نظرة عامة حول Vault Keys والبيانات السرية والشهادات
يمكن Azure Key Vault تطبيقات Microsoft Azure والمستخدمين من تخزين واستخدام أنواع متعددة من البيانات السرية/الرئيسية: المفاتيح والأسرار والشهادات. يشار إلى المفاتيح والأسرار والشهادات بشكل جماعي باسم "الكائنات".
معرفات الكائن
يتم تعريف الكائنات بشكل فريد داخل Key Vault باستخدام معرف غير حساس لحالة الأحرف يسمى معرف الكائن. لا يوجد كائنان في النظام لديهما نفس المعرف، بغض النظر عن الموقع الجغرافي. يتكون المعرف من بادئة تعرف مخزن المفاتيح ونوع العنصر واسم الكائن المقدم من المستخدم وإصدار كائن. يشار إلى المعرفات التي لا تتضمن إصدار الكائن باسم "المعرفات الأساسية". معرفات كائن Key Vault هي أيضا عناوين URL صالحة، ولكن يجب مقارنتها دائما كسلاسل غير حساسة لحالة الأحرف.
لمزيد من المعلومات، راجع المصادقة والطلبات والاستجابات
معرف كائن يحتوي على التنسيق العام التالي (استنادًا إلى نوع الحاوية):
بالنسبة لـ Vaults:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}بالنسبة لتجمعات HSM المدارة:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
إشعار
راجع «Object type support» لأنواع الكائنات المدعومة من خلال كل نوع حاوية.
حيث:
| العنصر | الوصف |
|---|---|
vault-name أو hsm-name |
اسم مخزن مفاتيح أو تجمع HSM مدار في خدمة Microsoft Azure Key Vault. يتم تحديد أسماء Vault وأسماء تجمعات HSM المدارة من خلال المستخدم وتعتبر فريدة عالميًّا. يجب أن يكون اسم المخزن واسم تجمع HSM المدار سلسلة أحرف من 3 إلى 24 حرفا، تحتوي فقط على 0-9، a-z، A-Z، وليس متتالية -. |
object-type |
نوع الكائن أو "المفاتيح" أو "الأسرار" أو "الشهادات". |
object-name |
object-name هو اسم مستخدم تم توفيره ل ويجب أن يكون فريدا داخل key vault. يجب أن يكون الاسم عبارة عن سلسلة أحرف 1-127، بدءًا من حرف، ويحتوي فقط على 0-9، a-z، A-Z، و-. |
object-version |
هو object-version معرف سلسلة أحرف عبارة عن 32 حرفًا التي تم إنشاؤها بواسطة النظام الذي يستخدم بشكل اختياري لمعالجة إصدار الكائن الفريد. |
لاحقات DNS لمعرفات الكائنات
يدعم موفر موارد Azure Key Vault نوعين من الموارد: الخزائن وHSMs المدارة. يعرض هذا الجدول لاحقة DNS المستخدمة من قبل نقطة نهاية مستوى البيانات للخزائن وتجمعات HSM المدارة في بيئات سحابية مختلفة.
| بيئة سحابية | لاحقة DNS لـ vaults | لاحقة DNS لـ HSMs المدارة |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure المشغل بواسطة 21Vianet Cloud | .vault.azure.cn | غير مدعوم |
| Azure حكومة الولايات المتحدة | .vault.usgovcloudapi.net | غير مدعوم |
| Azure Cloud الألمانية | .vault.microsoftazure.de | غير مدعوم |
نوع الكائن.
يعرض هذا الجدول أنواع العناصر ولاحقاتها في معرف الكائن.
| نوع الكائن | لاحقة المعرف | المخازن | تجمعات HSM المدارة |
|---|---|---|---|
| مفاتيح محمية بـ HSM | /المفاتيح | مدعوم | مدعوم |
| المفاتيح المحمية بالبرامج | /المفاتيح | مدعوم | غير مدعوم |
| الأسرار | /secrets | مدعوم | غير مدعوم |
| الشهادات | / الشهادات | مدعوم | غير مدعوم |
| مفاتيح حساب التخزين | /التخزين | مدعوم | غير مدعوم |
- مفاتيح التشفير: تدعم أنواع مختلف المفاتيح واللوغاريتمات وتمكن من استخدام المفاتيح المحمية من HSM والمحمية من البرمجيات. لمزيد من المعلومات، راجع «About keys».
- البيانات الرئيسية: يوفر التخزين الآمن للبيانات السرية، مثل كلمات المرور وسلاسل اتصال قاعدة البيانات. لمزيد من المعلومات، راجع «About keys».
- الشهادات: يدعم الشهادات، والتي صدرت بناء على المفاتيح والبيانات السرية وإضافة ميزة التجديد الآلي. ضع في اعتبارك أنه عند إصدار شهادة، يتم أيضًا إنشاء مفتاح وبيانات سرية قابلين للعنوان بنفس الاسم. لمزيد من المعلومات، راجع «About certificates».
- مفاتيح حساب Azure Storage:يمكن إدارة مفاتيح حساب Azure Storage لك. داخليًّا، يمكن لـ Key Vault إدراج (مزامنة) المفاتيح مع حساب Azure Storage، وإعادة إنشاء المفاتيح (تدويرها) بشكل دوري. لمزيدٍ من المعلومات، راجع «anage storage account keys with Key Vault».
لمزيد من المعلومات حول Key Vault، راجع «About Azure Key Vault». لمزيد من المعلومات حول تجمعات HSM المدارة، راجع «What is Azure Key Vault Managed HSM?»
أنواع البيانات
راجع مواصفات JOSE لأنواع البيانات ذات الصلة للمفاتيح والتشفير والتوقيع.
- algorithm- خوارزمية مدعومة لتشغيل المفتاح، على سبيل المثال، RSA1_5
- ciphertext-value- ثمانية نصوص مشفرة، مشفرة باستخدام Base64URL
- digest-value - مخرجات خوارزمية التجزئة، المشفرة باستخدام Base64URL
- key-type- أحد أنواع المفاتيح المدعومة، على سبيل المثال RSA (ريفست شامير أدلمان).
- plaintext-value- ثمانية نصوص عادية، مشفرة باستخدام Base64URL
- signature-value - مخرجات خوارزمية معتمدة، المشفرة باستخدام Base64URL
- base64URL- قيمة ثنائية مشفرةBase64URL [RFC4648]
- boolean - إما صحيحة أو خاطئة
- الهوية - هوية من معرف Microsoft Entra.
- IntDate - قيمة عشرية JSON تمثل عدد الثواني من 1970-01-01T0:0:0Z UTC حتى تاريخ/وقت UTC المحدد. راجع RFC3339 للحصول على تفاصيل حول التاريخ/الأوقات، بشكل عام و UTC بشكل خاص.
الكائنات والمعرفات والإصدار
يتم إصدار الكائنات المخزنة في "Key Vault" كلما تم إنشاء مثيل جديد للكائن. يتم تعيين معرف عنصر فريد لكل إصدار. عندما يتم إنشاء كائن لأول مرة، يتم منحه معرف إصدار فريد ويتم تمييزه بعلامة على أنه الإصدار الحالي من الكائن. إنشاء مثيل جديد بنفس اسم الكائن يعطي الكائن الجديد معرف إصدار فريد، مما يؤدي إلى أن يصبح الإصدار الحالي.
يمكن استرداد الكائنات في Key Vault عن طريق تحديد إصدار أو عن طريق حذف الإصدار للحصول على أحدث إصدار من العنصر. يتطلب تنفيذ العمليات على الكائنات توفير إصدار لاستخدام إصدار معين من العنصر.
إشعار
قد يتم نسخ القيم التي توفرها لموارد Azure أو معرفات الكائنات بشكل عام لغرض تشغيل الخدمة. يجب ألا تتضمن القيمة المقدمة معلومات تعريف شخصية أو معلومات حساسة.