Az - Key Vault

Reading time: 10 minutes

基本情報

Azure Key Vault は、Microsoft Azure が提供するクラウドサービスで、シークレット、キー、証明書、パスワードなどの機密情報を安全に保存および管理します。これは中央集権的なリポジトリとして機能し、Azure Active Directory (Azure AD) を使用して安全なアクセスと細かな制御を提供します。セキュリティの観点から、Key Vault は暗号鍵のためのハードウェアセキュリティモジュール (HSM) 保護を提供し、シークレットが静止時および転送中に暗号化されることを保証し、ロールベースのアクセス制御 (RBAC) とポリシーを通じて堅牢なアクセス管理を提供します。また、監査ログ、アクセス追跡のための Azure Monitor との統合、および長期間の鍵露出によるリスクを軽減するための自動鍵ローテーション機能も備えています。

完全な詳細については、Azure Key Vault REST API 概要を参照してください。

docsによると、Vault はソフトウェアおよび HSM バックの鍵、シークレット、証明書の保存をサポートしています。管理された HSM プールは HSM バックの鍵のみをサポートします。

ボールトのURL形式は https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} で、管理された HSM プールの場合は https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version} です。

ここで：

• vault-name は鍵ボールトのグローバルにユニークな名前です。
• object-type は "keys"、"secrets" または "certificates" です。
• object-name は鍵ボールト内でのユニークなオブジェクト名です。
• object-version はシステム生成され、オブジェクトのユニークなバージョンを指定するためにオプションで使用されます。

ボールトに保存されたシークレットにアクセスするためには、ボールト作成時に2つの権限モデルのいずれかを選択できます：

• ボールトアクセスポリシー
• Azure RBAC（最も一般的で推奨される）
• サポートされているすべての詳細な権限は、https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault で確認できます。

アクセス制御

Key Vault リソースへのアクセスは、2つのプレーンによって制御されます：

• 管理プレーン、そのターゲットは management.azure.com です。
• これは鍵ボールトとアクセスポリシーを管理するために使用されます。Azure ロールベースのアクセス制御 (RBAC) のみがサポートされています。
• データプレーン、そのターゲットは <vault-name>.vault.azure.com です。
• これは鍵ボールト内のデータ（鍵、シークレット、証明書）を管理およびアクセスするために使用されます。これには鍵ボールトアクセスポリシーまたは Azure RBAC がサポートされています。

Contributor のような役割は、アクセスポリシーを管理するための管理プレーンでの権限を持っている場合、アクセスポリシーを変更することでシークレットにアクセスできます。

Key Vault RBAC ビルトインロール

ネットワークアクセス

Azure Key Vault では、ファイアウォールルールを設定して、指定された仮想ネットワークまたは IPv4 アドレス範囲からのみデータプレーン操作を許可することができます。この制限は Azure 管理ポータルを通じたアクセスにも影響し、ログイン IP アドレスが承認された範囲内でない場合、ユーザーは鍵、シークレット、または証明書を鍵ボールト内でリストすることができません。

これらの設定を分析および管理するために、Azure CLIを使用できます：

az keyvault show --name name-vault --query networkAcls

前のコマンドは、name-vaultのファイアウォール設定を表示します。これには、有効なIP範囲と拒否されたトラフィックのポリシーが含まれます。

さらに、プライベートエンドポイントを作成して、ボールトへのプライベート接続を許可することも可能です。

削除保護

キー ボールトが作成されると、削除を許可する最小日数は7日です。つまり、そのキー ボールトを削除しようとすると、削除には少なくとも7日かかります。

ただし、パージ保護が無効のボールトを作成することも可能で、これにより保持期間中にキー ボールトとオブジェクトをパージできます。ただし、一度この保護がボールトに対して有効になると、無効にすることはできません。

列挙

# List all Key Vaults in the subscription
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault
az keyvault key list --vault-name <KeyVaultName>
# List all secrets in a Key Vault
az keyvault secret list --vault-name <KeyVaultName>
# Get versions of a secret
az keyvault secret list-versions --vault-name <KeyVaultName> --name <SecretName>
# List all certificates in a Key Vault
az keyvault certificate list --vault-name <KeyVaultName>
# List all deleted Key Vaults in the subscription
az keyvault list-deleted
# Get properties of a deleted Key Vault
az keyvault show-deleted --name <KeyVaultName>
# Get assigned roles
az role assignment list --include-inherited --scope "/subscriptions/<subscription-uuid>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Get secret value
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# Get details of a specific Key Vault
Get-AzKeyVault -VaultName <KeyVaultName>
# List all keys in a Key Vault
Get-AzKeyVaultKey -VaultName <KeyVaultName>
# List all secrets in a Key Vault
Get-AzKeyVaultSecret -VaultName <KeyVaultName>
# List all certificates in a Key Vault
Get-AzKeyVaultCertificate -VaultName <KeyVaultName>
# List all deleted Key Vaults in the subscription
Get-AzKeyVault -InRemovedState
# Get properties of a deleted Key Vault
Get-AzKeyVault -VaultName <KeyVaultName> -InRemovedState
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> -AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

権限昇格

Az - Key Vault Privesc

ポストエクスプロイト

Az - Key Vault Post Exploitation