边缘(Edge)是指将一个节点连接到另一个节点的“链接”或者“关系”,通过查看“Edge”信息,我们可以详细的看出当前Azure AD中各个节点之间的关系,如下图1-1所示,四个用户节点通过"AZGlobalAdmin"Edge(边缘)来连接到“默认目录”中,因这四个用户节点都有指向该“默认目录”的“AZGlobalAdmin”,则表示这四个用户都具有对“默认目录”的全局管理角色权限。
注:“AZGlobalAdmin”边缘表示当前的某个主体,对某个目标租户对象具有全局管理员角色,全局管理员是 Azure 中最高的特权角色,可对租户中的所有对象类型执行任何操作(例如:为其他用户分配角色权限,在VM上运行命令,更改用户密码等
图1-1
在AzureHound中提供了很多关于“Edge(边缘)”的类型,如图1-2所示,在本章节中,笔者列出了一些常用的边缘类型及其说明描述,如表1-1所示,来供读者参考学习。
图1-2
表1-1
边缘名称 | 描述说明 |
|---|
AZAvereContributor | 表示任何被授予Avere Contributor角色 (作用域为受影响的VM)的主体都可以重置VM上的内置管理员密码 |
AZContains | 表示该主体作为父对象包含了某些子对象(例如:包含Azure VM虚拟机的资源组) |
AZContributor | 表示该主体具有Azure参与者角色权限。 |
AZGetCertificates | 表示该主体具有从密钥保管库读取证书的权限 |
AZGetKeys | 表示该主体具有从密钥保管库读取"Keys"的权限 |
AZGetSecrets | 表示该主体具有从密钥保管库读取"Secrets"的权限 |
AZHasRole | 表示该主体已被授权为特定的 AzureAD 管理员角色 |
AZMemberof | 表示该主体是某Azure Active Directory组的成员,如果该组具有AzureAD 管理员角色,则该组的所有成员都会继承管理员角色权限 |
AZVMContributor | 表示该主体具有Azure VM参与者角色权限,可对Azure VM进行任何方面的滥用。 |
AZVMAdminLogin | 表示该主体具有Azure VM本地管理员的权限,可通过RDP 连接到虚拟机。 |
AZAddMembers | 表示该主体能够将向Azure 安全组中添加成员 |
AZAddSecret | 表示该主体可向所有服务主体和应用程序注册添加新的"Secret" |
AZExecuteCommand | 表示该主体具有 Intune 管理员角色,能够在加入到 Azure Active Directory 租户的设备上执行任意 PowerShell 脚本 |
AZGlobalAdmin | 表示该主体对目标租户具有全局管理员角色。 全局管理员是 Azure 中最高的特权角色,可对租户中的所有对象类型执行任何操作(例如:为其他用户分配角色权限,在VM上运行命令,更改用户密码等) |
AZPrivilegedAuthAdmin | 表示该主体具有针对目标租户的活动特权身份验证管理员角色。具有此角色的主体可以为所有用户更新敏感属性。特权身份验证管理员可以为任何用户 (包括全局管理员)设置或重置任何身份验证方法 |
AZPrivilegedRoleAdmin | 表示该主体可以在租户级别将任何其他管理角色授予另一个主体 |
AZResetPassword | 表示该主体能够在不知道其他用户当前密码的情况下更改其密码 |
AZUserAccessAdministrator | 表示该主体可向您自己或其他主体授予针对自动化帐户、VM、密钥保管库和资源组所需的任何权限 |
AZOwns | 表示该主体被授予对委托人的所有者权限 |
AZCloudAppAdmin | 表示该主体具有CloudAppAdmin(云应用管理员)角色,可以对租户注册的应用程序进行管理控制 |
AZAddOwner | 表示该主体可针对同一租户中的所有应用程序及服务主体进行注册和创建 |
AzManagedldentity | 表示该主体可使用托管身份服务主体的权限对 Azure 执行操作 |
AZKeyVaultContributor | 表示该主体对目标KeyVault具有完全控制权,可读取 Key Vault 上存储的所有信息 |
