Sdílet prostřednictvím


Příručka pro vývojáře ve službě Azure Key Vault

Azure Key Vault umožňuje bezpečný přístup k citlivým informacím z vašich aplikací:

  • Klíče, tajné kódy a certifikáty jsou chráněné, aniž byste museli psát kód sami a můžete je snadno používat ze svých aplikací.
  • Umožňujete zákazníkům vlastnit a spravovat vlastní klíče, tajné kódy a certifikáty, abyste se mohli soustředit na poskytování základních softwarových funkcí. Tímto způsobem nebudou vaše aplikace vlastnit odpovědnost ani potenciální odpovědnost za klíče tenanta, tajné kódy a certifikáty vašich zákazníků.
  • Vaše aplikace může používat klíče pro podepisování a šifrování, ale správu klíčů z vaší aplikace neschová. Další informace najdete v tématu O klíčích.
  • Přihlašovací údaje, jako jsou hesla, přístupové klíče a tokeny SAS, můžete spravovat tak, že je uložíte do služby Key Vault jako tajné kódy. Další informace najdete v tématu O tajných kódech.
  • Správa certifikátů Další informace naleznete v tématu O certifikátech.

Obecné informace o službě Azure Key Vault najdete v tématu o službě Azure Key Vault.

Public Preview

Pravidelně vydáváme verzi Public Preview nové funkce služby Key Vault. Vyzkoušejte funkce verze Public Preview a dejte nám vědět, co si myslíte prostřednictvím azurekeyvault@microsoft.comnaší e-mailové adresy pro zpětnou vazbu.

Vytváření a správa trezorů klíčů

Stejně jako u jiných služeb Azure se Key Vault spravuje prostřednictvím Azure Resource Manageru. Azure Resource Manager je služba nasazování a správy pro Azure. Můžete ho použít k vytváření, aktualizaci a odstraňování prostředků ve vašem účtu Azure.

Řízení přístupu na základě role v Azure (RBAC) řídí přístup k vrstvě správy, označované také jako rovina správy. Rovinu správy ve službě Key Vault použijete k vytváření a správě trezorů klíčů a jejich atributů, včetně zásad přístupu. Rovinu dat používáte ke správě klíčů, certifikátů a tajných kódů.

Pomocí předdefinované role Přispěvatel služby Key Vault můžete udělit přístup pro správu ke službě Key Vault.

Rozhraní API a sady SDK pro správu trezoru klíčů

Azure CLI PowerShell REST API Správce zdrojů .NET Python Java JavaScript
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz Odkaz
Rychlý start
Odkaz Odkaz Odkaz Odkaz

Instalační balíčky a zdrojový kód najdete v tématu Klientské knihovny.

Ověřování ve službě Key Vault v kódu

Key Vault používá ověřování Microsoft Entra, které k udělení přístupu vyžaduje objekt zabezpečení Microsoft Entra. Objekt zabezpečení Microsoft Entra může být uživatel, instanční objekt aplikace, spravovaná identita pro prostředky Azure nebo skupina jakéhokoli z těchto typů.

Osvědčené postupy ověřování

Doporučujeme použít spravovanou identitu pro aplikace nasazené do Azure. Pokud používáte služby Azure, které nepodporují spravované identity nebo pokud jsou aplikace nasazené místně, je možná alternativa instančního objektu s certifikátem . V tomto scénáři by měl být certifikát uložený ve službě Key Vault a často se obměňoval.

Pro vývoj a testování prostředí použijte instanční objekt s tajným kódem. Použijte objekt zabezpečení uživatele pro místní vývoj a Azure Cloud Shell.

V každém prostředí doporučujeme tyto objekty zabezpečení:

  • Produkční prostředí: Spravovaná identita nebo instanční objekt s certifikátem.
  • Testovací a vývojová prostředí: Spravovaná identita, instanční objekt s certifikátem nebo instanční objekt s tajným kódem.
  • Místní vývoj: Instanční objekt uživatele nebo instanční objekt s tajným kódem.

Klientské knihovny Azure Identity

Předchozí scénáře ověřování podporuje klientská knihovna Azure Identity a je integrovaná se sadami SDK služby Key Vault. Klientskou knihovnu Azure Identity můžete používat napříč prostředími a platformami beze změny kódu. Knihovna automaticky načte ověřovací tokeny od uživatelů, kteří jsou přihlášeni k uživateli Azure prostřednictvím Azure CLI, sady Visual Studio, editoru Visual Studio Code a dalších prostředků.

Další informace o klientské knihovně azure Identity najdete tady:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK v Pythonu Azure Identity SDK v Javě Azure Identity SDK JavaScript

Poznámka:

Doporučujeme knihovnu ověřování aplikací pro sadu .NET SDK služby Key Vault verze 3, ale už je zastaralá. Pokud chcete migrovat na sadu .NET SDK služby Key Vault verze 4, postupujte podle pokynů k migraci appAuthentication do Azure.Identity.

Kurzy týkající se ověřování ve službě Key Vault v aplikacích najdete v následujících tématech:

Správa klíčů, certifikátů a tajných klíčů

Poznámka:

Sady SDK pro .NET, Python, Java, JavaScript, PowerShell a Azure CLI jsou součástí procesu vydávání funkcí služby Key Vault prostřednictvím veřejné verze Preview a obecné dostupnosti s podporou týmu služby Key Vault. Ostatní klienti sady SDK pro Key Vault jsou k dispozici, ale vytvářejí a podporují je jednotlivé týmy sdk přes GitHub a vydávají se v plánu týmů.

Rovina dat řídí přístup ke klíčům, certifikátům a tajným klíčům. Zásady přístupu k místnímu trezoru nebo Azure RBAC můžete použít k řízení přístupu prostřednictvím roviny dat.

Rozhraní API a sady SDK pro klíče

Azure CLI PowerShell REST API Správce zdrojů .NET Python Java JavaScript
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start

Další knihovny

Klient kryptografie pro Key Vault a spravovaný HSM

Tento modul poskytuje klienta kryptografie pro klientský modul Klíčů služby Azure Key Vault pro Go.

Poznámka:

Tento projekt nepodporuje tým sady Azure SDK, ale v souladu s klienty kryptografie v jiných podporovaných jazycích.

Jazyk Reference
Go Odkaz

Rozhraní API a sady SDK pro certifikáty

Azure CLI PowerShell REST API Správce zdrojů .NET Python Java JavaScript
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start

Rozhraní API a sady SDK pro tajné kódy

Azure CLI PowerShell REST API Správce zdrojů .NET Python Java JavaScript
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start
Odkaz
Rychlý start

Použití tajných kódů

Azure Key Vault použijte k ukládání jenom tajných kódů pro vaši aplikaci. Mezi příklady tajných kódů, které by se měly ukládat ve službě Key Vault, patří:

  • Tajné kódy klientských aplikací
  • Připojovací řetězce
  • Passwords
  • Sdílené přístupové klíče
  • Klíče SSH

Všechny informace související s tajnými klíči, jako jsou uživatelská jména a ID aplikací, se dají uložit jako značka v tajném kódu. Pro všechna další citlivá nastavení konfigurace byste měli použít Aplikace Azure Konfigurace.

Reference

Instalační balíčky a zdrojový kód najdete v tématu Klientské knihovny.

Informace o zabezpečení roviny dat pro Key Vault najdete v tématu Funkce zabezpečení služby Azure Key Vault.

Použití služby Key Vault v aplikacích

Pokud chcete využívat nejnovější funkce ve službě Key Vault, doporučujeme používat dostupné sady SDK služby Key Vault k používání tajných kódů, certifikátů a klíčů ve vaší aplikaci. Sady SDK služby Key Vault a rozhraní REST API se aktualizují při vydání nových funkcí pro produkt a dodržují osvědčené postupy a pokyny.

Pro základní scénáře existují další knihovny a řešení integrace pro zjednodušené použití s podporou od partnerů Microsoftu nebo opensourcových komunit.

Pro certifikáty můžete použít:

Pro tajné kódy můžete použít:

Příklady kódu

Kompletní příklady použití služby Key Vault s aplikacemi najdete v ukázkách kódu služby Azure Key Vault.

Pokyny pro konkrétní úkoly

Následující články a scénáře obsahují pokyny specifické pro úlohy pro práci se službou Azure Key Vault:

Integrace se službou Key Vault

Následující služby a scénáře používají nebo integrují se službou Key Vault:

  • Šifrování neaktivních uložených dat umožňuje kódování (šifrování) dat, když je trvalé. Šifrovací klíče dat se často šifrují pomocí šifrovacího klíče klíče ve službě Azure Key Vault za účelem dalšího omezení přístupu.
  • Azure Information Protection umožňuje spravovat vlastní klíč tenanta. Například místo správy klíče tenanta Microsoftu (výchozí nastavení) můžete spravovat vlastní klíč tenanta, abyste vyhověli konkrétním předpisům, které platí pro vaši organizaci. Správa vlastního klíče tenanta se také označuje jako funkce Přineste si vlastní klíč (BYOK).
  • Azure Private Link umožňuje přístup ke službám Azure (například Azure Key Vault, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.
  • Integrace služby Key Vault se službou Azure Event Grid umožňuje uživatelům dostávat oznámení o změně stavu tajného kódu uloženého ve službě Key Vault. Nové verze tajných kódů můžete distribuovat aplikacím nebo obměňovat tajné kódy blížící se vypršení platnosti, abyste zabránili výpadkům.
  • Chraňte tajné kódy Azure DevOps před nežádoucím přístupem ve službě Key Vault.
  • Pomocí tajných kódů uložených ve službě Key Vault se připojte ke službě Azure Storage z Azure Databricks.
  • Nakonfigurujte a spusťte poskytovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů v Kubernetes.

Přehledy a koncepty služby Key Vault

Další informace o:

  • Funkce, která umožňuje obnovení odstraněných objektů bez ohledu na to, jestli bylo odstranění náhodné nebo úmyslné, najdete v přehledu obnovitelného odstranění služby Azure Key Vault.
  • Základní koncepty omezování a získání přístupu pro vaši aplikaci najdete v doprovodných materiálech k omezování služby Azure Key Vault.
  • Vztahy mezi oblastmi a oblastmi zabezpečení najdete v tématu Světy zabezpečení a geografické hranice služby Azure Key Vault.

Sociální sítě