إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Azure Key Vault هي خدمة سحابية توفر تخزينا آمنا وإدارة لمفاتيح التشفير والأسرار والشهادات. يساعد هذا الدليل المطورين على دمج Key Vault في تطبيقاتهم.
نظرة عامة
يتيح لك Azure Key Vault إلى:
- التخزين الآمن: حماية المفاتيح والأسرار والشهادات دون الحاجة إلى كتابة رموز أمان مخصصة.
- إدارة مفاتيح مبسطة: مركزة العمليات التشفيرية وإدارة دورة حياة المفاتيح.
- مفاتيح المملوكة للعميل: اسمح للعملاء بإدارة مفاتيحهم بأنفسهم بينما تركز على الميزات الأساسية للتطبيق.
- إدارة المفاتيح الخارجية: استخدم المفاتيح للتوقيع والتشفير مع إبقائها خارجية عن تطبيقك.
لمزيد من المعلومات حول Key Vault، راجع «About Azure Key Vault».
سيناريوهات المطور
تشمل المهام الشائعة للمطورين في Key Vault:
- تخزين واسترجاع الأسرار: إدارة سلاسل الاتصال، وكلمات المرور، ومفاتيح واجهة برمجة التطبيقات، ورموز SAS بأمان. لمزيد من المعلومات، راجع «About keys».
- استخدم المفاتيح للتشفير والتوقيع: قم بتنفيذ عمليات تشفير دون تعريض محتوى المفتاح لتطبيقك. لمزيد من المعلومات، راجع «About keys».
- إدارة الشهادات: أتمتة توفير الشهادات، تجديدها، ونشرها ل SSL/TLS. لمزيد من المعلومات، راجع «About certificates».
المعاينات العامة
تصدر مايكروسوفت بشكل دوري معاينات عامة لميزات Key Vault الجديدة. لتجربة ميزات المعاينة وتقديم الملاحظات، تواصل مع الفريق على azurekeyvault@microsoft.com. للحصول على معلومات حول أحدث الميزات والتحديثات، راجع ما الجديد في Azure Key Vault.
إنشاء key vaults وإدارته
يستخدم Key Vault نموذج وصول ذو مستويين:
- مستوى التحكم: يدير مورد خزنة المفاتيح نفسه (إنشاء، حذف، تحديث الخصائص، تعيين سياسات الوصول). تدار العمليات من خلال Azure Resource Manager. للتحكم في الدخول، راجع تعيين سياسة الوصول إلى خزنة المفاتيح.
- مستوى البيانات: يدير البيانات المخزنة في خزنة المفاتيح (المفاتيح، الأسرار، الشهادات). يتم التحكم في الوصول عبر Azure RBAC مع Key Vault.
استخدم دور المساهم المحدد مسبقا لخزنة المفاتيح لمنح إدارة الوصول إلى موارد خزنة المفاتيح. لمزيد من المعلومات حول المصادقة والتفويض، راجع المصادقة في Azure Key Vault.
أمن الشبكة
قلل من تعرض الشبكة عن طريق تكوين نقاط النهاية الخاصة أو جدران الحماية أو نقاط نهاية الخدمة. للحصول على إرشادات شاملة لأمن الشبكة بما في ذلك خيارات التكوين من الأكثر إلى الأقل تقييدا، راجع تأمين خزنة مفاتيح Azure الخاصة بك: أمن الشبكةوتكوين إعدادات شبكة Azure Key Vault.
واجهات برمجة التطبيقات وSDKs لإدارة key vault
الجدول التالي يسرد مجموعات تطوير الاستراتيجية (SDKs) والبدء السريع لإدارة موارد خزنة المفاتيح (عمليات مستوى التحكم). للحصول على أحدث الإصدارات وتعليمات التثبيت، راجع مكتبات العميل.
| Azure CLI | PowerShell | واجهة برمجة تطبيقات REST | مدير الموارد | .صافي | بايثون | جاوة | JavaScript |
|---|---|---|---|---|---|---|---|
|
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع |
مرجع التشغيل السريع |
مرجع | مرجع | مرجع | مرجع |
المصادقة على Key Vault في التعليمات البرمجية
يستخدم Key Vault مصادقة Microsoft Entra، والتي تتطلب أساس أمان Microsoft Entra لمنح حق الوصول. يمكن أن يكون أساس أمان Microsoft Entra مستخدما أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure أو مجموعة من أي من هذه الأنواع.
أفضل ممارسات المصادقة
بالنسبة للتطبيقات التي تم نشرها على Azure، استخدم الهويات المدارة لإلغاء الحاجة لتخزين بيانات الاعتماد في الشيفرة. للحصول على إرشادات مصادقة مفصلة وتوصيات أساسية أمنية لبيئات مختلفة (الإنتاج، التطوير، المحلي)، راجع المصادقة في Azure Key Vaultوتأمين Azure Key Vault.
مكتبات عميل الهوية Azure
يتم دعم سيناريوهات المصادقة السابقة بواسطة مكتبة عميل Azure Identity ويتم دمجها مع Key Vault SDKs. يمكنك إستخدام مكتبة عميل Azure Identity عبر البيئات والأنظمة الأساسية دون تغيير الرمز الخاص بك. تقوم المكتبة باسترداد رموز المصادقة تلقائيًا من المستخدمين الذين تم تسجيل دخولهم إلى مستخدم Azure من خلال Azure CLI و Visual Studio و Visual Studio Code وغيرها من الوسائل.
لمزيد من المعلومات حول مكتبة عميل هوية Azure، راجع:
| .صافي | بايثون | جاوة | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
إشعار
لقد أوصينا ب مكتبة مصادقة التطبيقات ل Key Vault .NET SDK الإصدار 3، ولكنها الآن مهملة. للترحيل إلى Key Vault .NET SDK الإصدار 4، اتبع AppAuthentication إلى Azure.Identity Migration guidance.
للحصول على تعليمات حول كيفية المصادقة على Key Vault في التطبيقات، راجع:
- استخدام Azure Key Vault مع جهاز ظاهري في .NET
- استخدام Azure Key Vault مع جهاز ظاهري في Python
- استخدم هوية مدارة لتوصيل Key Vault بتطبيق ويب من Azure في .NET
إدارة المفاتيح والشهادات والأسرار
إشعار
تعد SDKs ل .NET وPython وJava وJavaScript وPowerShell وAzure CLI جزءا من عملية إصدار ميزة Key Vault من خلال المعاينة العامة والتوافر العام مع دعم فريق خدمة Key Vault. يتوفر عملاء SDK الآخرون ل Key Vault، ولكن يتم إنشاؤها ودعمها من قبل فرق SDK الفردية عبر GitHub ويتم إصدارها في جدول فرقهم. للاطلاع على أحدث إصدارات SDK وحزم التثبيت، راجع مكتبات العميل.
يتحكم مستوى البيانات في الوصول إلى المفاتيح والشهادات والأسرار. يمكنك استخدام Azure RBAC مع Key Vault للتحكم في الوصول عبر مستوى البيانات.
واجهات برمجة التطبيقات وSDKs للمفاتيح
الجدول التالي يسرد مجموعات تطوير البرمجيات والبدء السريع للعمل مع المفاتيح (عمليات مستوى البيانات). لمزيد من المعلومات حول المفاتيح، راجع حول المفاتيح.
| Azure CLI | PowerShell | واجهة برمجة تطبيقات REST | مدير الموارد | .صافي | بايثون | جاوة | JavaScript |
|---|---|---|---|---|---|---|---|
|
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مكتبات أخرى
عميل التشفير ل Key Vault وHSM المدار
توفر هذه الوحدة النمطية عميل تشفير لوحدة عميل Azure Key Vault Keys ل Go.
إشعار
هذا المشروع غير مدعوم من قبل فريق Azure SDK، ولكنه يتوافق مع عملاء التشفير بلغات أخرى مدعومة.
| اللغة | المرجع |
|---|---|
| انتقال | مرجع |
واجهات برمجة التطبيقات و SDKs للشهادات
الجدول التالي يسرد مجموعات تطوير البيانات (SDKs) والبدايات السريعة للعمل مع الشهادات (عمليات مستوى البيانات). لمزيد من المعلومات حول الشهادات، راجع حول الشهادات.
| Azure CLI | PowerShell | واجهة برمجة تطبيقات REST | مدير الموارد | .صافي | بايثون | جاوة | JavaScript |
|---|---|---|---|---|---|---|---|
|
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع | غير متوفر |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
واجهات برمجة التطبيقات وSDKs للأسرار
الجدول التالي يسرد مجموعات تطوير البرمجيات والبدء السريع للعمل مع الأسرار (عمليات مستوى البيانات). لمزيد من المعلومات حول الأسرار، راجع عن الأسرار.
| Azure CLI | PowerShell | واجهة برمجة تطبيقات REST | مدير الموارد | .صافي | بايثون | جاوة | JavaScript |
|---|---|---|---|---|---|---|---|
|
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
مرجع التشغيل السريع |
استخدام الأسرار
استخدم Azure Key Vault لتخزين أسرار التطبيق فقط. تشمل أمثلة الأسرار التي يجب تخزينها في Key Vault:
- أسرار تطبيق العميل
- سلسلة الاتصال
- كلمات السر
- مفاتيح الوصول المشتركة
- مفاتيح SSH
يمكن تخزين أي معلومات متعلقة بالسر، مثل أسماء المستخدمين ومعرفات التطبيقات، على هيئة علامة في سر. بالنسبة لأي إعدادات تكوين حساسة أخرى، يجب استخدام تكوين تطبيق Azure.
لحزم التثبيت ورمز المصدر، راجع مكتبات العملاء.
استخدام Key Vault في التطبيقات
للاستفادة من أحدث الميزات في Key Vault، نوصي باستخدام Key Vault SDK المتوفر لاستخدام الأسرار والشهادات والمفاتيح في التطبيق الخاص بك. يتم تحديث كل من Key Vault SDKs و REST API عند إطلاق ميزات جديدة للمنتج، وتتبع أفضل الممارسات والمبادئ التوجيهية.
بالنسبة للسيناريوهات الأساسية، هناك مكتبات أخرى وحلول تكامل للاستخدام المبسط، مع دعم مقدم من شركاء Microsoft أو مجتمعات المصادر المفتوحة.
بالنسبة للشهادات، يمكنك استخدام:
- ملحق Key Vault Virtual Machine (VM) الذي يوفر التحديث التلقائي للشهادات المخزنة في مخزن key vault. لمزيد من المعلومات، اطلع على:
- تكامل خدمة Azure App، الذي يمكنه إستيراد الشهادات من Key Vault وتحديثها تلقائيًا. لمزيد من المعلومات، راجع استيراد شهادة من Key Vault.
للأسرار، يمكنك استخدام:
- Key Vault الرئيسية مع إعدادات تطبيق App Service. لمزيد من المعلومات، راجع استخدام مراجع App Service لخدمة التطبيقات وApp Service.
- مراجع Key Vault باستخدام Azure App Configuration لتبسيط وصول تطبيقك إلى التكوين والأسرار. لمزيد من المعلومات، راجع استخدام مراجع Key Vault في تكوين تطبيق Azure.
أمثلة على التعليمات البرمجية
للحصول على أمثلة كاملة لاستخدام Azure Key Vault مع التطبيقات، راجع نماذج رمز Azure Key Vault.
إرشادات خاصة بالمهام
توفر المقالات والسيناريوهات التالية إرشادات خاصة بالمهمة للعمل مع Azure Key Vault:
- للوصول إلى key vault، يجب أن يتمكن تطبيق العميل من الوصول إلى نقاط نهاية متعددة للعديد من الوظائف. راجع الوصول إلى Key Vault خلف جدار حماية.
- يحتاج تطبيق مجموعة النظراء قيد التشغيل في Azure VM إلى شهادة. كيف تحصل على هذه الشهادة في هذا الجهاز الظاهري VM؟ راجع ملحق Key Vault Virtual Machine ل Windows أو ملحق Key Vault Virtual Machine ل Linux.
- لتعيين نهج وصول باستخدام Azure CLI أو PowerShell أو مدخل Azure، راجع تعيين نهج وصول Key Vault.
- للحصول على إرشادات الاستخدام ودورة حياة مخزن مفاتيح وكائنات تخزين مفاتيح متنوعة مع تمكين الحذف المبدئي، راجع إدارة إسترداد Azure Key Vault مع حماية الحذف والإزالة اليسيرة.
- عندما تحتاج إلى تمرير قيمة آمنة (مثل كلمة المرور) كمعلمة أثناء النشر، يمكنك تخزين هذه القيمة ككلمة سر في مخزن مفاتيح، كما يمكنك الإشارة إلى القيمة في قوالب "Resource Manager" الأخرى. لمزيد من المعلومات، راجع استخدام Azure Key Vault لتمرير قيمة المعلمة الآمنة أثناء النشر.
التكامل مع Key Vault
تستخدم الخدمات والسيناريوهات التالية أو تدمج مع Key Vault:
- يسمح التشفير في حالة الراحة بترميز (تشفير) البيانات عند استمرارها. غالبا ما تكون مفاتيح تشفير البيانات مشفرة باستخدام مفتاح تشفير في Azure Key Vault للحد من الوصول بشكل أكبر.
- يسمح لك Azure Information Protection بإدارة مفتاح المستأجر الخاص بك. على سبيل المثال، بدلاً من إدارة Microsoft لمفتاح المستأجر (الافتراضي)، يمكنك إدارة مفتاح المستأجر الخاص بك للامتثال للوائح معينة والتي تنطبق على مؤسستك. كما تسمى إدارة مفتاح المستأجر الخاص بك إحضار المفتاح الخاص بك (BYOK).
- يمكنك Azure Private Link من الوصول إلى خدمات Azure (على سبيل المثال، Azure Key Vault و Azure Storage و Azure Cosmos DB) وخدمات العملاء/الشركاء التي تستضيفها Azure عبر نقطة نهاية خاصة في الشبكة الظاهرية.
- يسمح تكامل Key Vault مع Azure Event Grid بإعلام المستخدمين عند تغير حالة سر مخزن في Key Vault. يمكنك توزيع إصدارات جديدة من الأسرار على التطبيقات أو تدوير الأسرار القريبة من انتهاء الصلاحية لمنع انقطاع الاتصال.
- حماية أسرار Azure DevOps الخاصة بك من الوصول غير المرغوب فيه في Key Vault.
- استخدم الأسرار المخزنة في Key Vault إلى للاتصال بـ Azure Storage من Azure DatabaseKs.
- تكوين موفر Azure Key Vault وتشغيله لـ Secrets Store CSI على Kubernetes.
الإصلاح بعد كارثة واستمرارية الأعمال
يوفر Key Vault استعادة مدمجة من الكوارث مع تكرار تلقائي إقليمي. بالنسبة لعمليات النشر الإنتاجية، قم بتمكين الحذف البرمجي وحماية التطهير، ونفذ نسخا احتياطية منتظمة. لمزيد من المعلومات، راجع توفر Azure Key Vault والتكرار، إدارة استعادة Azure Key Vault، ونسخ Azure Key Vault الاحتياطية.
الأداء وقابلية التوسع
عند تطوير تطبيقات تستخدم Key Vault، ضع في اعتبارك أفضل الممارسات التالية للأداء وقابلية التوسع:
- حدود الخدمة: خزنة المفاتيح لديها حدود خدمة للمعاملات لكل خزنة لكل منطقة. تجاوز هذه الحدود يؤدي إلى تقليل التقييد. لمزيد من المعلومات، راجع حدود خدمة Azure Key Vault.
- إرشادات التقييد (throttling): نفذ منطق إعادة المحاولة مع تراجع أسي للتعامل مع استجابات التقييد (throttling). لمزيد من المعلومات، انظر Azure Key Vault throttling guidance (throttling guidance).
- التخزين المؤقت: قم بتخزين الأسرار والشهادات في تطبيقك لتقليل المكالمات إلى Key Vault وتحسين الأداء.
- إدارة الاتصال: أعد استخدام اتصالات HTTP إلى Key Vault عندما يكون ذلك ممكنا لتقليل التأخير وتحسين الأداء.
المراقبة والتسجيل
تمكين التسجيل والمراقبة للأمان والامتثال وحل المشكلة. قم بإعداد إعدادات التشخيص، وإشعارات شبكة الأحداث، والتنبيهات للأحداث الحرجة. للحصول على إرشادات تفصيلية، راجع مراقبة خزنة مفاتيح أزرال، تسجيل سجلات خزنة مفاتيح أزر، مراقبة خزنة المفاتيح باستخدام شبكة أحداث أزور، وتأمين خزنة مفاتيح أزور: تسجيل وكشف التهديدات.
المعايير الشائعة وأنماط الطلب
عند العمل مع واجهة برمجة تطبيقات Key Vault REST، فإن فهم المعلمات الشائعة وأنماط الطلب/الاستجابة مفيد:
- إصدارات واجهات برمجة التطبيقات: يستخدم Key Vault واجهات برمجة تطبيقات معدلة للإصدارات. دائما حدد نسخة API في طلباتك.
- الرؤوس الشائعة: تعرف على رؤوس HTTP المطلوبة والاختيارية لطلبات خزنة المفاتيح. لمزيد من المعلومات، راجع المعاملات والرؤوس الشائعة في Azure Key Vault.
- طلبات المصادقة: فهم كيفية الحصول على رموز المصادقة واستخدامها. لمزيد من المعلومات، راجع المصادقة، الطلبات، والردود.
- رموز الخطأ: تعرف على رموز أخطاء واجهة برمجة التطبيقات REST الشائعة للتعامل مع الأعطال بشكل سلب. لمزيد من المعلومات، انظر رموز خطأ Azure Key Vault REST API.
استكشاف الاخطاء
للمساعدة في حل المشكلات الشائعة:
- أخطاء الوصول المرفوضة: تحقق من بيانات التحقق الخاصة بك وأن مدير الأمن لديك لديه الأذونات اللازمة من خلال تعيينات RBAC. See Azure RBAC for Key Vault data plane operations.
- الاتصال بالشبكة: إذا كنت تصل إلى Key Vault من خلف جدار حماية، تأكد من أن نقاط النهاية المطلوبة متاحة. راجع الوصول إلى Key Vault خلف جدار حماية.
- التقييد: إذا تلقيت ردا على 429 (طلبات كثيرة جدا)، نفذ التراجع الأسي. See Azure Key Vault throttling guidance.
أفضل الممارسات الأمنية
للحصول على إرشادات أمنية شاملة تشمل إدارة الهوية والوصول، حماية البيانات، الامتثال، الحوكمة، واستراتيجيات النسخ الاحتياطي، راجع تأمين خزنة مفاتيح Azure الخاصة بك.
الموارد الإضافية
مفاهيم القبو الرئيسي
- المفاهيم الأساسية ل Azure Key Vault - المفاهيم الأساسية للعمل مع Key Vault.
- نظرة عامة على الحذف الناعم في Azure Key Vault - استعادة الكائنات المحذوفة.
- إرشادات تقليل الإيقاف في Azure Key Vault - مفاهيم أساسية ونهج تطبيقك.
- عوالم الأمان والحدود الجغرافية في Azure Key Vault - العلاقات الإقليمية والأمنية.
- حدود خدمة Azure Key Vault - حدود المعاملات وقيود الخدمة الأخرى.
الإدارة والعمليات
- إدارة خزنة المفاتيح باستخدام Azure CLI - عمليات إدارة سطر الأوامر.
- مراقبة Azure Key Vault - قم بإعداد المراقبة والتشخيص.
- تسجيل Azure Key Vault - تمكين وتحليل سجلات Key Vault.
المجتمع والدعم
- أسئلة وأجوبة مايكروسوفت - اطرح الأسئلة واحصل على إجابات من المجتمع.
- فائض المكدس لخزنة المفاتيح - أسئلة وأجوبة تقنية من المطورين.
- Azure Feedback - قدم طلبات الميزات والملاحظات.