حول البيانات السرية لـ Azure Key Vault

يوفر Key Vault تخزينًا آمنًا للبيانات السرية العامة، مثل كلمات المرور وسلاسل اتصال قاعدة البيانات.

من منظور المطور، تقبل واجهات Key Vault API القيم السرية وتعيدها كسلاسل. داخليًّا، يخزن Key Vault البيانات السرية ويديرها كتسلسلات من ثماني بتات (8 بت بايت)، بحد أقصى 25 كيلو بايت لكل منها. لا توفر خدمة Key Vault دلالات للبيانات السرية. إنه يقبل البيانات فقط، ويشفرها، ويخزنها، ويعيد معرفا سريا (id). يمكن استخدام المعرف لاسترداد البيانات السرية في وقت لاحق.

بالنسبة للبيانات الحساسة للغاية، يجب على العملاء التفكير في طبقات إضافية من الحماية للبيانات. على سبيل المثال تشفير البيانات باستخدام مفتاح حماية منفصل قبل التخزين في Key Vault.

يدعم Key Vault أيضًا حقل نوع المحتوى للبيانات السرية. قد يحدد العملاء نوع محتوى البيانات السرية للمساعدة في تفسير البيانات السرية عند استردادها. الحد الأقصى لطول هذا الحقل 255 حرفًا. الاستخدام المقترح هو بمثابة تلميح لتفسير البيانات السرية. على سبيل المثال، قد يخزن التطبيق كلًّا من كلمات المرور والشهادات كأسرار، ثم يستخدم هذا الحقل للتمييز. لا توجد قيم محددة مسبقًا.

التشفير

يتم تخزين جميع البيانات السرية الموجودة في Key Vault بشكل مشفر. يقوم مفتاح Vault بتشفير الأسرار في راحة مع تسلسل هرمي لمفاتيح التشفير ، مع حماية جميع المفاتيح في هذا التسلسل الهرمي بواسطة وحدات متوافقة مع FIPS 140-2. هذا التشفير شفاف ولا يتطلب أي إجراء من المستخدم. تقوم خدمة Azure Key Vault بتشفير أسرارك عند إضافتها وفك تشفيرها تلقائيًّا عند قراءتها.

مفتاح ورقة التشفير في التسلسل الهرمي للمفاتيح فريد من نوعه لكل مخزن مفاتيح. مفتاح جذر التشفير للتسلسل الهرمي للمفتاح فريد من نوعه في عالم الأمان، ويختلف مستوى حمايته بين المناطق:

  • الصين: يتم حماية المفتاح الجذر بواسطة وحدة نمطية تم التحقق من صحتها لـ FIPS 140-2 من المستوى 1.
  • المناطق الأخرى: يتم حماية المفتاح الجذر بواسطة وحدة نمطية تم التحقق من صحتها لـ FIPS 140-2 من المستوى 2.

السمات السرية

بالإضافة إلى البيانات السرية، يمكن تحديد السمات التالية:

  • exp : IntDate، اختياري، الافتراضي هو إلى الأبد. تحدد السمة exp (expiration time) وقت انتهاء الصلاحية الذي يجب عدم استرداد البيانات السرية فيه أو بعده، إلا في مواقف معينة. هذا الحقل مخصص للأغراض المعلوماتية فقط لأنه يُعلم مستخدمي خدمة خزينة المفاتيح بأنه لا يجوز استخدام سر معين. يجب أن تكون قيمته رقمًا يحتوي على قيمة IntDate.
  • nbf: قيمته IntDate، الاختياري، الافتراضي هو now. تحدد السمة nbf (ليس قبل ذلك) الوقت الذي يجب عدم استرداد البيانات السرية قبله، إلا في مواقف خاصة معينة. هذا الحقل مخصص للأغراض المعلوماتية فقط. يجب أن تكون قيمته رقمًا يحتوي على قيمة IntDate.
  • enabled: قيمته boolean، الاختياري، الافتراضي هو true. تحدد هذه السمة ما إذا كان يمكن استرداد البيانات السرية. يتم استخدام السمة الممكنة مع nbf وexp عند حدوث عملية بين nbf وexp، لن يسمح بها إلا إذا تم تعيين التمكين إلى true. العمليات خارج النافذة nbf وexp غير مسموح بها تلقائيًّا، باستثناء مواقف معينة.

هناك المزيد من سمات القراءة فقط التي يتم تضمينها في أي استجابة تتضمن سمات سرية:

  • created: قيمته IntDate، اختياري. تشير السمة التي تم إنشاؤها إلى تاريخ إنشاء هذا الإصدار من البيانات السرية. هذه القيمة خالية للبيانات السرية التي تم إنشاؤها قبل إضافة هذه السمة. يجب أن تكون قيمته رقمًا يحتوي على قيمة IntDate.
  • updated: قيمته IntDate، اختياري. تشير السمة المحدثة إلى وقت تحديث هذا الإصدار من السر. هذه القيمة خالية للبيانات السرية التي تم تحديثها آخر مرة قبل إضافة هذه السمة. يجب أن تكون قيمته رقمًا يحتوي على قيمة IntDate.

للحصول على معلومات حول السمات الشائعة لكل نوع كائن مخزن مفاتيح، راجع نظرة عامة على مفاتيح Azure Key Vault والبيانات السرية والشهادات

عمليات التحكم في التاريخ والوقت

ستعمل عملية get الخاصة بالبيانات السرية مع البيانات السرية غير الصالحة بعدُ والمنتهية الصلاحية، خارج نافذة nbf / exp. يمكن استخدام استدعاء عملية الحصول على سر، لسر غير صالح بعد، لأغراض الاختبار. يمكن استخدام عملية (استرداد) بيانات سرية منتهية الصلاحية لعمليات الاسترداد.

التحكم في الوصول إلى البيانات السرية

يتم توفير التحكم في الوصول للبيانات السرية المدارة في Key Vault، على مستوى Key Vault الذي يحتوي على تلك البيانات السرية. يختلف نهج التحكم في الوصول للأسرار عن نهج التحكم في الوصول للمفاتيح في Key Vault نفسه. يجوز للمستخدمين إنشاء خزانة واحدة أو أكثر لحجب البيانات السرية، ويطلب منهم الحفاظ على السيناريو المناسب للتجزئة وإدارة البيانات السرية.

يمكن استخدام الأذونات التالية، على أساس كل كيان رئيسي، في إدخال التحكم في الوصول البيانات السرية على مخزن، وتعكس بدقة العمليات المسموح بها على كائن بيانات سرية:

  • أذونات لعمليات إدارة البيانات السرية

    • get: قراءة البيانات السرية
    • list: ضع قائمة بالبيانات السرية أو نُسخ البيانات السرية المخزنة في Key Vault
    • set: إنشاء بيانات سرية
    • delete: حذف سر
    • recover: استعادة البيانات السرية المحذوفة
    • backup: قم بعمل نسخة احتياطية من البيانات السرية في مخازن المفاتيح
    • restore: استعادة سر تم نسخه احتياطيًّا إلى مخازن مفاتيح
  • أذونات للعمليات المميزة

    • purge: مسح (حذف نهائيًّا) سر محذوف

لمزيد من المعلومات حول التعامل مع البيانات السرية، راجع العمليات السرية في مرجع Key Vault REST API. للحصول على معلومات حول إنشاء الأذونات، راجع المخازن - إنشاء أو تحديث والمخازن - تحديث نهج الوصول.

أدلة إرشادية للتحكم في الوصول في Key Vault:

علامات البيانات السرية

يمكنك تحديد المزيد من بيانات التعريف الخاصة بالتطبيق في شكل علامات. يدعم Key Vault ما يصل إلى 15 علامة، يمكن أن يكون لكل منها اسم 512 حرفا وقيمة 512 حرفا.

إشعار

يمكن للمتصل قراءة العلامات إذا كان لديه الإذن list أو get.

سيناريوهات الاستخدام

وقت الاستخدام الأمثلة
تخزين وإدارة دورة الحياة ومراقبة بيانات الاعتماد للاتصال من الخدمة إلى الخدمة بشكل آمن مثل كلمات المرور ومفاتيح الوصول وأسرار العميل الرئيسية للخدمة. - استخدام Azure Key Vault مع VM
- استخدم Azure Key Vault مع تطبيق AzureWeb App

الخطوات التالية