークレットにアクセスできます。
**Contributor**のような役割は、アクセスポリシーを管理するための管理プレーンでの権限を持っている場合、アクセスポリシーを変更することでシークレットにアクセスできます。
### Key Vault RBAC組み込みロール <a href="#rbac-built-in-roles" id="rbac-built-in-roles"></a>
@@ -42,13 +42,13 @@ Key Vaultリソースへのアクセスは、2つのプレーンによって制
### ネットワークアクセス
Azure Key Vaultでは、**ファイアウォール**ルールを設定して、**指定された仮想ネットワークまたはIPv4アドレス範囲からのみデータプレーン操作を許可**することができます。この制限はAzure管理ポータルを通じたアクセスにも影響し、ログインIPアドレスが承認された範囲内でない場合、ユーザーは、シークレット、または証明書をボールト内でリストすることができません。
Azure Key Vaultでは、**ファイアウォール**ルールを設定して、**指定された仮想ネットワークまたはIPv4アドレス範囲からのみデータプレーン操作を許可**することができます。この制限はAzure管理ポータルを通じたアクセスにも影響し、ログインIPアドレスが承認された範囲内でない場合、ユーザーはキー、シークレット、または証明書をキー ボールト内でリストすることができません。
これらの設定を分析および管理するために、**Azure CLI**を使用できます:
```bash
az keyvault show --name name-vault --query networkAcls
```
前のコマンドは`name-vault`**ファイアウォール設定**を表示し、有効なIP範囲と拒否されたトラフィックのポリシーを含みます。
前のコマンドは`name-vault`**ファイアウォール設定を表示します**。これには、有効なIP範囲と拒否されたトラフィックのポリシーが含まれます。
さらに、**プライベートエンドポイント**を作成して、ボールトへのプライベート接続を許可することが可能です。
@@ -56,7 +56,7 @@ az keyvault show --name name-vault --query networkAcls
キー ボールトが作成されると、削除を許可する最小日数は7日です。つまり、そのキー ボールトを削除しようとすると、**削除には少なくとも7日かかります**。
ただし、**パージ保護が無効**のボールトを作成することが可能で、保持期間中にキー ボールトとオブジェクトをパージできます。ただし、一度この保護がボールトに対して有効になると、無効にすることはできません。
ただし、**パージ保護が無効**のボールトを作成することが可能で、これにより保持期間中にキー ボールトとオブジェクトをパージできます。ただし、一度この保護がボールトに対して有効になると、無効にすることはできません。
## 列挙