Informace o klíčích spravovaného účtu úložiště služby Azure Key Vault (starší verze)
Důležité
Doporučujeme používat integraci azure Storage s Microsoft Entra ID, cloudovou službou pro správu identit a přístupu od Microsoftu. Integrace Microsoft Entra je k dispozici pro objekty blob a fronty Azure a poskytuje přístup založený na tokenech OAuth2 ke službě Azure Storage (stejně jako Azure Key Vault). Microsoft Entra ID umožňuje ověřovat klientskou aplikaci pomocí aplikace nebo identity uživatele místo přihlašovacích údajů účtu úložiště. Spravovanou identitu Microsoft Entra můžete použít při spuštění v Azure. Spravované identity odstraňují potřebu ověřování klientů a ukládání přihlašovacích údajů do nebo ve vaší aplikaci. Následující řešení použijte pouze v případech, kdy ověřování Microsoft Entra není možné.
Účet úložiště Azure používá přihlašovací údaje, které tvoří název účtu a klíč. Klíč se automaticky vygeneruje a slouží jako heslo, nikoli jako kryptografický klíč. Key Vault spravuje klíče účtu úložiště tím, že je pravidelně znovu vygeneruje v účtu úložiště a poskytuje tokeny sdíleného přístupového podpisu pro delegovaný přístup k prostředkům ve vašem účtu úložiště.
Pomocí funkce klíče účtu úložiště spravované službou Key Vault můžete vypsat (synchronizovat) klíče s účtem úložiště Azure a klíče pravidelně znovu vygenerovat (otočit). Klíče můžete spravovat pro účty úložiště i účty úložiště Classic.
Správa klíčů účtu služby Azure Storage
Key Vault může spravovat klíče účtu úložiště Azure:
- Key Vault může interně vypsat (synchronizovat) klíče s účtem úložiště Azure.
- Key Vault klíče pravidelně vygeneruje (obměňuje).
- Hodnoty klíče se nikdy nevracejí v reakci na volajícího.
- Key Vault spravuje klíče účtů úložiště i klasických účtů úložiště.
Další informace naleznete v tématu:
Řízení přístupu k účtu úložiště
Při autorizaci uživatele nebo instančního objektu aplikace je možné použít následující oprávnění k provádění operací se spravovaným účtem úložiště:
Oprávnění pro spravované účty úložiště a operace definice SaS
- get: Získá informace o účtu úložiště
- list: Výpis účtů úložiště spravovaných službou Key Vault
- update: Aktualizace účtu úložiště
- delete: Odstranění účtu úložiště
- obnovení: Obnovení odstraněného účtu úložiště
- zálohování: Zálohování účtu úložiště
- obnovení: Obnovení zálohovaného účtu úložiště do služby Key Vault
- set: Vytvoření nebo aktualizace účtu úložiště
- regeneratekey: Opětovné vygenerování zadané hodnoty klíče pro účet úložiště
- getas: Získání informací o definici SAS pro účet úložiště
- listsas: Výpis definic SAS úložiště pro účet úložiště
- deletesas: Odstranění definice SAS z účtu úložiště
- setsas: Vytvoření nebo aktualizace nové definice a atributů SAS pro účet úložiště
Oprávnění pro privilegované operace
- vyprázdnění: Vyprázdnění (trvalé odstranění) spravovaného účtu úložiště
Další informace najdete v referenčních informacích k operacím účtu úložiště v rozhraní REST API služby Key Vault. Informace o navazování oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace a trezory – Zásady přístupu k aktualizacím.