Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Key Vault je cloudová služba, která poskytuje zabezpečené úložiště a správu kryptografických klíčů, tajných klíčů a certifikátů. Tato příručka pomáhá vývojářům integrovat Key Vault do svých aplikací.
Přehled
Azure Key Vault umožňuje:
- Zabezpečené úložiště: Chraňte klíče, tajné kódy a certifikáty bez psaní vlastního kódu zabezpečení.
- Zjednodušená správa klíčů: Centralizace kryptografických operací a správy životního cyklu klíčů
- Klíče vlastněné zákazníkem: Umožňuje zákazníkům spravovat vlastní klíče, zatímco se zaměřujete na základní funkce aplikací.
- Správa externích klíčů: K podepisování a šifrování používejte klíče a přitom je ponechejte externí pro vaši aplikaci.
Obecné informace o Azure Key Vault najdete v tématu About Azure Key Vault.
Scénáře pro vývojáře
Mezi běžné úlohy vývojářů s Key Vault patří:
- Ukládání a načítání tajných kódů: Bezpečně spravujte připojovací řetězce, hesla, klíče rozhraní API a tokeny SAS. Další informace najdete v tématu O tajných kódech.
- Používejte klíče pro šifrování a podepisování: Proveďte kryptografické operace bez zveřejnění materiálu klíče pro vaši aplikaci. Další informace najdete v tématu O klíčích.
- Správa certifikátů: Automatizace zřizování, obnovení a nasazení certifikátů pro PROTOKOL SSL/TLS Další informace naleznete v tématu O certifikátech.
Veřejné ukázky
Microsoft pravidelně vydává verze Public Preview nových funkcí Key Vault. Pokud chcete vyzkoušet funkce preview a poskytnout zpětnou vazbu, obraťte se na tým na adrese azurekeyvault@microsoft.com. Informace o nejnovějších funkcích a aktualizacích najdete v tématu Co je nového v Azure Key Vault.
Vytváření a správa trezorů pro klíče
Key Vault používá model přístupu ve dvou rovinách:
- Řídicí rovina: Spravuje samotný prostředek Key Vault (vytvoření, odstranění, aktualizace vlastností, přiřazení zásad přístupu). Operace se spravují prostřednictvím Azure Resource Manager. Informace o řízení přístupu najdete v tématu Určete přístupovou politiku pro Key Vault.
- Rovina dat: Spravuje data uložená v Key Vault (klíče, tajné klíče, certifikáty). Přístup se řídí prostřednictvím Azure RBAC pomocí Key Vault.
Pomocí předdefinované role přispěvatel Key Vault udělte správcovský přístup k prostředkům Key Vault. Další informace o ověřování a autorizaci najdete v tématu Authentication v Azure Key Vault.
Zabezpečení sítě
Snižte expozici sítě konfigurací privátních koncových bodů, firewallů nebo služebních koncových bodů. Komplexní pokyny k zabezpečení sítě, včetně možností konfigurace od většiny po nejméně omezující, najdete v tématu Secure your Azure Key Vault: Network Security and Configure Azure Key Vault networking settings.
Rozhraní API a sady SDK pro správu trezoru klíčů
Následující tabulka uvádí sady SDK a rychlé starty pro správu Key Vault prostředků (operací roviny řízení). Nejnovější verze a pokyny k instalaci najdete v tématu Klientské knihovny.
| Azure CLI | PowerShell | REST API | Správce prostředků | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz |
Odkaz Rychlý start |
Odkaz | Odkaz | Odkaz | Odkaz |
Ověření pro Key Vault v kódu
Key Vault používá ověřování Microsoft Entra, které k udělení přístupu vyžaduje bezpečnostní principál Microsoft Entra. Objekt zabezpečení Microsoft Entra může být uživatel, instanční objekt aplikace, spravovaná identita pro prostředky Azure nebo skupina jakéhokoli z těchto typů.
Osvědčené postupy ověřování
U aplikací nasazených do Azure použijte spravované identity, abyste eliminovali potřebu ukládání přihlašovacích údajů v kódu. Podrobné pokyny k ověřování a doporučení zabezpečení pro různá prostředí (produkční, vývoj, místní) najdete v tématu Authentication v Azure Key Vault a Secure your Azure Key Vault.
klientské knihovny Azure Identity
Předchozí scénáře ověřování podporují klientskou knihovnu Azure Identity a jsou integrované se sadami KEY VAULT SDK. Klientskou knihovnu Azure Identity můžete používat napříč prostředími a platformami beze změny kódu. Knihovna automaticky načte ověřovací tokeny od uživatelů, kteří jsou přihlášeni k uživateli Azure pomocí Azure CLI, Visual Studio, Visual Studio Code a dalšími způsoby.
Další informace o klientské knihovně Azure Identity najdete tady:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Poznámka:
Doporučili jsme Knihovnu pro ověřování aplikací pro Key Vault .NET SDK verze 3, ale nyní je zastaralá. Pokud chcete migrovat na Key Vault .NET SDK verze 4, postupujte podle pokynů pro migraci z AppAuthentication na Azure.Identity.
Kurzy týkající se ověřování Key Vault v aplikacích najdete v následujících tématech:
- Použití Azure Key Vault s virtuálním počítačem v .NET
- Použití Azure Key Vault s virtuálním počítačem v Python
- Použití spravované identity pro připojení Key Vault k webové aplikaci Azure v .NET
Správa klíčů, certifikátů a tajných klíčů
Poznámka:
Sady SDK pro .NET, Python, Java, JavaScript, PowerShell a Azure CLI jsou součástí procesu vydávání funkcí Key Vault prostřednictvím verze Public Preview a obecné dostupnosti s podporou týmu služeb Key Vault. Existují i další klienti SDK pro Key Vault, ale jsou vytvářeni a podporováni samostatnými týmy SDK přes GitHub a vydávají se podle plánu jejich týmů. Nejnovější verze sady SDK a instalační balíčky najdete v tématu Klientské knihovny.
Rovina dat řídí přístup ke klíčům, certifikátům a tajným klíčům. Můžete použít Azure RBAC s Key Vault k řízení přístupu prostřednictvím roviny dat.
Rozhraní API a sady SDK pro klíče
Následující tabulka uvádí sady SDK a rychlé starty pro práci s klíči (operace datové roviny). Další informace o klíčích najdete v tématu O klíčích.
| Azure CLI | PowerShell | REST API | Správce prostředků | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Další knihovny
Klient šifrování pro Key Vault a spravovaný HSM systém
Tento modul poskytuje kryptografického klienta pro klientský modul Azure Key Vault Keys pro Go.
Poznámka:
Tento projekt není podporován týmem Azure SDK, ale je v souladu s klienty pro kryptografii v jiných podporovaných jazycích.
| Jazyk | Odkazy |
|---|---|
| Go | Odkaz |
Rozhraní API a sady SDK pro certifikáty
Následující tabulka uvádí sady SDK a rychlé začátky pro práci s certifikáty (operace na datové vrstvě). Další informace o certifikátech naleznete v tématu O certifikátech.
| Azure CLI | PowerShell | REST API | Správce prostředků | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz | není k dispozici |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Rozhraní API a sady SDK pro tajné kódy
Následující tabulka uvádí sady SDK a rychlé starty pro práci s tajnými kódy (operace roviny dat). Další informace o tajných kódech najdete v tématu O tajných kódech.
| Azure CLI | PowerShell | REST API | Správce prostředků | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Použití tajemství
Pomocí Azure Key Vault můžete ukládat jenom tajné kódy pro vaši aplikaci. Mezi příklady tajných kódů, které by se měly ukládat do Key Vault patří:
- Tajné kódy klientských aplikací
- Připojovací řetězce
- Hesla
- Sdílené přístupové klíče
- Klíče SSH
Všechny informace týkající se tajemství, jako je uživatelské jméno a ID aplikace, lze uložit jako značku v rámci tajemství. Pro všechna další citlivá nastavení konfigurace byste měli použít Azure App Configuration.
Instalační balíčky a zdrojový kód najdete v tématu Klientské knihovny.
Použití Key Vault v aplikacích
Pokud chcete využívat nejnovější funkce v Key Vault, doporučujeme použít dostupné sady SDK Key Vault pro používání tajných kódů, certifikátů a klíčů ve vaší aplikaci. Sady SDK Key Vault a rozhraní REST API se aktualizují, protože jsou pro produkt vydány nové funkce a dodržují osvědčené postupy a pokyny.
Pro základní scénáře existují další knihovny a řešení integrace pro zjednodušené použití s podporou poskytovanou Microsoft partnery nebo opensourcovými komunitami.
Pro certifikáty můžete použít:
- Rozšíření Key Vault virtuálního počítače, které poskytuje automatickou aktualizaci certifikátů uložených v Azure key vault. Další informace najdete tady:
- rozšíření virtuálního počítače Key Vault pro Windows
- rozšíření virtuálního počítače Key Vault pro Linux
- rozšíření virtuálního počítače Key Vault pro servery s podporou Azure Arc
- Azure App Service integraci, která může importovat a automaticky aktualizovat certifikáty z Key Vault. Další informace najdete v tématu Importujte certifikát z Key Vault.
Pro tajné kódy můžete použít:
- Key Vault tajemství s nastavením aplikace služby App Service. Další informace najdete v tématu Použití odkazů na Key Vault pro App Service a Azure Functions.
- Key Vault integruje Azure App Configuration pro zjednodušení přístupu vaší aplikace ke konfiguraci a tajným údajům. Další informace najdete v tématu Použití odkazů Key Vault v Azure App Configuration.
Příklady kódu
Kompletní příklady použití Key Vault s aplikacemi najdete v Azure Key Vault ukázek kódu.
Pokyny pro konkrétní úkoly
Následující články a scénáře obsahují pokyny specifické pro úlohy pro práci s Azure Key Vault:
- Aby mohla klientská aplikace přistupovat k trezoru klíčů, musí mít přístup k několika koncovým bodům pro různé funkce. Viz Přístup k Key Vault za firewallem.
- Cloudová aplikace spuštěná v Azure virtuálním počítači potřebuje certifikát. Jak tento certifikát dostanete do tohoto virtuálního počítače? Viz rozšíření virtuálního počítače Key Vault pro Windows nebo rozšíření virtuálního počítače Key Vault pro Linux.
- Pokud chcete přiřadit zásady přístupu pomocí Azure CLI, PowerShellu nebo portálu Azure, přečtěte si téma Přiřazení zásad přístupu ke Key Vault.
- Pokyny k použití a životnímu cyklu úložiště klíčů a různých objektů úložiště klíčů s povolenou funkcí měkkého odstranění najdete v tématu Azure Key Vault - správa obnovení s měkkým odstraněním a ochranou proti vymazání.
- Pokud potřebujete předat zabezpečenou hodnotu (třeba heslo) jako parametr během nasazování, můžete tuto hodnotu uložit jako tajný klíč do trezoru klíčů a odkazovat na hodnotu v jiných šablonách Resource Manager. Informace o předání hodnot zabezpečených parametrů během nasazení najdete v tématu Použití Azure Key Vault.
Integrace s Key Vault
Následující služby a scénáře používají nebo integrují s Key Vault:
- Šifrování dat v klidu umožňuje kódování (šifrování) dat při jejich uložení. Datové šifrovací klíče se často šifrují pomocí klíče pro šifrování klíčů v Azure Key Vault pro další omezení přístupu.
- Azure Information Protection umožňuje spravovat vlastní klíč tenanta. Například místo Microsoft správy klíče tenanta (výchozí nastavení) můžete spravovat vlastní klíč tenanta, abyste vyhověli konkrétním předpisům, které platí pro vaši organizaci. Správa vlastního klíče tenanta se také označuje jako přineste si vlastní klíč (BYOK).
- Azure Private Link umožňuje přistupovat ke službám Azure (například Azure Key Vault, Azure Storage a Azure Cosmos DB) a k zákaznickým nebo partnerským službám hostovaným na platformě Azure přes privátní koncový bod ve vaší virtuální síti.
- integrace Key Vault s Azure Event Grid umožňuje uživatelům dostávat oznámení o změně stavu tajného kódu uloženého v Key Vault. Nové verze tajných kódů můžete distribuovat aplikacím nebo obměňovat tajné kódy blížící se vypršení platnosti, abyste zabránili výpadkům.
- Chraňte tajné kódy Azure DevOps před nežádoucím přístupem v Key Vault.
- Tajné kódy uložené v Key Vault použijte k připojení k Azure Storage z Azure Databricks.
- Nakonfigurujte a spusťte poskytovatele služby Azure Key Vault pro Secrets Store CSI ovladač na Kubernetes.
Zotavení po havárii a provozní kontinuita
Key Vault poskytuje integrované zotavení po havárii s automatickou regionální replikací. Pro uplatnění v produkci povolte funkci soft delete a ochranu proti úplnému smazání a implementujte pravidelné zálohování. Další informace najdete o dostupnosti a redundanci Azure Key Vault, obnově Azure Key Vault a zálohování Azure Key Vault.
Výkon a škálovatelnost
Při vývoji aplikací, které používají Key Vault, zvažte následující osvědčené postupy týkající se výkonu a škálovatelnosti:
- Limity služby: Key Vault má limity služby pro transakce na každý trezor a na každý region. Překročení těchto limitů vede k omezení výkonu. Další informace najdete v tématu Azure Key Vault limity služeb.
- Pokyny k omezování: Implementujte logiku opakování s exponenciálním zpožděním pro zpracování odpovědí na omezování. Další informace najdete v tématu Azure Key Vault pokyny k omezování.
- Caching: Ukládání tajných kódů a certifikátů do mezipaměti v aplikaci za účelem snížení počtu volání Key Vault a zvýšení výkonu.
- Správa připojení: Pokud je to možné, použijte připojení HTTP k Key Vault, abyste snížili latenci a zlepšili výkon.
Monitorování a protokolování
Povolte protokolování a monitorování pro zabezpečení, dodržování předpisů a řešení potíží. Nakonfigurujte nastavení diagnostiky, oznámení event gridu a výstrahy pro kritické události. Podrobné pokyny najdete v tématech Monitor Azure Key Vault, protokolování Azure Key Vault, Monitorování Key Vault s Azure Event Grid a Zabezpečte svůj Azure Key Vault: Protokolování a detekce hrozeb.
Běžné parametry a vzory požadavků
Při práci s rozhraním KEY VAULT REST API je užitečné porozumět běžným parametrům a vzorům požadavků a odpovědí:
- Verze rozhraní API: Key Vault používá verzované rozhraní API. Vždy zadejte verzi rozhraní API ve vašich požadavcích.
- Požadavky na ověřování: Zjistěte, jak se získávají a používají ověřovací tokeny, včetně běžných hlaviček požadavků a formátů odpovědí. Další informace najdete v tématu Ověřování, požadavky a odpovědi.
- Kódy chyb: Seznamte se s běžnými kódy chyb rozhraní REST API pro řádné zpracování chyb. Další informace najdete v tématu Azure Key Vault kódy chyb rozhraní REST API.
Řešení problémů
Pomoc s řešením běžných problémů:
- Chyby odepření přístupu: Ověřte své autentizační údaje a ověřte, že váš bezpečnostní principál má potřebná oprávnění prostřednictvím přiřazení RBAC. Viz Azure RBAC pro operace na datové rovině Key Vault.
- Připojení k síti: Pokud se přistupuje k Key Vault za bránou firewall, ujistěte se, že jsou požadované koncové body přístupné. Viz Přístup k Key Vault za firewallem.
- Omezování: Pokud dostáváte odpovědi 429 (příliš mnoho požadavků), implementujte exponenciální zdržení. Viz pokyny k omezování Azure Key Vault.
Osvědčené postupy zabezpečení
Komplexní pokyny k zabezpečení, včetně správy identit a přístupu, ochrany dat, dodržování předpisů, zásad správného řízení a strategií zálohování, najdete v tématu Secure your Azure Key Vault.
Dodatečné zdroje
koncepty Key Vault
- Základní koncepty Azure Key Vault – Základní koncepty pro práci s Key Vault.
- Azure Key Vault přehled o měkkém mazání – Obnovení odstraněných objektů
- Azure Key Vault pokyny k omezování rychlosti – základní koncepty a přístup pro vaši aplikaci.
- Azure Key Vault světy zabezpečení a geografické hranice – regionální a bezpečnostní vztahy.
- Azure Key Vault limity služeb – limity transakcí a další omezení služeb.
Správa a provoz
- Monitor Azure Key Vault – nastavení monitorování a diagnostiky
- protokolování Azure Key Vault – Povolí a analyzuje protokoly Key Vault.
Komunita a podpora
- Microsoft Q&A – Položte otázky a získejte odpovědi od komunity.
- Stack Overflow for Key Vault - Technické dotazy od vývojářů.
- Azure Zpětná vazba – Pro poslání žádostí o funkce a zpětnou vazbu.