Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Key Vault permite a las aplicaciones y usuarios de Microsoft Azure almacenar y usar varios tipos de datos secretos y clave: claves, secretos y certificados. Las claves, los secretos y los certificados se conocen colectivamente como "objetos".
Identificadores de objetos
Key Vault identifica de forma única los objetos mediante un identificador que no distingue mayúsculas de minúsculas denominado identificador de objeto. No hay dos objetos en el sistema que tengan el mismo identificador, independientemente de la ubicación geográfica. El identificador consta de un prefijo que identifica el almacén de claves, el tipo de objeto, el nombre de objeto proporcionado por el usuario y una versión de objeto. Los identificadores que no incluyen la versión del objeto se conocen como "identificadores base". Los identificadores de objeto de Key Vault también son direcciones URL válidas, pero siempre las comparan como cadenas que no distinguen mayúsculas de minúsculas.
Para obtener más información, consulte Autenticación, solicitudes y respuestas.
Un identificador de objeto tiene el formato general siguiente (según el tipo de contenedor):
Para almacenes:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Para grupos de HSM administrados:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Nota:
Consulte Compatibilidad con tipos de objeto para conocer los tipos de objetos que admite cada tipo de contenedor.
Donde:
| Elemento | Descripción |
|---|---|
vault-name o hsm-name |
El nombre de un almacén de claves o un grupo de HSM administrado del servicio Microsoft Azure Key Vault. Los usuarios seleccionan nombres de almacén y nombres de grupo de HSM administrado, que son únicos a nivel mundial. El nombre del almacén y el del grupo de HSM administrados debe ser una cadena con una longitud de 3 a 24 caracteres que solo contenga los caracteres 0-9, a-z, A-Z y que no sean consecutivos -. |
object-type |
El tipo del objeto, "claves", "secretos" o "certificados". |
object-name |
object-name es un nombre proporcionado por el usuario y debe ser único dentro de un almacén de claves. El nombre debe ser una cadena de caracteres de 1 a 127, que contenga solo 0-9, a-z, A-Z y -. |
object-version |
object-version es un identificador de cadena de 32 caracteres generada por el sistema que, opcionalmente, se utiliza para referirse a una versión única de un objeto. |
Sufijos DNS para identificadores de objeto
El proveedor de recursos de Azure Key Vault admite dos tipos de recursos: almacenes y HSM administrados. En esta tabla se muestra el sufijo DNS usado por el punto de conexión del plano de datos para almacenes y HSM administrado en varios entornos de nube.
| Entorno en la nube | Sufijo DNS para almacenes | Sufijo DNS para HSM administrados |
|---|---|---|
| Nube de Azure | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure operado por la nube 21Vianet | .vault.azure.cn | .managedhsm.azure.cn |
| Azure Gobierno de EE. UU. | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
Tipos de objeto
En esta tabla se muestran los tipos de objeto y sus sufijos en el identificador de objeto.
| Tipo de objeto | Sufijo de identificador | Almacenes | Grupos de HSM administrados |
|---|---|---|---|
| Claves criptográficas | |||
| Claves protegidas con HSM | /keys | Compatible | Compatible |
| Claves protegidas con software | /keys | Compatible | No compatible |
| Otros tipos de objetos | |||
| Secretos | /secrets | Compatible | No compatible |
| Certificados | /certificados | Compatible | No compatible |
| Claves de cuenta de almacenamiento | /almacenamiento | Compatible | No compatible |
- Claves criptográficas: admite varios tipos de claves y algoritmos, y permite el uso de claves protegidas por software y protegidas con HSM. Para más información, consulte Acerca de las claves.
- Secretos: proporciona un almacenamiento seguro de secretos, como contraseñas y cadenas de conexión de base de datos. Para más información, consulte Acerca de los secretos.
- Certificados: admite certificados, que se basan en claves y secretos, y agrega una característica de renovación automática. Al crear un certificado, el proceso también crea una clave direccionable y un secreto con el mismo nombre. Para más información, consulte Acerca de los certificados.
- Claves de la cuenta de Azure Storage: puede administrar automáticamente las claves de una cuenta de almacenamiento de Azure. Internamente, Key Vault puede enumerar (sincronizar) las claves con una cuenta de almacenamiento de Azure y volver a generar (rotar) las claves periódicamente. Para más información, consulte Administración de claves de cuenta de almacenamiento con Key Vault.
Para más información sobre Key Vault, consulte Acerca de Azure Key Vault. Para más información sobre los grupos de HSM administrados, consulte ¿Qué es HSM administrado de Azure Key Vault?
Tipos de datos
Consulte las especificaciones JOSE para tipos de datos relevantes para claves, cifrado y firma.
- algoritmo : un algoritmo admitido para una operación de clave, como RSA_OAEP_256
- ciphertext-value : octetos de texto cifrado, codificados mediante Base64URL
- digest-value : la salida de un algoritmo hash, codificado mediante Base64URL
- key-type : uno de los tipos de clave admitidos, como RSA (Rivest-Shamir-Adleman).
- plaintext-value : octetos de texto no cifrado, codificados mediante Base64URL
- signature-value : salida de un algoritmo de firma, codificado mediante Base64URL
- base64URL: un valor binario codificado con Base64URL [RFC4648]
- boolean: true o false
- Identity: una identidad de Microsoft Entra ID.
- IntDate: un valor decimal JSON que representa el número de segundos desde 1970-01-01T0:0:0Z UTC hasta la fecha y hora UTC especificada. Consulte RFC3339 para más información acerca de la fecha y hora en general, y la hora UTC en particular.
Objetos, identificadores y control de versiones
Key Vault genera versiones de los objetos cada vez que se crea una nueva instancia de un objeto. Cada versión tiene un identificador de objeto único. Al crear un objeto, se le asigna un identificador de versión único y se convierte en la versión actual del objeto. Al crear una nueva instancia con el mismo nombre de objeto, asigne al nuevo objeto un identificador de versión único y la convierta en la versión actual.
Puede recuperar objetos en Key Vault especificando una versión o omitiendo la versión para obtener la versión más reciente del objeto. Para realizar operaciones en objetos, debe proporcionar la versión para usar una versión específica del objeto.
Nota:
El servicio puede copiar los valores que proporcione para los recursos de Azure o los identificadores de objeto globalmente. No incluya información personal identificable ni confidencial en el valor que proporcione.