Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Key Vault fornece armazenamento seguro para segredos genéricos, como palavras-passe e cadeias de ligação à base de dados.
Da perspetiva de um desenvolvedor, as APIs do Key Vault aceitam e retornam valores secretos como strings. Internamente, o Key Vault armazena e gere segredos como sequências de octetos (bytes de 8 bits), com um tamanho máximo de 25 KB cada. O serviço Cofre da Chave não fornece semântica para segredos. Ele simplesmente aceita os dados, criptografa-os, armazena-os e retorna um identificador secreto (id). Pode usar o identificador para recuperar o segredo mais tarde.
Para dados altamente sensíveis, considere adicionar camadas adicionais de proteção. Por exemplo, encripte os dados usando uma chave de proteção separada antes de os armazenar no Key Vault.
O Key Vault também suporta um campo contentType para segredos. Os clientes podem especificar o tipo de conteúdo de um segredo para ajudar a interpretar os dados secretos quando são recuperados. O comprimento máximo deste campo é de 255 caracteres. O uso sugerido é como uma dica para interpretar os dados secretos. Por exemplo, uma implementação pode armazenar tanto palavras-passe como certificados como segredos e depois usar este campo para diferenciar. Não existem valores predefinidos.
Encriptação
O Key Vault armazena todos os segredos no seu cofre de chaves como dados encriptados. O Key Vault encripta segredos em repouso usando uma hierarquia de chaves de encriptação, e módulos compatíveis com FIPS 140-2 protegem todas as chaves dessa hierarquia. Esta encriptação é transparente e não requer qualquer ação da sua parte. O serviço Azure Key Vault encripta os seus segredos quando os adiciona e desencripta-os automaticamente quando os lê.
A chave folha de criptografia da hierarquia de chaves é exclusiva para cada cofre de chaves. A chave raiz de encriptação da hierarquia de chaves é única no mundo da segurança e é protegida por um módulo validado para FIPS 140-2 Nível 3 ou superior.
Atributos secretos
Para além dos dados secretos, pode especificar os seguintes atributos:
- exp: IntDate, opcional, o padrão é para sempre. O atributo exp (tempo de expiração) define o tempo de expiração em ou após o qual os dados secretos NÃO DEVERÃO ser recuperados, exceto em situações particulares. Este campo é apenas para fins informativos , pois informa os usuários do serviço de cofre de chaves que um segredo específico não pode ser usado. Seu valor deve ser um número contendo um valor IntDate.
- nbf: IntDate, opcional, o padrão é agora. O atributo nbf (não antes) define o tempo antes do qual os dados secretos NÃO DEVERÃO ser recuperados, exceto em situações particulares. Este campo é apenas para fins informativos . Seu valor deve ser um número contendo um valor IntDate.
- Habilitado: Booleano, opcional, o padrão é verdadeiro. Este atributo especifica se os dados secretos podem ser recuperados. Usa o atributo ativo com nbf e exp. Quando ocorre uma operação entre nbf e exp, a operação só é permitida se ativo estiver definido como verdadeiro. Operações fora da janela nbf e exp são automaticamente proibidas, exceto em situações específicas.
Os seguintes atributos de apenas leitura estão incluídos em qualquer resposta que inclua atributos secretos:
- criado: IntDate, opcional. O atributo created indica quando esta versão do segredo foi criada. Esse valor é nulo para segredos criados antes da adição desse atributo. Seu valor deve ser um número contendo um valor IntDate.
- atualizado: IntDate, opcional. O atributo updated indica quando esta versão do segredo foi atualizada. Esse valor é nulo para segredos que foram atualizados pela última vez antes da adição desse atributo. Seu valor deve ser um número contendo um valor IntDate.
Para informações sobre atributos comuns para cada tipo de objeto de cofre de chaves, consulte a visão geral de chaves, segredos e certificados do Azure Key Vault.
Operações controladas com data e hora
Uma operação de obtenção de um segredo funciona para segredos ainda não válidos e expirados, fora da janela de nbf / exp. Chamar a operação de obtenção de um segredo para um segredo ainda não válido pode ser usado para fins de teste. Recuperar (obter) um segredo expirado pode ser usado para operações de recuperação.
Controlo de acesso a segredos
O controlo de acesso para segredos geridos no Cofre de Chaves é fornecido ao nível do cofre de chaves que contém esses segredos. A política de controlo de acesso para segredos é distinta da política de controlo de acesso para chaves no mesmo cofre de chaves. Os utilizadores podem criar um ou mais cofres para guardar segredos e são obrigados a manter a segmentação e gestão dos segredos adequadas ao cenário.
Use as seguintes permissões, por princípio, na entrada de controlo de acesso de segredos num cofre. Estas permissões espelham de perto as operações permitidas sobre um objeto secreto:
Permissões para operações de gerenciamento secretas
- get: Leia um segredo
- list: Liste os segredos ou versões de um segredo armazenado em um Cofre de Chaves
- set: Criar um segredo
- excluir: excluir um segredo
- recuperar: Recuperar um segredo excluído
- backup: Faça backup de um segredo em um cofre de chaves
- restaurar: restaure um segredo de backup em um cofre de chaves
Permissões para operações privilegiadas
- purgar: Limpar (excluir permanentemente) um segredo excluído
Para obter mais informações sobre como trabalhar com segredos, consulte Operações secretas na referência da API REST do Cofre de Chaves. Para obter informações sobre como estabelecer permissões, consulte Vaults - Criar ou atualizar e Vaults - Atualizar política de acesso.
Guias práticos para controlar o acesso no Cofre de Chaves
- Atribuir uma política de acesso ao Cofre da Chave usando a CLI
- Atribuir uma política de acesso ao Cofre da Chave usando o PowerShell
- Atribuir uma política de acesso ao Cofre da Chave usando o portal do Azure
- Fornecer acesso a chaves, certificados e segredos do Cofre da Chave com um controle de acesso baseado em função do Azure
Tags secretas
Você pode especificar mais metadados específicos do aplicativo na forma de tags. O Key Vault suporta até 15 etiquetas, cada uma das quais pode ter um nome de 512 caracteres e um valor de 512 caracteres.
Observação
Se um utilizador tiver as permissões de listar ou obter, pode aceder às etiquetas.
Cenários de utilização
| Quando utilizar | Exemplos |
|---|---|
| Armazene, gerencie o ciclo de vida e monitore credenciais para comunicação serviço-a-serviço, como senhas, chaves de acesso, segredos do cliente principal de serviço. |
-
Usar o Azure Key Vault com uma máquina virtual - Usar o Azure Key Vault com um Aplicativo Web do Azure |
Próximos passos
- Gerenciamento de chaves no Azure
- Práticas recomendadas para gerenciamento de segredos no Key Vault
- Sobre o Key Vault
- Sobres chaves, segredos e certificados
- Atribuir uma política de acesso ao Key Vault
- Fornecer acesso a chaves, certificados e segredos do Cofre da Chave com um controle de acesso baseado em função do Azure
- Acesso seguro a um cofre de chaves
- Guia do Programador do Key Vault