Az - API Management

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

मूल जानकारी

Azure API Management (APIM) एक पूरी तरह managed सेवा है जो APIs को प्रकाशित करने, सुरक्षित करने, ट्रांसफ़ॉर्म करने, प्रबंधित करने और मॉनिटर करने के लिए एक एकीकृत प्लेटफ़ॉर्म प्रदान करती है। यह संगठनों को उनकी API रणनीति को केंद्रीकृत करने में सक्षम बनाती है और उनकी सभी सेवाओं में लगातार गवर्नेंस, प्रदर्शन और सुरक्षा सुनिश्चित करती है। बैकएंड सेवाओं और API उपभोक्ताओं के बीच एक एब्स्ट्रैक्शन लेयर के रूप में कार्य करके, APIM एकीकरण को सरल बनाता है और रखरखाव में सुधार करता है, साथ ही आवश्यक संचालन और सुरक्षा क्षमताएँ प्रदान करता है।

मूलभूत अवधारणाएँ

The API Gateway सभी API ट्रैफ़िक के लिए एकल प्रवेश बिंदु के रूप में कार्य करता है, जो backend सेवाओं को अनुरोध रूटिंग, rate limits लागू करना, responses को cache करना, और authentication और authorization प्रबंधित करने जैसे कार्य संभालता है। यह gateway Azure द्वारा पूरी तरह होस्ट और मैनेज किया जाता है, जो उच्च उपलब्धता और स्केलेबिलिटी सुनिश्चित करता है।

The Developer Portal एक self-service परिवेश प्रदान करता है जहाँ API उपभोक्ता उपलब्ध APIs का पता लगा सकते हैं, दस्तावेज़ पढ़ सकते हैं, और endpoints का परीक्षण कर सकते हैं। यह interactive टूल और subscription जानकारी तक पहुँच प्रदान करके onboarding को सरल बनाता है।

The Management Portal (Management Plane) प्रशासकों द्वारा APIM सेवा को कॉन्फ़िगर और बनाए रखने के लिए उपयोग किया जाता है। यहाँ से उपयोगकर्ता APIs और operations को परिभाषित कर सकते हैं, access control कॉन्फ़िगर कर सकते हैं, policies लागू कर सकते हैं, users का प्रबंधन कर सकते हैं, और APIs को products में व्यवस्थित कर सकते हैं। यह पोर्टल प्रशासन को केंद्रीकृत करता है और लगातार API गवर्नेंस सुनिश्चित करता है।

प्रमाणीकरण और प्राधिकरण

Azure API Management कई authentication mechanisms का समर्थन करता है ताकि API एक्सेस सुरक्षित किया जा सके। इनमें subscription keys, OAuth 2.0 tokens, और client certificates शामिल हैं। APIM natively Microsoft Entra ID के साथ integrate करता है, जिससे enterprise-level identity management और APIs तथा backend सेवाओं तक secure access सक्षम होती है।

पॉलिसियाँ

APIM में Policies प्रशासकों को विभिन्न granularities पर request और response प्रोसेसिंग को कस्टमाइज़ करने की अनुमति देती हैं, जिसमें service, API, operation, या product स्तर शामिल हैं। पॉलिसियों के माध्यम से, JWT token validation लागू करना, XML या JSON payloads को ट्रांसफ़ॉर्म करना, rate limiting लागू करना, IP address द्वारा कॉल्स को प्रतिबंधित करना, या managed identities का उपयोग करके backend सेवाओं के खिलाफ authenticate करना संभव है। पॉलिसियाँ बहुत लचीली हैं और API Management प्लेटफ़ॉर्म की मुख्य ताकतों में से एक हैं, जो backend कोड को बदलने के बिना runtime व्यवहार पर सूक्ष्म नियंत्रण सक्षम करती हैं।

Named Values

यह सेवा Named Values नामक एक मैकेनिज़्म प्रदान करती है, जो नीतियों द्वारा आवश्यक secrets, API keys, या अन्य कॉन्फ़िगरेशन जानकारी जैसी चीज़ों को संग्रहीत करने की अनुमति देती है।

इन मानों को सीधे APIM के भीतर स्टोर किया जा सकता है या सुरक्षित रूप से Azure Key Vault से संदर्भित किया जा सकता है। Named Values कॉन्फ़िगरेशन डेटा के सुरक्षित और केंद्रीकृत प्रबंधन को बढ़ावा देते हैं और हार्डकोडेड मानों के बजाय reusable references की अनुमति देकर policy लेखन को सरल बनाते हैं।

Networking and Security Integration

Azure API Management virtual network environments के साथ सहजता से एकीकृत होता है, जिससे backend सिस्टम्स के लिए निजी और सुरक्षित कनेक्टिविटी सक्षम होती है।

जब इसे एक Virtual Network (VNet) के अंदर तैनात किया जाता है, तो APIM बिना उन्हें सार्वजनिक रूप से उजागर किए आंतरिक सेवाओं तक पहुँच सकता है। सेवा custom certificates को कॉन्फ़िगर करने की भी अनुमति देती है ताकि backend सेवाओं के साथ mutual TLS authentication का समर्थन किया जा सके, जो उन परिदृश्यों में सुरक्षा में सुधार करता है जहाँ strong identity validation आवश्यक होती है।

ये networking सुविधाएँ APIM को दोनों के लिए उपयुक्त बनाती हैं: cloud-native और hybrid architectures

Enumerate

To enumerate the API management service:

# Lists all Named Values configured in the Azure API Management instance
az apim nv list --resource-group <resource-group> --service-name <service-name>

# Retrieves all policies applied at the API level in raw XML format
az rest --method GET \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>/apis/<api-id>/policies/?api-version=2024-05-01&format=rawxml"

# Retrieves the effective policy for a specific API in raw XML format
az rest --method GET \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>/apis/<api-id>/policies/policy?api-version=2024-05-01&format=rawxml"

# Gets the configuration details of the APIM service instance
az rest --method GET \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<apim>?api-version=2024-05-01"

# Lists all backend services registered in the APIM instance
az rest --method GET \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>/backends?api-version=2024-05-01"

# Retrieves details of a specific backend service
az rest --method GET \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>/backends/<backend-id>?api-version=2024-05-01"

# Gets general information about the APIM service
az rest --method GET \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=2024-05-01"

# Calls an exposed API endpoint through the APIM gateway
curl https://<apim>.azure-api.net/<api-path>

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें