Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Key Vault bietet einen sicheren Speicher für generische Geheimnisse wie z. B. Kennwörter und Datenbankverbindungszeichenfolgen.
Aus Entwicklerperspektive akzeptieren Key Vault-APIs geheime Werte als Zeichenfolge und geben sie auch in dieser Form zurück. Intern speichert und verwaltet Key Vault Geheimnisse als Oktettsequenzen (8-Bit-Bytes), wobei jede Sequenz maximal 25.000 Bytes groß sein darf. Der Key Vault-Dienst bietet keine Semantik für Geheimnisse. Sie akzeptiert lediglich die Daten, verschlüsselt sie, speichert sie und gibt einen geheimen Bezeichner (id
) zurück. Der Bezeichner kann dazu verwendet werden, das Geheimnis zu einem späteren Zeitpunkt abzurufen.
Bei streng vertraulichen Daten sollten Kunden zusätzliche Schutzebenen für Daten berücksichtigen. Die Verschlüsselung von Daten mithilfe eines separaten Schutzschlüssels vor dem Speichern in Key Vault ist nur ein Beispiel hierfür.
Key Vault unterstützt auch ein contentType-Feld für Geheimnisse. Clients können den Inhaltstyp eines geheimen Schlüssels angeben, um die geheimen Daten beim Abrufen zu interpretieren. Dieses Feld darf maximal 255 Zeichen lang sein. Die Verwendungsempfehlung dient als Hinweis für das Interpretieren der geheimen Daten. Wenn eine Implementierung z.B. sowohl Kennwörter als auch Zertifikate als Geheimnisse speichert, verwenden Sie dieses Feld zur Unterscheidung. Es gibt keine vordefinierten Werte.
Verschlüsselung
Alle Geheimnisse in Ihrer Key Vault-Instanz werden verschlüsselt gespeichert. Key Vault verschlüsselt Geheimnisse im Ruhezustand mit einer Hierarchie von Verschlüsselungsschlüsseln, wobei alle Schlüssel in dieser Hierarchie durch Module geschützt werden, die mit FIPS 140-2 konform sind. Diese Verschlüsselung ist transparent, und der Benutzer muss keine Aktion durchführen. Ihre Geheimnisse werden vom Azure Key Vault-Dienst verschlüsselt, wenn Sie diese hinzufügen, und dann automatisch entschlüsselt, wenn Sie sie lesen.
Der Verschlüsselungsblattschlüssel der Schlüsselhierarchie ist für jeden Schlüsseltresor eindeutig. Der Verschlüsselungsstammschlüssel der Schlüsselhierarchie ist einzigartig für die Sicherheitswelt und wird durch ein Modul geschützt, das für FIPS 140-2 Ebene 3 oder höher überprüft wird.
Geheime Attribute
Zusätzlich zu den Geheimnisdaten können die folgenden Attribute angegeben werden:
- exp: IntDate, optional, Standard ist forever. Das Attribut exp (Ablaufzeit) identifiziert die Ablaufzeit oder danach, nach der die geheimen Daten nicht abgerufen werden sollen, außer in bestimmten Situationen. Dieses Feld dient nur zu Informationszwecken , da es Die Benutzer des Schlüsseltresordiensts darüber informiert, dass ein bestimmter geheimer Schlüssel nicht verwendet werden darf. Der Wert MUSS eine Zahl sein, die einen IntDate-Wert enthält.
- nbf: IntDate, optional, Standard ist jetzt. Das nbf -Attribut (nicht zuvor) identifiziert die Zeit, vor der die geheimen Daten nicht abgerufen werden sollen, außer in bestimmten Situationen. Dieses Feld dient nur informationszwecken . Der Wert MUSS eine Zahl sein, die einen IntDate-Wert enthält.
- enabled: Boolesch, optional, Standardwert ist true. Dieses Attribut gibt an, ob die Geheimnisdaten abgerufen werden können. Das aktivierte Attribut wird mit nbf und exp verwendet, wenn ein Vorgang zwischen nbf und exp auftritt, ist es nur zulässig, wenn "enabled" auf "true" festgelegt ist. Vorgänge außerhalb des Nbf - und Exp-Fensters sind außer in bestimmten Situationen automatisch unzulässig.
Es gibt zusätzliche schreibgeschützte Attribute, die in alle Antworten einbezogen werden, die Geheimnisattribute enthalten:
- created: IntDate, optional. Das „created“-Attribut gibt an, wann diese Version des Geheimnisses erstellt wurde. Dieser Wert ist NULL für Geheimnisse, die vor dem Hinzufügen dieses Attributs erstellt wurden. Der Wert muss eine Zahl sein, die einen IntDate-Wert enthält.
- updated: IntDate, optional. Das updated-Attribut gibt an, wann diese Version des Geheimnisses aktualisiert wurde. Dieser Wert ist NULL für Geheimnisse, die vor dem Hinzufügen dieses Attributs zuletzt aktualisiert wurden. Der Wert muss eine Zahl sein, die einen IntDate-Wert enthält.
Informationen zu allgemeinen Attributen für jeden Schlüsseltresor-Objekttyp finden Sie unter Azure Key Vault-Schlüssel, Geheime Schlüssel und Zertifikate – Übersicht
Durch Datum und Uhrzeit gesteuerte Vorgänge
Der get-Geheimnisvorgang funktioniert für noch nicht gültige und abgelaufene Geheimnisse außerhalb des nbf / exp-Fensters. Das Aufrufen eines get-Geheimnisvorgangs für ein noch nicht gültiges Geheimnis ist zu Testzwecken möglich. Abrufvorgänge (per get) für ein abgelaufenes Geheimnis können für Wiederherstellungsvorgänge verwendet werden.
Geheimniszugriffssteuerung
Die Zugriffssteuerung für Geheimnisse, die in Key Vault verwaltet werden, wird auf der Ebene der Key Vault-Instanz bereitgestellt, die diese Geheimnisse enthält. Die Zugriffssteuerungsrichtlinie für Geheimnisse unterscheidet sich von der Zugriffssteuerungsrichtlinie für Schlüssel im selben Key Vault. Benutzer können einen oder mehrere Tresore zum Speichern von Geheimnissen erstellen und müssen für eine dem Szenario entsprechende Segmentierung und Verwaltung von Geheimnissen sorgen.
Die folgenden Berechtigungen können pro Prinzipal im Zugriffssteuerungseintrag für Geheimnisse in einem Tresor verwendet werden und spiegeln die für ein Geheimnisobjekt zulässigen Vorgänge präzise wider:
Berechtigungen für Geheimnisverwaltungsvorgänge
- get: Ein Geheimnis lesen
- Liste: Listet die Geheimnisse oder Versionen eines Geheimnisses, die in einem Schlüsseltresor gespeichert sind.
- set: Ein Geheimnis erstellen
- löschen: Löschen eines Geheimnisses
- wiederherstellen: Ein gelöschtes Geheimnis wiederherstellen
- backup: Sichern eines Geheimnisses in einem Schlüsseltresor
- restore: Wiederherstellen eines gesicherten Geheimnisses in einem Schlüsseltresor
Berechtigungen für privilegierte Vorgänge
- Löschen: Löschen (dauerhaft löschen) eines gelöschten Geheimnisses
Weitere Informationen zum Arbeiten mit geheimen Schlüsseln finden Sie unter "Geheime Vorgänge" in der Key Vault REST-API-Referenz. Informationen zum Einrichten von Berechtigungen finden Sie unter Vaults – Create or Update and Vaults – Update Access Policy.
Anleitungen zum Steuern des Zugriffs im Key Vault:
- Zuweisen einer Key Vault-Zugriffsrichtlinie mit CLI
- Zuweisen einer Key Vault-Zugriffsrichtlinie mithilfe von PowerShell
- Zuweisen einer Key Vault-Zugriffsrichtlinie mithilfe des Azure-Portals
- Zugriff auf Schlüssel, Zertifikate und Geheimnisse im Azure Key Vault mit einer rollenbasierten Zugriffssteuerung von Azure bereitstellen
Geheimnistags
Sie können mehr anwendungsspezifische Metadaten in Form von Tags angeben. Key Vault unterstützt bis zu 15 Tags, von denen jeder einen 512-Zeichennamen und einen 512-Zeichenwert aufweisen kann.
Hinweis
Tags sind für Aufrufer lesbar, die über die list- oder get-Berechtigung verfügen.
Verwendungsszenarien
Wann verwenden | Beispiele |
---|---|
Sicheres Speichern, Verwalten des Lebenszyklus und Überwachen von Anmeldeinformationen (z. B. Kennwörter, Zugriffsschlüssel und geheime Clientschlüssel für Dienstprinzipale) für die Kommunikation zwischen Diensten. | - Verwenden von Azure Key Vault mit einem virtuellen Computer - Verwenden von Azure Key Vault mit einer Azure Web App |
Nächste Schritte
- Schlüsselverwaltung in Azure
- Bewährte Methoden für die Verwaltung geheimer Schlüssel im Key Vault
- Informationen zu Key Vault
- Informationen zu Schlüsseln, geheimen Schlüsseln und Zertifikaten
- Zuweisen einer Key Vault-Zugriffsrichtlinie
- Gewähren Sie Zugriff auf Schlüssel, Zertifikate und Geheimnisse im Key Vault mit rollenbasierter Azure-Zugriffssteuerung
- Sicherer Zugang zu einem Schlüsselspeicher
- Entwicklerhandbuch für Key Vault