gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 11:07:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-keyvault

Browse Source
This commit is contained in:
Translator
2025-07-12 14:24:01 +00:00
parent de82983835
commit eddc26c8be
1 changed files with 5 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

9
src/pentesting-cloud/azure-security/az-services/az-keyvault.md
View File

@@ -4,19 +4,19 @@
## Informations de base
**Azure Key Vault** est un service cloud fourni par Microsoft Azure pour stocker et gérer en toute sécurité des informations sensibles telles que **secrets, clés, certificats et mots de passe**. Il agit comme un référentiel centralisé, offrant un accès sécurisé et un contrôle granulaire à l'aide d'Azure Active Directory (Azure AD). D'un point de vue sécurité, Key Vault fournit une **protection par module de sécurité matériel (HSM)** pour les clés cryptographiques, garantit que les secrets sont chiffrés à la fois au repos et en transit, et offre une gestion d'accès robuste grâce à **l'accès basé sur les rôles (RBAC)** et aux politiques. Il dispose également de **journalisation des audits**, d'une intégration avec Azure Monitor pour le suivi des accès, et d'une rotation automatique des clés pour réduire le risque d'exposition prolongée des clés.
**Azure Key Vault** est un service cloud fourni par Microsoft Azure pour stocker et gérer en toute sécurité des informations sensibles telles que **secrets, clés, certificats et mots de passe**. Il agit comme un référentiel centralisé, offrant un accès sécurisé et un contrôle granulaire à l'aide d'Azure Active Directory (Azure AD). D'un point de vue sécurité, Key Vault fournit une **protection par module de sécurité matériel (HSM)** pour les clés cryptographiques, garantit que les secrets sont chiffrés à la fois au repos et en transit, et offre une gestion d'accès robuste grâce à **l'accès basé sur les rôles (RBAC)** et des politiques. Il dispose également de **journaux d'audit**, d'une intégration avec Azure Monitor pour le suivi des accès, et d'une rotation automatique des clés pour réduire le risque d'exposition prolongée des clés.
Voir [Azure Key Vault REST API overview](https://learn.microsoft.com/en-us/azure/key-vault/general/about-keys-secrets-certificates) pour des détails complets.
Selon les [**docs**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts), les coffres prennent en charge le stockage de clés logicielles et de clés soutenues par HSM, de secrets et de certificats. Les pools HSM gérés ne prennent en charge que les clés soutenues par HSM.
Le **format d'URL** pour les **coffres** est `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` et pour les pools HSM gérés c'est : `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}`
Le **format d'URL** pour les **coffres** est `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` et pour les pools HSM gérés, c'est : `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}`
Où :
- `vault-name` est le nom **unique** au niveau mondial du coffre de clés
- `object-type` peut être "keys", "secrets" ou "certificates"
- `object-name` est le nom **unique** de l'objet dans le coffre de clés
- `object-name` est le nom **unique** de l'objet au sein du coffre de clés
- `object-version` est généré par le système et utilisé en option pour adresser une **version unique d'un objet**.
Pour accéder aux secrets stockés dans le coffre, il est possible de choisir entre 2 modèles de permissions lors de la création du coffre :
@@ -42,7 +42,7 @@ Un rôle comme **Contributor** qui a des permissions dans le plan de gestion pou
### Accès réseau
Dans Azure Key Vault, des règles de **pare-feu** peuvent être configurées pour **permettre les opérations du plan de données uniquement à partir de réseaux virtuels spécifiés ou de plages d'adresses IPv4**. Cette restriction affecte également l'accès via le portail d'administration Azure ; les utilisateurs ne pourront pas lister les clés, secrets ou certificats dans un coffre de clés si leur adresse IP de connexion n'est pas dans la plage autorisée.
Dans Azure Key Vault, des règles de **pare-feu** peuvent être mises en place pour **autoriser les opérations du plan de données uniquement à partir de réseaux virtuels spécifiés ou de plages d'adresses IPv4**. Cette restriction affecte également l'accès via le portail d'administration Azure ; les utilisateurs ne pourront pas lister les clés, secrets ou certificats dans un coffre de clés si leur adresse IP de connexion ne se trouve pas dans la plage autorisée.
Pour analyser et gérer ces paramètres, vous pouvez utiliser l'**Azure CLI** :
```bash
@@ -67,6 +67,7 @@ Cependant, il est possible de créer un coffre avec **la protection contre la pu
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault