Guía del desarrollador de Azure Key Vault

Azure Key Vault le permite acceder de forma segura a información confidencial desde sus aplicaciones:

  • Las claves, los secretos y los certificados estarán protegidos sin que tenga que escribir el código manualmente, y puede usar estos elementos fácilmente en sus aplicaciones.
  • Permite a los clientes poseer y administrar sus propios secretos, claves y certificados, para poder así concentrarse en proporcionar las características de software principales. De este modo, las aplicaciones no serán responsables de las claves, secretos y certificados del inquilino de sus clientes.
  • La aplicación puede usar claves para la firma y el cifrado, pero también mantiene la opción de administrar de forma externa las claves de la aplicación. Para más información, consulte Acerca de las claves.
  • Puede administrar credenciales, como contraseñas, claves de acceso y tokens de SAS almacenándolas en Key Vault como secretos. Para más información, consulte Acerca de los secretos.
  • Administrar certificados. Para más información, consulte Acerca de los certificados.

Para obtener información general sobre Azure Key Vault, consulte Acerca de Azure Key Vault.

Versiones preliminares públicas

Periódicamente se publica una versión preliminar pública de una nueva característica de Key Vault. Pruebe las características de la versión preliminar públicas y díganos lo que piensa a través de nuestra dirección de correo electrónico para enviar comentarios, azurekeyvault@microsoft.com.

Creación y administración de almacenes de claves

Igual que sucede con otros servicios de Azure, Key Vault se administra mediante Azure Resource Manager. Azure Resource Manager es el servicio de implementación y administración para Azure. Puede usarlo para crear, actualizar y eliminar recursos en su cuenta de Azure.

El control de acceso basado en roles (RBAC) de Azure controla el acceso a la capa de administración, también conocida como plano de administración. El plano de administración se usa en Key Vault para crear y administrar almacenes de claves y sus atributos, incluidas las directivas de acceso. Puede usar el plano de datos para administrar claves, certificados y secretos.

Asimismo, puede usar el rol de colaborador de Key Vault predefinido para conceder acceso de administración a Key Vault.

API y SDK para la administración del almacén de claves

Azure CLI PowerShell API DE REST Resource Manager .NET Python Java JavaScript
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia Referencia
Guía de inicio rápido
Referencia Referencia Referencia Referencia

Consulte las Bibliotecas de cliente para ver los paquetes de instalación y el código fuente.

Autenticación en Key Vault mediante el código

Key Vault usa la autenticación de Azure Active Directory (Azure AD), que requiere una entidad de seguridad de Azure AD para conceder acceso. Una entidad de seguridad de Azure AD puede ser un usuario, una entidad de servicio de aplicación, una identidad administrada para recursos de Azure o un grupo de cualquier tipo.

Procedimientos recomendados de autenticación

Se recomienda usar la identidad administrada para las aplicaciones implementadas en Azure. Si usa servicios de Azure que no admitan identidades administradas o si las aplicaciones se implementan de forma local, la entidad de servicio con un certificado es una alternativa posible. En ese escenario, el certificado se debe almacenar en Key Vault y se debe rotar a menudo.

Use una entidad de servicio con un secreto para entornos de desarrollo y pruebas. Use una entidad de seguridad de usuario para el desarrollo local y Azure Cloud Shell.

Se recomiendan estas entidades de seguridad en cada entorno:

  • Entorno de producción: identidad administrada o entidad de servicio con un certificado.
  • Entornos de desarrollo y pruebas: identidad administrada, entidad de servicio con un certificado o entidad de servicio con un secreto.
  • Desarrollo local: entidad de seguridad de usuario o entidad de servicio con un secreto.

Bibliotecas cliente de Azure Identity

Los escenarios de autenticación anteriores son compatibles con la biblioteca cliente de Azure Identity y se integran con los SDK de Key Vault. Puede usar la biblioteca cliente de Azure Identity en entornos y plataformas sin cambiar el código. La biblioteca recupera automáticamente los tokens de autenticación de los usuarios que han iniciado sesión en el usuario de Azure a través de la CLI de Azure, Visual Studio, Visual Studio Code y otros medios.

Para obtener más información acerca de la biblioteca cliente de Azure Identity, consulte:

.NET Python Java JavaScript
SDK .NET de Azure Identity SDK Python de Azure Identity SDK Java de Azure Identity SDK JavaScript de Azure Identity

Nota:

Se recomienda la biblioteca de autenticación de aplicaciones para la versión 3 del SDK de .NET de Key Vault, pero ahora está en desuso. Para migrar al SDK de .NET de Key Vault, versión 4, siga las instrucciones de migración de AppAuthentication a Azure.Identity.

Para ver tutoriales sobre la autenticación en Key Vault en las aplicaciones, consulte:

Administración de claves, certificados y secretos

El plano de datos controla el acceso a claves, certificados y secretos. Puede usar directivas de acceso del almacén local o RBAC de Azure para el control de acceso a través del plano de datos.

API y SDK para claves

Azure CLI PowerShell API DE REST Resource Manager .NET Python Java JavaScript
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido

API y SDK para certificados

Azure CLI PowerShell API DE REST Resource Manager .NET Python Java JavaScript
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia N/D Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido

API y SDK para secretos

Azure CLI PowerShell API DE REST Resource Manager .NET Python Java JavaScript
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido
Referencia
Guía de inicio rápido

Uso de secretos

Use Azure Key Vault para almacenar solo secretos para su aplicación. Los ejemplos de secretos que se deben almacenar en Key Vault incluyen:

  • Secretos de aplicación cliente
  • Cadenas de conexión
  • Contraseñas
  • Claves de acceso compartidas
  • Claves SSH

Asimismo, cualquier información relacionada con los secretos, como los nombres de usuario o los id. de aplicaciones, se puede almacenar como una etiqueta en el secreto. Para realizar cualquier otra configuración de información confidencial, debe usar Azure App Configuration.

Referencias

Consulte las Bibliotecas de cliente para ver los paquetes de instalación y el código fuente.

Para obtener más información sobre la seguridad del plano de datos de Key Vault, consulte Características de seguridad de Azure Key Vault.

Uso de Key Vault en aplicaciones

Para aprovechar las características más recientes de Key Vault, se recomienda usar los SDK de Key Vault disponibles para usar secretos, certificados y claves en la aplicación. Los SDK de Key Vault y la API de REST se actualizan a medida que se presentan nuevas características para el producto; recuerde que siguen los procedimientos recomendados y las instrucciones.

En escenarios básicos, existen otras bibliotecas y soluciones de integración para un uso simplificado, con soporte proporcionado por asociados de Microsoft o comunidades de código abierto.

Para los certificados, puede usar:

Para los secretos, puede usar:

Ejemplos de código

Para obtener ejemplos completos del uso de Key Vault con aplicaciones, consulte Ejemplos de código de Azure Key Vault.

Guía específica de tareas

Los artículos y escenarios siguientes proporcionan instrucciones específicas de tarea sobre cómo trabajar con Azure Key Vault:

Integración con Key Vault

Los siguientes servicios y escenarios usan o se integran con Key Vault:

  • El cifrado en reposo permite la codificación (cifrado) de datos cuando se conserva. Las claves de cifrado de datos se cifran a menudo con la clave de cifrado de claves en Azure Key Vault para limitar aún más el acceso.
  • Azure Information Protection le permite administrar su propia clave de inquilino. Por ejemplo, en lugar de que Microsoft administre su clave de inquilino (la opción predeterminada), puede administrar su propia clave de inquilino para cumplir con las normas específicas que se aplican a su organización. Administrar su propia clave de inquilino también se denomina bring your own key (BYOK).
  • Azure Private Link le permite acceder a los servicios de Azure (por ejemplo, Azure Key Vault, Azure Storage y Azure Cosmos DB) y a los servicios de asociados o clientes hospedados de Azure mediante un punto de conexión privado de la red virtual.
  • La integración de Key Vault con Azure Event Grid permite a los usuarios recibir una notificación cuando cambia el estado de un secreto almacenado en Key Vault. Puede distribuir la nueva versión de los secretos en las aplicaciones, o cambiar los secretos que estén a punto de expirar para evitar interrupciones.
  • Puede proteger los secretos de Azure DevOps de accesos no deseados en Key Vault.
  • Use secretos almacenados en Key Vault para conectarse a Azure Storage desde Azure Databricks.
  • Configure y ejecute el proveedor de Azure Key Vault correspondiente al controlador Secrets Store CSI en Kubernetes.

Conceptos y datos globales de Key Vault

Para obtener información acerca de cómo:

Redes sociales