Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Key Vault permet aux applications et utilisateurs Microsoft Azure de stocker et d’utiliser plusieurs types de données secrètes et clés : clés, secrets et certificats. Les clés, les secrets et les certificats sont collectivement appelés « objets ».
Identificateurs d’objet
Key Vault identifie de manière unique les objets à l’aide d’un identifiant insensible à la casse appelé identifiant d’objet. Aucun des deux objets du système n’a le même identificateur, quel que soit l’emplacement géographique. L’identificateur se compose d’un préfixe qui identifie le coffre de clés, le type d’objet, le nom d’objet fourni par l’utilisateur et une version d’objet. Les identifiants qui n’incluent pas la version de l’objet sont appelés des « identifiants de base ». Les identifiants d’objet Key Vault sont également des URL valides, mais ils doivent toujours être comparés comme des chaînes insensibles à la casse.
Pour plus d’informations, consultez Authentification, demandes et réponses.
Un identificateur d’objet a le format général suivant (selon le type de conteneur) :
Pour les coffres :
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Pour les pools Managed HSM :
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Remarque
Pour connaître les types d’objets pris en charge par chaque type de conteneur, consultez Types d’objets.
Où :
| Élément | Descriptif |
|---|---|
vault-name ou hsm-name |
Le nom d’un coffre de clés ou d’un pool HSM managé dans le service Microsoft Azure Key Vault. Les utilisateurs sélectionnent des noms de coffre et des noms de pool HSM managés, qui sont globalement uniques. Le nom d’un coffre ou d’un pool Managed HSM doit être une chaîne de 3 à 24 caractères, qui peut contenir uniquement des chiffres, des lettres (0-9, a-z, A-Z) et des tirets non consécutifs (-). |
object-type |
Le type de l’objet : « clés », « secrets » ou « certificats ». |
object-name |
Un object-name est un nom fourni par l’utilisateur et doit être unique dans un coffre de clés. Le nom doit être une chaîne de caractères 1-127, contenant uniquement 0-9, a-z, A-Z et -. |
object-version |
Un object-version est un identificateur de chaîne de 32 caractères généré par le système qui peut être utilisé pour une version unique d’un objet. |
Suffixes DNS pour les identificateurs d’objets
Le fournisseur de ressources Azure Key Vault prend en charge deux types de ressources : les coffres et les HSM managés. Cette table présente le suffixe DNS utilisé par le point de terminaison du plan de données pour les coffres et les HSM managés dans différents environnements cloud.
| Environnement cloud | Suffixe DNS pour les coffres | Suffixe DNS pour les HSM managés |
|---|---|---|
| Cloud Azure | .vault.azure.net | .managedhsm.azure.net |
| Cloud Microsoft Azure géré par 21Vianet | .vault.azure.cn | .managedhsm.azure.cn |
| Azure Gouvernement américain | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
Types d’objets
Ce tableau montre les types d’objet et leurs suffixes dans l’identificateur d’objet.
| Type d'objet | Suffixe de l’identificateur | Coffres | Pools de HSM managés |
|---|---|---|---|
| Clés de chiffrement | |||
| Clés protégées par HSM | /clés | Pris en charge | Pris en charge |
| Clés protégées par logiciel | /clés | Pris en charge | Non pris en charge |
| Autres types d’objets | |||
| Secrets | /secrets | Pris en charge | Non pris en charge |
| Certificats | /certificats | Pris en charge | Non pris en charge |
| Clés de compte de stockage | /storage | Pris en charge | Non pris en charge |
- Clés de chiffrement : prend en charge plusieurs algorithmes et types de clés et permet l’utilisation de clés protégées par logiciel et par HSM. Pour plus d’informations sur les clés, consultez À propos des clés.
- Secrets : offre un stockage sécurisé des secrets, tels que les mots de passe et les chaînes de connexion de base de données. Pour plus d’informations, consultez À propos des secrets.
- Certificats : prend en charge les certificats, qui sont basés sur des clés et des secrets, et offre une fonctionnalité de renouvellement automatique. Lorsque vous créez un certificat, le processus crée également une clé adressable et un secret portant le même nom. Pour plus d’informations, consultez À propos des certificats.
- Clés de compte de stockage Azure : peut gérer les clés d’un compte Stockage Azure pour vous. En interne, Key Vault peut lister (synchroniser) les clés avec un compte Stockage Azure et regénérer (faire tourner) régulièrement les clés. Pour plus d’informations, consultez Gérer les clés de compte de stockage avec Key Vault.
Pour plus d’informations générales sur Key Vault, consultez À propos d’Azure Key Vault. Pour plus d’informations sur les pools de HSM managés, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?
Types de données
Reportez-vous aux spécifications JOSE pour les types de données appropriés pour les clés, le chiffrement et la signature.
- algorithme : algorithme pris en charge pour une opération de clé, tel que RSA_OAEP_256
- ciphertext-value - octets de texte chiffrés, encodés à l’aide de Base64URL
- digest-value : sortie d’un algorithme de hachage, encodée à l’aide de Base64URL
- type de clé : l’un des types de clés pris en charge, tels que RSA (Rivest-Shamir-Adleman).
- plaintext-value - octets en texte brut, encodés en utilisant Base64URL
- signature-value - sortie d’un algorithme de signature, encodé à l’aide de Base64URL
- base64URL : valeur binaire codée Base64URL [RFC4648]
- boolean : true (vrai) ou false (faux)
- Identité : identité de Microsoft Entra ID.
- IntDate : valeur décimale JSON représentant le nombre de secondes entre 1970-01-01T0:0:0Z UTC et la date/heure UTC spécifiée. Consultez la RFC3339 pour plus d’informations sur les dates/heures en général, et sur UTC en particulier.
Objets, identificateurs et gestion de versions
Key Vault met en version les objets chaque fois que vous créez une nouvelle instance d’un objet. Chaque version a un identificateur d’objet unique. Lorsque vous créez un objet, vous lui donnez un identificateur de version unique et en faites la version actuelle de l’objet. Lorsque vous créez une nouvelle instance avec le même nom d’objet, vous attribuez à ce nouvel objet un identificateur de version unique et en faites la version actuelle.
Vous pouvez récupérer des objets dans Key Vault en spécifiant une version ou en omettant la version pour obtenir la dernière version de l’objet. Pour effectuer des opérations sur des objets, vous devez fournir la version pour utiliser une version spécifique de l’objet.
Remarque
Le service peut copier les valeurs que vous fournissez pour les ressources Azure ou les ID d’objet globalement. N’incluez pas d’informations personnelles identifiables ou sensibles dans la valeur que vous fournissez.