Informace o klíčích spravovaného účtu úložiště služby Azure Key Vault (starší verze)

Důležité

Doporučujeme používat integraci azure Storage s Microsoft Entra ID, cloudovou službou pro správu identit a přístupu od Microsoftu. Integrace Microsoft Entra je k dispozici pro objekty blob a fronty Azure a poskytuje přístup založený na tokenech OAuth2 ke službě Azure Storage (stejně jako Azure Key Vault). Microsoft Entra ID umožňuje ověřovat klientskou aplikaci pomocí aplikace nebo identity uživatele místo přihlašovacích údajů účtu úložiště. Spravovanou identitu Microsoft Entra můžete použít při spuštění v Azure. Spravované identity odstraňují potřebu ověřování klientů a ukládání přihlašovacích údajů do nebo ve vaší aplikaci. Následující řešení použijte pouze v případech, kdy ověřování Microsoft Entra není možné.

Účet úložiště Azure používá přihlašovací údaje, které tvoří název účtu a klíč. Klíč se automaticky vygeneruje a slouží jako heslo, nikoli jako kryptografický klíč. Key Vault spravuje klíče účtu úložiště tím, že je pravidelně znovu vygeneruje v účtu úložiště a poskytuje tokeny sdíleného přístupového podpisu pro delegovaný přístup k prostředkům ve vašem účtu úložiště.

Pomocí funkce klíče účtu úložiště spravované službou Key Vault můžete vypsat (synchronizovat) klíče s účtem úložiště Azure a klíče pravidelně znovu vygenerovat (otočit). Klíče můžete spravovat pro účty úložiště i účty úložiště Classic.

Správa klíčů účtu služby Azure Storage

Key Vault může spravovat klíče účtu úložiště Azure:

• Key Vault může interně vypsat (synchronizovat) klíče s účtem úložiště Azure.
• Key Vault klíče pravidelně vygeneruje (obměňuje).
• Hodnoty klíče se nikdy nevracejí v reakci na volajícího.
• Key Vault spravuje klíče účtů úložiště i klasických účtů úložiště.

Další informace naleznete v tématu:

• Přístupové klíče účtu úložiště
• Správa klíčů účtu úložiště ve službě Azure Key Vault

Řízení přístupu k účtu úložiště

Při autorizaci uživatele nebo instančního objektu aplikace je možné použít následující oprávnění k provádění operací se spravovaným účtem úložiště:

• Oprávnění pro spravované účty úložiště a operace definice SaS

  • get: Získá informace o účtu úložiště
  • list: Výpis účtů úložiště spravovaných službou Key Vault
  • update: Aktualizace účtu úložiště
  • delete: Odstranění účtu úložiště
  • obnovení: Obnovení odstraněného účtu úložiště
  • zálohování: Zálohování účtu úložiště
  • obnovení: Obnovení zálohovaného účtu úložiště do služby Key Vault
  • set: Vytvoření nebo aktualizace účtu úložiště
  • regeneratekey: Opětovné vygenerování zadané hodnoty klíče pro účet úložiště
  • getas: Získání informací o definici SAS pro účet úložiště
  • listsas: Výpis definic SAS úložiště pro účet úložiště
  • deletesas: Odstranění definice SAS z účtu úložiště
  • setsas: Vytvoření nebo aktualizace nové definice a atributů SAS pro účet úložiště

• Oprávnění pro privilegované operace

  • vyprázdnění: Vyprázdnění (trvalé odstranění) spravovaného účtu úložiště

Další informace najdete v referenčních informacích k operacím účtu úložiště v rozhraní REST API služby Key Vault. Informace o navazování oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace a trezory – Zásady přístupu k aktualizacím.

Další kroky

• Správa klíčů účtu úložiště pomocí služby Key Vault a Azure CLI
• Informace o službě Key Vault
• Informace o klíčích, tajných kódech a certifikátech
• Osvědčené postupy pro správu tajných kódů ve službě Key Vault
• Průvodce vývojáře pro službu Key Vault