Может ли какая-либо программа, работающая на ВМ, или любой пользователь, вошедший в нее, получить токен с использованием идентификатора управляемой службы Azure?

Question

Когда мы сохраняем сертификат участника службы / appKey в виртуальной машине (для доступа к keyvault), мы можем ограничить доступ к этому файлу только для учетной записи пользователя, на котором запущена программа.Другие пользователи или учетные записи не будут иметь доступа к секретам в keyvault.

Когда мы используем удостоверение управляемой службы Azure для доступа к keyvault из виртуальной машины IaaS, я понимаю, что любой пользователь вошел в виртуальную машину или любую запущенную программуна машине можно получить доступ к секретам keyvault - это правда?

И если это так, не снижает ли это безопасность в случае взлома одной из учетных записей пользователей?

Answer 1

Согласно статье access Azure Key Vault , похоже, это правда.Если MSI включен, просто нужно вызвать веб-запрос в виртуальной машине без, например, appKey.

И если это так, не снижает ли это безопасность в случае взлома одной из учетных записей пользователей?

Так и должно быть, но предпосылкой доступа к секрету в keyvault является принципал службы VM, добавленный в качестве роли в Контроль доступа (IAM) и Политики доступа .

Если вы хотите повысить безопасность, вам может потребоваться удалить участника службы виртуальной машины в Политики доступа , тогда он не сможет получить доступ к секрету.Если вы хотите, чтобы у субъекта службы вообще не было доступа к keyvault, удалите его роль в Контроль доступа (IAM) .

Для получения дополнительной информации вы можете обратиться к: Безопасное хранилище ключей .

Обновление :

Из упомянутого doc @Arturo это факт.

Любой код, работающий на этой виртуальной машине, может вызвать управляемый идентификаторсущности для конечной точки ресурсов Azure и маркеров запросов.