Übersicht über Schlüssel, Geheimnisse und Zertifikate in Azure Key Vault
Microsoft Azure-Anwendungen und -Benutzer*innen können verschiedene Arten von geheimen Daten/Schlüsseldaten in Azure Key Vault speichern: Schlüssel, Geheimnisse und Zertifikate. Schlüssel, Geheimnisse und Zertifikate werden zusammenfassend als „Objekte“ bezeichnet.
Objektkennungen
Objekte werden innerhalb von Key Vault durch einen Bezeichner ohne Beachtung der Groß-/Kleinschreibung eindeutig identifiziert, den sogenannten Objektbezeichner. Unabhängig vom geografischen Standort weisen zwei Objekte im System nie denselben Bezeichner auf. Der Bezeichner besteht aus einem Präfix, das den Schlüsseltresor, den Objekttyp, den benutzerseitig angegebenen Objektnamen und eine Objektversion identifiziert. Bezeichner, die keine Objektversion enthalten, werden „Basisbezeichner“ genannt. Key Vault-Objektbezeichner sind ebenfalls gültige URLs, sollten jedoch immer als Zeichenfolgen ohne Beachtung der Groß-/Kleinschreibung verglichen werden.
Weitere Informationen finden Sie unter Authentifizierung, Anforderungen und Antworten.
Ein Objektbezeichner hat das folgende allgemeine Format (abhängig vom Containertyp):
Für Schlüsseltresore:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Für Pools verwalteter HSMs:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Hinweis
Weitere Informationen zu den von den einzelnen Containertypen unterstützten Objekttypen finden Sie unter Objekttypunterstützung.
Hierbei gilt:
| Element | BESCHREIBUNG |
|---|---|
vault-name oder hsm-name |
Der Name eines Schlüsseltresors oder Pools verwalteter HSMs im Microsoft Azure Key Vault-Dienst. Schlüsseltresornamen und Namen von Pools verwalteter HSMs werden vom Benutzer ausgewählt und sind global eindeutig. Der Name des Tresors und des Pools verwalteter HSMs muss zwischen 3 und 24 Zeichen lang sein und darf nur die Ziffern 0-9, die Buchstaben a-z und A-Z und keine aufeinanderfolgenden Minuszeichen („-“) enthalten. |
object-type |
Die Art des Objekts (Schlüssel, Geheimnisse oder Zertifikate). |
object-name |
Ein object-name ist ein benutzerseitig angegebener Name und muss innerhalb eines Schlüsseltresors eindeutig sein. Der Name muss eine Zeichenfolge mit 1 bis 127 Zeichen sein und mit einem Buchstaben beginnen und darf nur die Zeichen „0 - 9“, „a - z“, „A - Z“ und „-“ enthalten. |
object-version |
Ein object-version ist ein vom System generierter, 32 Zeichen langer Zeichenfolgenbezeichner, der optional verwendet wird, um eine eindeutige Version eines Objekts zu adressieren. |
DNS-Suffixe für Objektbezeichner
Der Azure Key Vault-Ressourcenanbieter unterstützt zwei Ressourcentypen: Tresore und verwaltete HSMs. Diese Tabelle zeigt das DNS-Suffix, das vom Datenebenenendpunkt für Tresore und Pools verwalteter HSMs in verschiedenen Cloudumgebungen verwendet wird.
| Cloudumgebung | DNS-Suffix für Tresore | DNS-Suffix für verwaltete HSMs |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure operated by 21Vianet Cloud | .vault.azure.cn | Nicht unterstützt |
| Azure US Government | .vault.usgovcloudapi.net | Nicht unterstützt |
| Azure German Cloud | .vault.microsoftazure.de | Nicht unterstützt |
Objekttypen
In der Tabelle sind die Objekttypen und ihre Suffixe im Objektbezeichner aufgeführt.
| Objekttyp | Bezeichnersuffix | Tresore | Pools verwalteter HSMs |
|---|---|---|---|
| HSM-geschützte Schlüssel | /keys | Unterstützt | Unterstützt |
| Softwaregeschützte Schlüssel | /keys | Unterstützt | Nicht unterstützt |
| Geheimnisse | /secrets | Unterstützt | Nicht unterstützt |
| Zertifikate | /certificates | Unterstützt | Nicht unterstützt |
| Speicherkontoschlüssel | /storage | Unterstützt | Nicht unterstützt |
- Kryptografische Schlüssel: Unterstützt mehrere Schlüsseltypen und Algorithmen und ermöglicht die Verwendung von softwaregeschützten und durch HSM geschützten Schlüsseln. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.
- Geheimnisse: Bieten einen sicheren Speicher für Geheimnisse wie Kennwörter und Datenbank-Verbindungszeichenfolgen. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Geheimnissen.
- Zertifikate: Unterstützen Zertifikate, die auf Schlüsseln und Geheimnissen aufbauen, und fügt ein Feature für die automatisierte Verlängerung hinzu. Beachten Sie: Wenn ein Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und ein Geheimnis gleichen Namens erstellt. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.
- Azure-Speicherkontenschlüssel: Kann die Schlüssel eines Azure Storage-Kontos für Sie verwalten. Intern kann Key Vault Schlüssel für ein Azure Storage-Konto auflisten (synchronisieren) und die Schlüssel in regelmäßigen Abständen erneut generieren (rotieren). Weitere Informationen finden Sie unter Verwalten von Speicherkontoschlüsseln mit Key Vault und der Azure-Befehlszeilenschnittstelle.
Weitere allgemeine Informationen zu Key Vault finden Sie unter Informationen zu Azure Key Vault. Weitere Informationen zu Pools verwalteter HSMs finden Sie unter Was ist verwaltetes HSM von Azure Key Vault?.
Datentypen
In den JOSE-Spezifikationen finden Sie relevante Datentypen für Schlüssel, Verschlüsselung und Signatur.
- algorithm: ein unterstützter Algorithmus für einen Schlüsselvorgang, z.B. RSA1_5.
- ciphertext-value: Verschlüsselungstextoktette, codiert mit Base64URL.
- digest-value: die Ausgabe eines Hashalgorithmus, codiert mit Base64URL.
- key-type: einer der unterstützten Schlüsseltypen, z.B. RSA (Rivest-Shamir-Adleman).
- plaintext-value: Klartextoktette, codiert mit Base64URL.
- signature-value: die Ausgabe eines Signaturalgorithmus, codiert mit Base64URL.
- base64URL: ein mit Base64URL [RFC4648] codierter Binärwert.
- boolean: entweder TRUE oder FALSE.
- Identität – eine Identität von Microsoft Entra ID.
- IntDate: ein dezimaler JSON-Wert, der die Anzahl von Sekunden von 1970-01-01T0:0:0Z UTC bis zum angegebenen UTC-Datum / zur angegebenen UTC-Uhrzeit darstellt. Details in Bezug auf Datum/Uhrzeit im Allgemeinen und UTC im Besonderen finden Sie der Dokumentation zu RFC 3339.
Objekte, Bezeichner und Versionsverwaltung
In Key Vault gespeicherte Objekte werden versioniert, wenn eine neue Instanz eines Objekts erstellt wird. Jeder Version wird ein eindeutiger Objektbezeichner zugewiesen. Wenn ein Objekt zum ersten Mal erstellt wird, erhält es einen eindeutigen Versionsbezeichner und wird als aktuelle Version des Objekts gekennzeichnet. Beim Erstellen einer neuen Instanz mit dem gleichen Objektnamen erhält das neue Objekt einen eindeutigen Versionsbezeichner und wird zur aktuellen Version.
Beim Abrufen von Objekten in Key Vault kann eine bestimmte Version angegeben werden. Die Version kann auch weggelassen werden, um die neueste Version des Objekts abzurufen. Wenn in Objekten Vorgänge ausgeführt werden sollen, muss eine bestimmte Version des Objekts angegeben werden.
Hinweis
Die Werte, die Sie für Azure-Ressourcen- oder Objekt-IDs angeben, können zum Zwecke der Ausführung des Diensts global kopiert werden. Der bereitgestellte Wert sollte keine persönlich identifizierbaren oder sensiblen Informationen enthalten.