Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Key Vault permite que aplicações e utilizadores Microsoft Azure armazenem e utilizem vários tipos de dados secretos e de chaves: chaves, segredos e certificados. Chaves, segredos e certificados são coletivamente referidos como "objetos".
Identificadores de objeto
O Key Vault identifica objetos de forma única usando um identificador insensível a maiúsculas e minúsculas, denominado identificador de objeto. Nenhum objeto no sistema tem o mesmo identificador, independentemente da localização geográfica. O identificador consiste num prefixo que identifica o cofre de chaves, o tipo de objeto, o nome fornecido pelo utilizador e uma versão do objeto. Identificadores que não incluem a versão do objeto são chamados de "identificadores base". Os identificadores de objetos do Key Vault também são URLs válidos, mas comparem-nos sempre como strings insensíveis a maiúsculas minúsculas.
Para mais informações, consulte Autenticação, pedidos e respostas.
Um identificador de objeto tem o seguinte formato geral (dependendo do tipo de contêiner):
Para cofres:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Para pools de HSM gerenciados:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Nota
Consulte Suporte a tipo de objeto para tipos de objetos suportados por cada tipo de contêiner.
Em que:
| Elemento | Descrição |
|---|---|
vault-name ou hsm-name |
O nome de um cofre de chaves ou de um pool de HSM gerenciado no serviço Cofre de Chaves do Microsoft Azure. Os utilizadores escolhem nomes de cofres e nomes de pools de HSM Geridos, que são únicos a nível global. O nome do vault e o nome do pool do HSM gerenciado devem ser uma cadeia de caracteres de 3 a 24 caracteres, contendo apenas 0-9, a-z, A-Z e não consecutivos -. |
object-type |
O tipo do objeto, "chaves", "segredos" ou "certificados". |
object-name |
Um object-name é um nome fornecido pelo usuário e deve ser exclusivo dentro de um cofre de chaves. O nome deve ser uma cadeia de caracteres 1-127, contendo apenas 0-9, a-z, A-Z e -. |
object-version |
Um object-version é um identificador de cadeia de caracteres de 32 caracteres gerado pelo sistema que é opcionalmente usado para endereçar uma versão exclusiva de um objeto. |
Sufixos DNS para identificadores de objeto
O provedor de recursos do Azure Key Vault dá suporte a dois tipos de recursos: cofres e HSMs gerenciados. Esta tabela mostra o sufixo DNS usado pelo endpoint do plano de dados para vaults e HSMs geridos em vários ambientes cloud.
| Ambiente na nuvem | Sufixo DNS para cofres | Sufixo DNS para HSMs gerenciados |
|---|---|---|
| Cloud do Azure | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure operado pela 21Vianet Cloud | .vault.azure.cn | .managedhsm.azure.cn |
| Azure Governo dos EUA | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
Tipos de objeto
Esta tabela mostra os tipos de objeto e seus sufixos no identificador de objeto.
| Tipo de objeto | Sufixo identificador | Cofres | Conjuntos HSM geridos |
|---|---|---|---|
| Chaves criptográficas | |||
| Chaves protegidas por HSM | /chaves | Suportado | Suportado |
| Chaves protegidas por software | /chaves | Suportado | Não suportado |
| Outros tipos de objetos | |||
| Segredos | /segredos | Suportado | Não suportado |
| Certificados | /certificados | Suportado | Não suportado |
| Chaves de contas de armazenamento | /armazenamento | Suportado | Não suportado |
- Chaves criptográficas: Suporta vários tipos de chaves e algoritmos e permite o uso de chaves protegidas por software e HSM. Para obter mais informações, consulte Sobre chaves.
- Segredos: fornece armazenamento seguro de segredos, como senhas e cadeias de conexão de banco de dados. Para obter mais informações, consulte Sobre segredos.
- Certificados: Suporta certificados, que são construídos sobre chaves e segredos e adicionam um recurso de renovação automática. Quando cria um certificado, o processo também cria uma chave endereçável e um segredo com o mesmo nome. Para obter mais informações, consulte Sobre certificados.
- Chaves de conta do Armazenamento do Azure: pode gerenciar chaves de uma conta de Armazenamento do Azure para você. Internamente, o Cofre da Chave pode listar (sincronizar) chaves com uma Conta de Armazenamento do Azure e regenerar (girar) as chaves periodicamente. Para obter mais informações, consulte Gerenciar chaves de conta de armazenamento com o Cofre de Chaves.
Para obter mais informações gerais sobre o Cofre de Chaves, consulte Sobre o Cofre de Chaves do Azure. Para obter mais informações sobre pools de HSM gerenciados, consulte O que é o HSM gerenciado do Azure Key Vault?
Tipos de dados
Consulte as especificações do JOSE para obter os tipos de dados relevantes para chaves, criptografia e assinatura.
- Algoritmo - um algoritmo suportado para uma operação de chave, como RSA_OAEP_256
- ciphertext-value - octetos de texto cifrado, codificados utilizando Base64URL
- digest-value - a saída de um algoritmo de hash, codificado usando Base64URL
- key-type - um dos tipos de chave suportados, como RSA (Rivest-Shamir-Adleman).
- valor de texto simples - octetos de texto simples, codificados usando Base64URL
- assinatura-valor - saída de um algoritmo de assinatura, codificado usando Base64URL
- base64URL - um valor binário codificado Base64URL [RFC4648]
- Booleano - verdadeiro ou falso
- Identity - uma identidade do Microsoft Entra ID.
- IntDate - um valor decimal JSON que representa o número de segundos de 1970-01-01T0:0:0Z UTC até a data/hora UTC especificada. Consulte RFC3339 para obter detalhes sobre data/horas, em geral, e UTC em particular.
Objetos, identificadores e controle de versão
O Key Vault dá versões aos objetos sempre que crias uma nova instância de um objeto. Cada versão tem um identificador de objeto único. Quando cria um objeto, dá-lhe um identificador de versão único e torna-o a versão atual do objeto. Quando crias uma nova instância com o mesmo nome de objeto, dás ao novo objeto um identificador de versão único e tornas a versão atual.
Podes recuperar objetos no Key Vault especificando uma versão ou omitindo a versão para obter a versão mais recente do objeto. Para realizar operações nos objetos, é necessário fornecer a versão para usar uma versão específica do objeto.
Nota
O serviço pode copiar globalmente os valores que fornece para recursos Azure ou IDs de objetos. Não inclua informações pessoais identificáveis ou sensíveis no valor que oferece.