Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Key Vault zapewnia bezpieczny magazyn dla ogólnych wpisów tajnych, takich jak hasła i parametry połączenia bazy danych.
Z perspektywy dewelopera interfejsy API usługi Key Vault akceptują i zwracają wartości wpisów tajnych jako ciągi. Wewnętrznie usługa Key Vault przechowuje wpisy tajne i zarządza nimi jako sekwencjami oktetów (8-bitowych bajtów), z maksymalnym rozmiarem 25 KB. Usługa Key Vault nie udostępnia semantyki dla wpisów tajnych. Akceptuje tylko dane, szyfruje je, przechowuje i zwraca tajny identyfikator (id). Możesz użyć identyfikatora do pobrania tajemnicy później.
W przypadku wysoce poufnych danych rozważ dodanie dodatkowych warstw ochrony. Na przykład szyfruj dane przy użyciu oddzielnego klucza ochrony przed zapisaniem ich w usłudze Key Vault.
Usługa Key Vault obsługuje również pole contentType dla wpisów tajnych. Klienci mogą określić typ zawartości wpisu tajnego, aby ułatwić interpretowanie danych tajnych podczas pobierania. Maksymalna długość tego pola wynosi 255 znaków. Sugerowane użycie jest wskazówką dotyczącą interpretowania tajnych danych. Na przykład implementacja może przechowywać zarówno hasła, jak i certyfikaty jako wpisy tajne, a następnie użyć tego pola do odróżnienia. Brak wstępnie zdefiniowanych wartości.
Szyfrowanie
Usługa Key Vault przechowuje wszystkie sekrety w Twoim magazynie kluczy jako zaszyfrowane dane. Usługa Key Vault szyfruje tajne wpisy w stanie spoczynku, używając hierarchii kluczy szyfrowania, a moduły zgodne ze standardem FIPS 140-2 chronią wszystkie klucze w tej hierarchii. To szyfrowanie jest przezroczyste i nie wymaga żadnej akcji od Ciebie. Usługa Azure Key Vault szyfruje wpisy tajne podczas dodawania ich i odszyfrowywania ich automatycznie podczas ich odczytywania.
Klucz liścia szyfrowania hierarchii kluczy jest unikatowy dla każdego magazynu kluczy. Klucz główny szyfrowania hierarchii kluczy jest unikatowy dla świata zabezpieczeń i jest chroniony przez moduł zweryfikowany dla standardu FIPS 140-2 poziom 3 lub wyższy.
Atrybuty wpisów tajnych
Oprócz tajnych danych można określić następujące atrybuty:
- exp: Wartość intDate, opcjonalna, wartość domyślna to na zawsze. Atrybut exp (czas wygaśnięcia) określa czas wygaśnięcia dla lub po upływie którego nie powinny być pobierane tajne dane, z wyjątkiem określonych sytuacji. To pole służy tylko do celów informacyjnych, ponieważ informuje użytkowników usługi magazynu kluczy, że określony sekret może nie być używany. Jego wartość musi być liczbą zawierającą wartość IntDate.
- nbf: IntDate, opcjonalnie, wartość domyślna to teraz. Atrybut nbf (nie przed) ustawia czas, przed którym nie powinny być pobierane tajne dane, z wyjątkiem określonych sytuacji. To pole służy tylko do celów informacyjnych . Jego wartość musi być liczbą zawierającą wartość IntDate.
- włączone: wartość logiczna, opcjonalna, wartość domyślna to true. Ten atrybut określa, czy można pobrać dane tajne. Użyj atrybutu enabled z nbf i exp. Gdy operacja występuje między nbf i exp, operacja jest dozwolona tylko wtedy, gdy atrybut enabled jest ustawiony na true. Operacje poza oknem nbf i exp są automatycznie niedozwolone, z wyjątkiem określonych sytuacji.
Następujące atrybuty tylko do odczytu są zawarte w każdej odpowiedzi zawierającej tajne atrybuty.
- created: IntDate, opcjonalnie. Utworzony atrybut wskazuje, kiedy ta wersja wpisu tajnego została utworzona. Ta wartość ma wartość null dla wpisów tajnych utworzonych przed dodaniu tego atrybutu. Jego wartość musi być liczbą zawierającą wartość IntDate.
- zaktualizowano: Data intDate, opcjonalnie. Zaktualizowany atrybut wskazuje, kiedy ta wersja wpisu tajnego została zaktualizowana. Ta wartość ma wartość null dla wpisów tajnych, które zostały ostatnio zaktualizowane przed dodaniu tego atrybutu. Jego wartość musi być liczbą zawierającą wartość IntDate.
Aby uzyskać informacje na temat typowych atrybutów dla każdego typu obiektu magazynu kluczy, zobacz Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault.
Operacje kontrolowane przez datę i godzinę
Operacja pobierania wpisu tajnego działa dla nieważnych i wygasłych wpisów tajnych poza oknem nbf / exp. Wywołanie operacji get dla jeszcze nie ważnego wpisu tajnego może być używane do celów testowania. Pobieranie (pobieranie) wygasłego sekretu może służyć do operacji odzyskiwania.
Kontrola dostępu do kluczy tajnych
Kontrola dostępu dla wpisów tajnych zarządzanych w usłudze Key Vault jest dostępna na poziomie magazynu kluczy, który zawiera te wpisy tajne. Polityka kontroli dostępu dla tajemnic różni się od polityki kontroli dostępu dla kluczy w tym samym magazynie kluczy. Użytkownicy mogą tworzyć jeden lub więcej magazynów do przechowywania tajemnic i muszą zapewnić odpowiednią segmentację i zarządzanie tajemnicami według scenariuszy.
W wpisie kontroli dostępu do tajnych zasobów w magazynie należy użyć następujących uprawnień dla poszczególnych podmiotów zabezpieczeń. Te uprawnienia dokładnie odzwierciedlają operacje dozwolone w obiekcie tajnym:
Uprawnienia do operacji zarządzania wpisami tajnymi
- get: Odczytaj sekret
- lista: Lista tajemnic lub wersji tajemnic przechowywanych w Key Vault
- set: Utwórz tajny element
- usuń: usuń tajemnicę
- Odzyskaj: Odzyskaj usuniętą tajemnicę
- kopia zapasowa: zrób kopię zapasową wpisu tajnego w magazynie kluczy
- Przywracanie: Odzyskiwanie kopii zapasowej tajemnicy do magazynu kluczy
Uprawnienia do operacji uprzywilejowanych
- wymazanie: Wymazanie (trwałe usunięcie) usuniętego sekretu
Aby uzyskać więcej informacji na temat pracy z wpisami tajnymi, zobacz Operacje wpisów tajnych w dokumentacji interfejsu API REST usługi Key Vault. Aby uzyskać informacje na temat ustanawiania uprawnień, zobacz Magazyny — tworzenie lub aktualizowanie i Magazyny — aktualizowanie polityki dostępu.
Przewodniki z instrukcjami dotyczącymi kontrolowania dostępu w usłudze Key Vault:
- Przypisywanie zasad dostępu usługi Key Vault przy użyciu interfejsu wiersza polecenia
- Przypisywanie zasad dostępu usługi Key Vault przy użyciu programu PowerShell
- Przypisywanie zasad dostępu usługi Key Vault przy użyciu witryny Azure Portal
- Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach na platformie Azure
Tagi wpisów tajnych
Można określić więcej metadanych specyficznych dla aplikacji w postaci tagów. Usługa Key Vault obsługuje maksymalnie 15 tagów, z których każda może mieć nazwę 512 znaków i wartość 512 znaków.
Uwaga / Notatka
Jeśli podmiot wywołujący ma uprawnienia list lub get, może odczytywać tagi.
Scenariusze użycia
| Kiedy należy używać | Przykłady |
|---|---|
| Bezpiecznie przechowywać, zarządzać cyklem życia i monitorować poświadczenia dla komunikacji między usługami, takie jak hasła, klucze dostępu, tajne dane klienta jednostki usługi. |
-
Używanie usługi Azure Key Vault z maszyną wirtualną - Używanie usługi Azure Key Vault z aplikacją internetową platformy Azure |
Dalsze kroki
- Zarządzanie kluczami na platformie Azure
- Najlepsze praktyki dotyczące zarządzania tajemnicami w usłudze Key Vault
- Informacje o usłudze Key Vault
- O kluczach, tajemnicach i certyfikatach
- Przypisywanie zasad dostępu do usługi Key Vault
- Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach na platformie Azure
- Bezpieczny dostęp do skarbca kluczy
- Przewodnik dewelopera usługi Key Vault