Informace o tajných kódech Azure Key Vault

Key Vault poskytuje zabezpečené úložiště pro obecné tajné kódy, jako jsou hesla a připojovací řetězce databáze.

Z pohledu vývojáře Key Vault rozhraní API přijímají a vracejí tajné hodnoty jako řetězce. Interně Key Vault ukládá a spravuje tajné kódy jako posloupnosti oktetů (8bitových bajtů) s maximální velikostí 25 kB. Služba Key Vault neposkytuje sémantiku tajných kódů. Přijímá pouze data, šifruje je, ukládá a vrací tajný identifikátor (id). Identifikátor můžete použít k pozdějšímu načtení tajného kódu.

U vysoce citlivých dat zvažte přidání dalších vrstev ochrany. Před uložením do Key Vault můžete například šifrovat data pomocí samostatného klíče ochrany.

Key Vault také podporuje pole contentType pro tajné kódy. Klienti mohou určit typ obsahu tajného klíče, který pomáhá interpretovat tajná data při jejich načtení. Maximální délka tohoto pole je 255 znaků. Navrhované použití je jako tip pro interpretaci tajných dat. Implementace může například ukládat hesla i certifikáty jako tajné kódy a pak toto pole použít k rozlišení. Neexistují žádné předdefinované hodnoty.

Šifrování

Key Vault ukládá všechny tajné kódy ve vašem key vault jako šifrovaná data. Key Vault šifruje tajemství v klidu pomocí hierarchie šifrovacích klíčů, přičemž všechny klíče v této hierarchii jsou chráněny moduly validovanými FIPS. Toto šifrování je transparentní a nevyžaduje od vás žádnou akci. Služba Azure Key Vault zašifruje vaše tajné kódy, když je přidáte a dešifruje je automaticky při jejich čtení.

Šifrovací klíč listové hierarchie klíčů je jedinečný pro každý trezor klíčů. Šifrovací kořenový klíč hierarchie klíčů je jedinečný pro svět zabezpečení. Informace o úrovních ověřování FIPS pro každou úroveň Key Vault a spravovaný HSM najdete v tématu Klíče: Dodržování předpisů.

Tajné atributy

Kromě tajných dat můžete zadat následující atributy:

  • Exp: IntDate, volitelné, výchozí hodnota je navždy. Atribut exp (čas vypršení platnosti) nastaví dobu vypršení platnosti, po které by se neměla načítat tajná data, s výjimkou konkrétních situací. Toto pole je určené pouze pro informační účely, protože informuje uživatele o službě trezoru klíčů, že konkrétní tajný kód nelze použít. Její hodnota musí být číslo obsahující hodnotu IntDate.
  • nbf: IntDate, volitelné, výchozí je nyní. Atribut nbf (ne před) nastaví čas, před kterým by se tajné údaje neměly načítat, s výjimkou konkrétních situací. Toto pole je určené pouze pro informační účely. Její hodnota musí být číslo obsahující hodnotu IntDate.
  • povoleno: boolean, volitelné, výchozí hodnota je true. Tento atribut určuje, jestli je možné načíst tajná data. Použijte povolený atribut s nbf a exp. Pokud dojde k operaci mezi nbf a exp, operace je povolena pouze v případě, že je povoleno na hodnotu true. Operace mimo okno nbf a exp jsou automaticky zakázány, s výjimkou konkrétních situací.

Následující atributy jen pro čtení jsou zahrnuty v jakékoli odpovědi, která obsahuje atributy tajných kódů:

  • vytvořeno: IntDate, volitelné. Vytvořený atribut označuje, kdy byla vytvořena tato verze tajného kódu. Tato hodnota je null pro tajné kódy vytvořené před přidáním tohoto atributu. Její hodnota musí být číslo obsahující hodnotu IntDate.
  • aktualizováno: IntDate, volitelné. Aktualizovaný atribut označuje, kdy byla tato verze tajného kódu aktualizována. Tato hodnota je null pro tajné kódy, které byly naposledy aktualizovány před přidáním tohoto atributu. Její hodnota musí být číslo obsahující hodnotu IntDate.

Informace o běžných atributech pro každý typ objektu trezoru klíčů najdete v tématu Azure Key Vault klíče, tajné kódy a certifikáty – přehled.

Operace řízené datem a časem

Operace získání tajného kódu funguje pro dosud neplatné, prošlé tajné kódy mimo okno nbf / exp. Volání operace získání tajného kódu pro dosud neplatný tajný klíč lze použít pro testovací účely. Načtení (získání) vypršelého tajemství lze použít pro operace obnovení.

Řízení tajného přístupu

Řízení přístupu pro tajné kódy spravované v Key Vault se poskytuje na úrovni key vault, která obsahuje tyto tajné kódy. Zásady řízení přístupu pro tajné kódy se liší od zásad řízení přístupu pro klíče ve stejném trezoru klíčů. Uživatelé mohou vytvořit jeden nebo více úložišť, které budou uchovávat tajná data, a je požadováno udržovat segmentaci a správu těchto dat v souladu se scénářem.

V položce řízení přístupu k tajným kódům v trezoru použijte následující oprávnění. Tato oprávnění úzce zrcadlí operace povolené u tajného objektu:

  • Oprávnění pro operace správy tajemství

    • get: Čtení tajného kódu
    • list: Výpis tajných kódů nebo verzí tajného kódu uloženého v Key Vault
    • set: Vytvořit tajemství
    • delete: Odstranit tajemství
    • obnovení: Obnovení odstraněného tajného kódu
    • zálohování: Zálohování tajného klíče v trezoru klíčů
    • obnovení: Obnovení zálohovaného tajemství do trezoru klíčů

  • Oprávnění pro privilegované operace

    • vymazání: Vymazání (trvalé odstranění) odstraněného tajemství

Další informace o práci s tajnými kódy najdete v tématu o operacích Secret v referenčních informacích k rozhraní REST API Key Vault. Informace o zavedení oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace a Trezory – Aktualizace zásady přístupu.

Návody k řízení přístupu v Key Vault:

Tajné značky

Ve formě značek můžete zadat další metadata specifická pro aplikaci. Key Vault podporuje až 15 značek, z nichž každý může mít název 512 znaků a hodnotu 512 znaků.

Poznámka:

Pokud má volající seznam nebo získá oprávnění, může číst značky.

Scénáře použití

Kdy používat Příklady
Bezpečně ukládejte, spravujte životní cyklus a monitorujte přihlašovací údaje pro komunikaci mezi službami, jako jsou hesla, přístupové klíče, tajné kódy klienta instančního objektu. - Použití Azure Key Vault s virtuálním počítačem
- Použití Azure Key Vault s webovou aplikací Azure

Další kroky

  • Last updated on