Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault ermöglicht Es Microsoft Azure-Anwendungen und -Benutzern, verschiedene Arten von geheimen und schlüsseldaten zu speichern und zu verwenden: Schlüssel, geheime Schlüssel und Zertifikate. Schlüssel, geheime Schlüssel und Zertifikate werden gemeinsam als "Objekte" bezeichnet.
Objektkennungen
Key Vault identifiziert Objekte eindeutig mit einem nicht auf Groß- und Kleinschreibung achtenden Bezeichner, der als Objektbezeichner bezeichnet wird. Keine zwei Objekte im System weisen unabhängig vom geografischen Standort denselben Bezeichner auf. Der Bezeichner besteht aus einem Präfix, das den Schlüsseltresor, den Objekttyp, den vom Benutzer bereitgestellten Objektnamen und eine Objektversion identifiziert. Bezeichner, die die Objektversion nicht enthalten, werden als "Basisbezeichner" bezeichnet. Key Vault-Objektbezeichner sind auch gültige URLs, vergleichen Sie sie jedoch immer als case-insensitive Zeichenfolgen.
Weitere Informationen finden Sie unter Authentifizierung, Anforderungen und Antworten.
Ein Objektbezeichner hat das folgende allgemeine Format (abhängig vom Containertyp):
Für Schlüsseltresore:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Für Pools verwalteter HSMs:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Hinweis
Weitere Informationen zu den von den einzelnen Containertypen unterstützten Objekttypen finden Sie unter Objekttypunterstützung.
Hierbei gilt:
| Element | BESCHREIBUNG |
|---|---|
vault-name oder hsm-name |
Der Name eines Schlüsseltresors oder Pools verwalteter HSMs im Microsoft Azure Key Vault-Dienst. Benutzer wählen Tresornamen und verwaltete HSM-Poolnamen aus, die global eindeutig sind. Der Name des Tresors und des Pools verwalteter HSMs muss zwischen 3 und 24 Zeichen lang sein und darf nur die Ziffern 0-9, die Buchstaben a-z und A-Z und keine aufeinanderfolgenden Minuszeichen („-“) enthalten. |
object-type |
Die Art des Objekts (Schlüssel, Geheimnisse oder Zertifikate). |
object-name |
Ein object-name ist ein benutzerseitig angegebener Name und muss innerhalb eines Schlüsseltresors eindeutig sein. Der Name muss eine 1-127-Zeichenfolge sein, die nur 0-9, a-z, A-Z und -enthält. |
object-version |
Ein object-version ist ein vom System generierter, 32 Zeichen langer Zeichenfolgenbezeichner, der optional verwendet wird, um eine eindeutige Version eines Objekts zu adressieren. |
DNS-Suffixe für Objektbezeichner
Der Azure Key Vault-Ressourcenanbieter unterstützt zwei Ressourcentypen: Tresore und verwaltete HSMs. Diese Tabelle zeigt das DNS-Suffix, das vom Dataplane-Endpunkt für Vaults und verwaltete HSMs in verschiedenen Cloud-Umgebungen verwendet wird.
| Cloudumgebung | DNS-Suffix für Tresore | DNS-Suffix für verwaltete HSMs |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure, betrieben von 21Vianet Cloud | .vault.azure.cn | .managedhsm.azure.cn |
| Azure-Dienst für die US-Regierung | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
Objekttypen
In der Tabelle sind die Objekttypen und ihre Suffixe im Objektbezeichner aufgeführt.
| Objekttyp | Bezeichnersuffix | Tresore | Pools verwalteter HSMs |
|---|---|---|---|
| Kryptografieschlüssel | |||
| HSM-geschützte Schlüssel | /keys | Unterstützt | Unterstützt |
| Softwaregeschützte Schlüssel | /keys | Unterstützt | Nicht unterstützt |
| Andere Objekttypen | |||
| Geheimnisse | /Geheimnisse | Unterstützt | Nicht unterstützt |
| Zertifikate | /Atteste | Unterstützt | Nicht unterstützt |
| Speicherkontoschlüssel | /Speicher | Unterstützt | Nicht unterstützt |
- Kryptografische Schlüssel: Unterstützt mehrere Schlüsseltypen und Algorithmen und ermöglicht die Verwendung von softwaregeschützten und durch HSM geschützten Schlüsseln. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.
- Geheimnisse: Key Vault bietet einen sicheren Speicher für Geheimnisse wie z.B. Kennwörter und Datenbank-Verbindungszeichenfolgen. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Geheimnissen.
- Zertifikate: Key Vault unterstützt Zertifikate, die auf Schlüsseln und Geheimnissen aufbauen, und fügt ein Feature für die automatisierte Verlängerung hinzu. Wenn Sie ein Zertifikat erstellen, erstellt der Prozess auch einen adressierbaren Schlüssel und geheimen Schlüssel mit demselben Namen. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.
- Azure Storage: Key Vault kann die Schlüssel eines Azure Storage-Kontos für Sie verwalten. Intern kann Key Vault Schlüssel für ein Azure Storage-Konto auflisten (synchronisieren) und die Schlüssel in regelmäßigen Abständen erneut generieren (rotieren). Weitere Informationen finden Sie unter Verwalten von Speicherkontoschlüsseln mit Key Vault und der Azure-Befehlszeilenschnittstelle.
Weitere allgemeine Informationen zu Key Vault finden Sie unter Informationen zu Azure Key Vault. Weitere Informationen zu Pools verwalteter HSMs finden Sie unter Was ist verwaltetes HSM von Azure Key Vault?.
Datentypen
In den JOSE-Spezifikationen finden Sie relevante Datentypen für Schlüssel, Verschlüsselung und Signatur.
- Algorithmus – ein unterstützter Algorithmus für einen Schlüsselvorgang, z. B. RSA_OAEP_256
- ciphertext-value - Chiffretext-Oktette, codiert mit Base64URL
- Digestwert – Die Ausgabe eines Hashalgorithmus, codiert mithilfe von Base64URL
- key-type - einer der unterstützten Schlüsseltypen, wie RSA (Rivest-Shamir-Adleman).
- plaintext-value - plaintext octets, codiert mithilfe von Base64URL
- Signaturwert – Ausgabe eines Signaturalgorithmus, codiert mithilfe von Base64URL
- base64URL: ein mit Base64URL [RFC4648] codierter Binärwert.
- boolean: entweder TRUE oder FALSE.
- Identität – eine Identität von Microsoft Entra ID.
- IntDate: ein dezimaler JSON-Wert, der die Anzahl von Sekunden von 1970-01-01T0:0:0Z UTC bis zum angegebenen UTC-Datum / zur angegebenen UTC-Uhrzeit darstellt. Details in Bezug auf Datum/Uhrzeit im Allgemeinen und UTC im Besonderen finden Sie der Dokumentation zu RFC 3339.
Objekte, Bezeichner und Versionsverwaltung
Key Vault versioniert Objekte, wenn Sie eine neue Instanz eines Objekts erstellen. Jede Version verfügt über einen eindeutigen Objektbezeichner. Wenn Sie ein Objekt erstellen, geben Sie ihm einen eindeutigen Versionsbezeichner und machen es zur aktuellen Version des Objekts. Wenn Sie eine neue Instanz mit demselben Objektnamen erstellen, geben Sie dem neuen Objekt einen eindeutigen Versionsbezeichner und machen sie zur aktuellen Version.
Sie können Objekte im Key Vault abrufen, indem Sie eine Version angeben oder die Version weglassen, um die neueste Version des Objekts abzurufen. Um Vorgänge für Objekte auszuführen, müssen Sie die Version angeben, um eine bestimmte Version des Objekts zu verwenden.
Hinweis
Der Dienst kopiert möglicherweise die Werte, die Sie für Azure-Ressourcen oder Objekt-IDs global bereitstellen. Schließen Sie keine persönlich identifizierbaren oder vertraulichen Informationen in den von Ihnen bereitgestellten Wert ein.