Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Key Vault fornece armazenamento seguro para segredos genéricos, como senhas e cadeias de conexão de banco de dados.
Da perspectiva do desenvolvedor, APIs Key Vault aceitam e retornam valores do segredo como cadeias de caracteres. Internamente, o Key Vault armazena e gerencia segredos como sequências de octetos (bytes de 8 bits), com um tamanho máximo de 25 KB cada. O serviço Key Vault não fornece a semântica para segredos. Ele simplesmente aceita os dados, criptografa- os, armazena-os e retorna um identificador secreto (id). Você pode usar o identificador para recuperar o segredo posteriormente.
Para dados altamente confidenciais, considere adicionar camadas extras de proteção. Por exemplo, criptografe dados usando uma chave de proteção separada antes de armazená-los no Key Vault.
O Key Vault também oferece suporte a um campo contentType para segredos. Os clientes podem especificar o tipo de conteúdo de um segredo para ajudar a interpretar os dados secretos quando recuperados. O comprimento máximo deste campo é de 255 caracteres. O uso sugerido é como uma dica para interpretar os dados de segredos. Por exemplo, uma implementação pode armazenar senhas e certificados como segredos e, em seguida, usar esse campo para diferenciar. Não existem valores predefinidos.
Encriptação
O Key Vault armazena todos os segredos em seu cofre de chaves como dados criptografados. O Key Vault criptografa segredos em repouso usando uma hierarquia de chaves de criptografia e módulos compatíveis com FIPS 140-2 protegem todas as chaves nessa hierarquia. Essa criptografia é transparente e não requer nenhuma ação de você. O serviço do Azure Key Vault criptografa seus segredos quando você os adiciona e os descriptografa automaticamente quando os lê.
A chave de folha de criptografia da hierarquia de chaves é exclusiva para cada cofre de chaves. A chave raiz de criptografia da hierarquia de chaves é exclusiva do mundo da segurança e é protegida por um módulo validado para FIPS 140-2 Nível 3 ou superior.
Atributos secretos
Além dos dados secretos, você pode especificar os seguintes atributos:
- exp: IntDate, opcional, o padrão é para sempre. O atributo exp (tempo de expiração) define o tempo de expiração em ou após o qual os dados secretos NÃO DEVEM ser recuperados, exceto em situações específicas. Esse campo serve apenas para fins informativos , pois informa aos usuários do serviço do cofre de chaves que um segredo específico pode não ser usado. Seu valor deve ser um número que contenha um valor de IntDate.
- nbf: IntDate, opcional, o padrão é agora. O atributo nbf (não antes) define o tempo antes do qual os dados secretos NÃO DEVEM ser recuperados, exceto em situações específicas. Esse campo é somente para fins informativos . Seu valor deve ser um número que contenha um valor de IntDate.
- habilitado: booliano, opcional, o padrão é true. Esse atributo especifica se os dados do segredo podem ser recuperados. Use o atributo habilitado com nbf e exp. Quando uma operação ocorre entre nbf e exp, a operação só é permitida se habilitada estiver definida como true. As operações fora da janela nbf e exp são automaticamente não permitidas, exceto em situações específicas.
Os seguintes atributos de somente leitura são incluídos em qualquer resposta que inclua atributos confidenciais:
- criado: IntDate, opcional. O atributo criado indica quando esta versão do segredo foi criada. Esse valor é nulo para segredos criados antes da adição deste atributo. Seu valor deve ser um número que contenha um valor de IntDate.
- atualizado: IntDate, opcional. O atributo atualizado indica quando esta versão do segredo foi atualizada. Esse valor é nulo para segredos que foram atualizados antes da adição deste atributo. Seu valor deve ser um número que contenha um valor de IntDate.
Para obter informações sobre atributos comuns para cada tipo de objeto do cofre de chaves, consulte a visão geral de chaves, segredos e certificados do Azure Key Vault.
Operações de data e hora controladas
A operação de obtenção de um segredo funciona para segredos ainda não válidos e expirados, fora do período nbf / exp. Chamar a operação de obtenção de um segredo para um segredo ainda não válido pode ser usado para fins de teste. Recuperar a (obtenção) um segredo expirado, pode ser usado para operações de recuperação.
Controle de acesso a segredo
O controle de acesso para segredos gerenciados no Key Vault é fornecido no nível do cofre de chaves que contém esses segredos. A política de controle de acesso para segredos é diferente da política de controle de acesso para chaves no mesmo cofre de chaves. Os usuários podem criar um ou mais cofres para armazenar segredos e devem manter a segmentação e o gerenciamento de segredos apropriados aos cenários.
Utilize as seguintes permissões, por usuário, na entrada de controle de acesso a segredos em um cofre. Essas permissões espelham de perto as operações permitidas em um objeto secreto:
Permissões para operações de gerenciamento de segredos
- get: ler um segredo
- lista: Listar os segredos ou versões de um segredo armazenado em um Key Vault
- set: Criar um segredo
- delete: Excluir um segredo
- recuperação: recuperar um segredo excluído
- backup: faz backup de um segredo em um cofre de chaves
- restaurar: Restaurar um segredo de backup em um cofre de chaves
Permissões para operações com privilégio
- limpeza: limpar (excluir permanentemente) um segredo excluído
Para obter mais informações sobre como trabalhar com segredos, consulte operações secretas na referência da API REST do Key Vault. Para obter informações sobre como estabelecer permissões, consulte Cofres – Criar ou Atualizar e Cofres – Atualizar Política de Acesso.
Guias de instruções para controlar o acesso no Key Vault:
- Atribuir uma política de acesso do Key Vault usando a CLI
- Atribuir uma política de acesso do Key Vault usando o PowerShell
- Atribuir uma política de acesso do Key Vault usando o portal do Azure
- Fornecer acesso a chaves, certificados e segredos do Key Vault com um controle de acesso baseado em função do Azure
Marcas de segredos
Você pode especificar mais metadados específicos do aplicativo na forma de marcas. O Key Vault dá suporte a até 15 tags, sendo que cada uma pode ter um nome de 512 caracteres e um valor de 512 caracteres.
Observação
Se um chamador tiver a permissão de list ou get, ele poderá ler tags.
Cenários de uso
| Quando usar | Exemplos |
|---|---|
| Armazene, gerencie o ciclo de vida com segurança e monitore as credenciais para comunicação de serviço a serviço, como senhas, chaves de acesso, segredos do cliente da entidade de serviço. |
-
Usar o Azure Key Vault com uma máquina virtual - Usar o Azure Key Vault com um aplicativo Web do Azure |
Próximas etapas
- Gerenciamento de chaves no Azure
- Práticas recomendadas para gerenciamento de segredos no Key Vault
- Sobre o Key Vault
- Sobre chaves, segredos e certificados
- Atribuir uma política de acesso do Key Vault
- Fornecer acesso a chaves, certificados e segredos do Key Vault com um controle de acesso baseado em função do Azure
- Proteger o acesso a um cofre de chaves
- Guia do Desenvolvedor do Cofre de Chaves