Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Key Vault umożliwia aplikacjom i użytkownikom platformy Microsoft Azure przechowywanie i używanie kilku typów danych tajemnic, kluczy i certyfikatów. Klucze, wpisy tajne i certyfikaty są określane zbiorczo jako "obiekty".
Identyfikatory obiektów
Usługa Key Vault jednoznacznie identyfikuje obiekty, używając identyfikatora nieuwzględniającego wielkości liter, zwanego identyfikatorem obiektu. Żadne dwa obiekty w systemie nie mają tego samego identyfikatora, niezależnie od lokalizacji geograficznej. Identyfikator składa się z prefiksu identyfikującego magazyn kluczy, typ obiektu, nazwę obiektu dostarczonego przez użytkownika i wersję obiektu. Identyfikatory, które nie zawierają wersji obiektu, są określane jako "identyfikatory podstawowe". Identyfikatory obiektów usługi Key Vault są również prawidłowymi adresami URL, ale zawsze porównują je jako ciągi bez uwzględniania wielkości liter.
Aby uzyskać więcej informacji, zobacz Uwierzytelnianie, żądania i odpowiedzi.
Identyfikator obiektu ma następujący format ogólny (w zależności od typu kontenera):
W przypadku magazynów:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}W przypadku zarządzanych pul modułów HSM:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Uwaga
Zobacz Obsługa typów obiektów dla typów obiektów obsługiwanych przez każdy typ kontenera.
Gdzie:
| Składnik | opis |
|---|---|
vault-name lub hsm-name |
Nazwa magazynu kluczy lub zarządzanej puli HSM w usłudze Microsoft Azure Key Vault. Użytkownicy wybierają nazwy magazynów i zarządzane nazwy pul HSM, które są globalnie unikatowe. Nazwa magazynu i nazwa zarządzanej puli modułów HSM musi być ciągiem 3–24 znaków zawierającym tylko 0–9, a–z, A–Z, a nie kolejne — . |
object-type |
Typ obiektu, "klucze", "wpisy tajne" lub "certyfikaty". |
object-name |
Jest object-name to nazwa podana przez użytkownika i musi być unikatowa w magazynie kluczy. Nazwa musi być ciągiem znaków 1–127, zawierającym tylko 0–9, a–z, A–Z i -. |
object-version |
Element object-version to generowany przez system, 32-znakowy identyfikator ciągu, który jest opcjonalnie używany do obsługi unikatowej wersji obiektu. |
Sufiksy DNS dla identyfikatorów obiektów
Dostawca zasobów usługi Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. W tej tabeli przedstawiono sufiks DNS używany przez punkt końcowy warstwy danych dla skarbców i zarządzanych HSM w różnych środowiskach chmurowych.
| Środowisko chmury | Sufiks DNS dla magazynów | Sufiks DNS zarządzanych modułów HSM |
|---|---|---|
| Chmura platformy Azure | .vault.azure.net | .managedhsm.azure.net |
| Platforma Microsoft Azure obsługiwana przez firmę 21Vianet Cloud | .vault.azure.cn | .managedhsm.azure.cn |
| Wersja platformy Azure dla administracji USA | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
Typy obiektów
W tej tabeli przedstawiono typy obiektów i ich sufiksy w identyfikatorze obiektu.
| Typ obiektu | Sufiks identyfikatora | Magazyny | Zarządzane pule modułów HSM |
|---|---|---|---|
| Klucze kryptograficzne | |||
| Klucze chronione przez moduł HSM | /Klucze | Obsługiwane | Obsługiwane |
| Klucze chronione programowo | /Klucze | Obsługiwane | Nieobsługiwane |
| Inne typy obiektów | |||
| Wpisy tajne | /Tajemnice | Obsługiwane | Nieobsługiwane |
| Certyfikaty | /Certyfikaty | Obsługiwane | Nieobsługiwane |
| Klucze kont magazynu | /składowanie | Obsługiwane | Nieobsługiwane |
- Klucze kryptograficzne: obsługuje wiele typów kluczy i algorytmów oraz umożliwia korzystanie z kluczy chronionych przez oprogramowanie i chronionych przez moduł HSM. Aby uzyskać więcej informacji, zobacz About keys (Informacje o kluczach).
- Wpisy tajne: zapewnia bezpieczny magazyn wpisów tajnych, takich jak hasła i parametry połączenia bazy danych. Aby uzyskać więcej informacji, zobacz About secrets (Informacje o wpisach tajnych).
- Certyfikaty: obsługuje certyfikaty, które są oparte na kluczach i wpisach tajnych oraz dodają funkcję automatycznego odnawiania. Podczas tworzenia certyfikatu proces tworzy również adresowalny klucz i wpis tajny o tej samej nazwie. Aby uzyskać więcej informacji, zobacz About certificates (Informacje o certyfikatach).
- Klucze konta usługi Azure Storage: może zarządzać kluczami konta usługi Azure Storage. Wewnętrznie usługa Key Vault może wyświetlać listę (synchronizować) klucze przy użyciu konta usługi Azure Storage i okresowo ponownie generować klucze (obracać je). Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami konta magazynu za pomocą usługi Key Vault.
Aby uzyskać więcej ogólnych informacji na temat usługi Key Vault, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault). Aby uzyskać więcej informacji na temat zarządzanych pul modułów HSM, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?
Typy danych
Zapoznaj się ze specyfikacjami JOSE dotyczącymi odpowiednich typów danych dla kluczy, szyfrowania i podpisywania.
- algorithm — obsługiwany algorytm operacji klucza, taki jak RSA_OAEP_256
- ciphertext-value — oktety tekstu szyfrowanego zakodowane przy użyciu biblioteki Base64URL
- digest-value — dane wyjściowe algorytmu skrótu zakodowane przy użyciu biblioteki Base64URL
- key-type — jeden z obsługiwanych typów kluczy, takich jak RSA (Rivest-Shamir-Adleman).
- plaintext-value — oktety zwykłego tekstu zakodowane przy użyciu biblioteki Base64URL
- signature-value — dane wyjściowe algorytmu podpisu zakodowane przy użyciu biblioteki Base64URL
- base64URL — zakodowana wartość binarna Base64URL [RFC4648]
- wartość logiczna — prawda lub fałsz
- Tożsamość — tożsamość z identyfikatora Entra firmy Microsoft.
- IntDate — wartość dziesiętna JSON reprezentująca liczbę sekund od 1970-01-01T0:0:0Z UTC do określonej daty/godziny UTC. Zobacz RFC3339, aby uzyskać szczegółowe informacje dotyczące daty/godziny, ogólnie i UTC w szczególności.
Obiekty, identyfikatory i przechowywanie wersji
Key Vault wersjonuje obiekty za każdym razem, gdy tworzysz nowe wystąpienie obiektu. Każda wersja ma unikatowy identyfikator obiektu. Podczas tworzenia obiektu należy nadać mu unikatowy identyfikator wersji i ustawić go jako bieżącą wersję obiektu. Gdy tworzysz nową instancję o tej samej nazwie obiektu, należy przypisać nowemu obiektowi unikatowy identyfikator wersji i ustawić go jako aktualną wersję.
Obiekty można pobrać w usłudze Key Vault, określając wersję lub pomijając wersję, aby pobrać najnowszą wersję obiektu. Aby wykonać operacje na obiektach, należy podać wersję, aby użyć określonej wersji obiektu.
Uwaga
Usługa może skopiować wartości podane dla zasobów platformy Azure lub identyfikatorów obiektów globalnie. Nie uwzględniaj danych osobowych ani poufnych w podanej wartości.