我有一个启用 Arc 的服务器,它使用托管标识连接到 Azure Key Vault。IIS 托管应用程序能够毫无问题地访问密钥保管库,但存在可能存在安全风险的安全元素。
如果操作员登录到计算机,他们是否能够访问密钥保管库,因为服务器作为一个整体具有托管身份,因此理论上他们可以在计算机上下文中运行 powershell 命令来查询密钥保管库?
我有一个启用 Arc 的服务器,它使用托管标识连接到 Azure Key Vault。IIS 托管应用程序能够毫无问题地访问密钥保管库,但存在可能存在安全风险的安全元素。
如果操作员登录到计算机,他们是否能够访问密钥保管库,因为服务器作为一个整体具有托管身份,因此理论上他们可以在计算机上下文中运行 powershell 命令来查询密钥保管库?
如果操作员具有计算机的本地访问权限和足够的权限,他们可能会使用托管标识上下文来运行 PowerShell 命令或其他工具来与 Azure Key Vault 进行交互。
如果操作员能够访问终端并安装 Azure CLI 或 Azure PowerShell(或者已经存在),则他们可以使用托管标识登录到 Azure 并访问 Key Vault。