Compartir a través de


Acerca de los secretos de Azure Key Vault

Key Vault proporciona un almacenamiento seguro de secretos genéricos, como contraseñas y cadenas de conexión de base de datos.

Desde la perspectiva del desarrollador, las API de Key Vault aceptan y devuelven los valores de secreto como cadenas. Internamente, Key Vault almacena y administra secretos como secuencias de octetos (bytes de 8 bits), con un tamaño máximo de 25 000 bytes. El servicio Key Vault no proporciona semántica para los secretos. Simplemente acepta los datos, los cifra, los almacena y devuelve un identificador secreto (id). El identificador puede usarse para recuperar el secreto en un momento posterior.

Para datos altamente confidenciales, los clientes deben tener en cuenta capas adicionales de protección para los datos. Un ejemplo es el cifrado de datos mediante una clave de protección independiente antes de su almacenamiento en Key Vault.

Key Vault también admite un campo contentType para secretos. Los clientes pueden especificar el tipo de contenido de un secreto para ayudar a interpretar los datos secretos cuando se recuperan. La longitud máxima de este campo es de 255 caracteres. El uso sugerido es como sugerencia para interpretar los datos secretos. Por ejemplo, una implementación puede almacenar contraseñas y certificados como secretos y, a continuación, utilizar este campo para diferenciarlos. No hay ningún valor predefinido.

Encriptación

Todos los secretos de Key Vault se almacenan cifrados. Key Vault cifra los secretos en reposo con una jerarquía de claves de cifrado, con todas las claves de esa jerarquía protegidas por módulos compatibles con FIPS 140-2. Este cifrado es transparente y no requiere ninguna acción por parte del usuario. El servicio Azure Key Vault cifra sus secretos cuando los agrega y los descifra automáticamente cuando los lee.

La clave de hoja de cifrado de la jerarquía de claves es única para cada almacén de claves. La clave raíz de cifrado de la jerarquía de claves es única para el mundo de seguridad y está protegida por un módulo que se valida para FIPS 140-2 nivel 3 o superior.

Atributos secretos

Además los datos secretos, se pueden especificar los siguientes atributos:

  • exp: IntDate, opcional, el valor predeterminado es para siempre. El atributo exp (hora de expiración) identifica la hora de expiración en o después de la cual no se deben recuperar los datos secretos, excepto en situaciones concretas. Este campo solo tiene fines informativos , ya que informa a los usuarios del servicio del almacén de claves que puede que no se use un secreto determinado. Su valor debe ser un número que contenga un valor IntDate.
  • nbf: IntDate, opcional, el valor predeterminado es ahora. El atributo nbf (no antes) identifica el tiempo antes del cual no se deben recuperar los datos secretos, excepto en situaciones concretas. Este campo solo tiene fines informativos . Su valor debe ser un número que contenga un valor IntDate.
  • enabled: booleano, opcional, el valor predeterminado es true. Este atributo especifica si se pueden recuperar los datos secretos. El atributo enabled se usa con nbf y exp cuando se produce una operación entre nbf y exp, solo se permitirá si enabled está establecido en true. Las operaciones fuera de la ventana nbf y exp no se permiten automáticamente, excepto en situaciones concretas.

Existen atributos de solo lectura adicionales que se incluyen en cualquier respuesta que incluya atributos de secreto:

  • created: IntDate, opcional. El atributo created indica cuándo se creó esta versión del secreto. Este valor es NULL para los secretos creados antes de agregar este atributo. Su valor debe ser un número que contenga un valor IntDate.
  • updated: IntDate, opcional. El atributo updated indica cuándo se modificó esta versión del secreto. Este valor es NULL para los secretos modificados por última vez antes de agregar este atributo. Su valor debe ser un número que contenga un valor IntDate.

Para obtener información sobre los atributos comunes para cada tipo de objeto de almacén de claves, consulte Introducción a las claves, secretos y certificados de Azure Key Vault.

Operaciones controladas de fecha y hora

La operación get de un secreto funcionará para secretos aún no válidos y expirados, fuera de la ventana nbf / exp. La llamada a la operación get de un secreto, para un secreto todavía no válido, se puede usar con fines de prueba. La obtención (get) de un secreto caducado se puede utilizar para operaciones de recuperación.

Control de acceso al secreto

El control de acceso para los secretos administrados por Key Vault se proporciona en el nivel de la instancia de Key Vault que contiene esos secretos. La directiva de control de acceso para los secretos es distinta de la directiva de control de acceso para las claves en la misma instancia de Key Vault. Los usuarios pueden crear uno o varios almacenes para almacenar los secretos y están obligados a mantener la segmentación adecuada del escenario y la administración de los secretos.

Los siguientes permisos se pueden utilizar, en una base por entidad, en la entrada de control de acceso de secretos en un almacén y reflejan fielmente las operaciones permitidas en un objeto de secreto:

  • Permisos para las operaciones de administración de secretos

    • get: Leer un secreto
    • list: enumeración de los secretos o versiones de un secreto almacenado en un almacén de claves
    • set: Crear un secreto
    • delete: Eliminar un secreto
    • recover: Recuperación de un secreto eliminado
    • backup: copia de seguridad de un secreto de un almacén de claves
    • restore: restaurar una copia de seguridad de un secreto a un almacén de claves
  • Permisos para las operaciones con privilegios

    • purga: purgar (eliminar permanentemente) un secreto eliminado

Para más información sobre cómo trabajar con secretos, consulte Operaciones secretas en la referencia de la API REST de Key Vault. Para obtener información sobre cómo establecer permisos, consulte Almacenes: crear o actualizar y Almacenes: actualizar directiva de acceso.

Guías paso a paso para controlar el acceso en Key Vault:

Etiquetas del secreto

Puede especificar más metadatos específicos de la aplicación en forma de etiquetas. Key Vault admite hasta 15 etiquetas, cada una de las cuales puede tener un nombre de 512 caracteres y un valor de 512 caracteres.

Nota:

El autor de llamada puede leer las etiquetas si tienen el permiso list o get.

Escenarios de uso

Cuándo usar Ejemplos
Almacene de forma segura, administre el ciclo de vida y supervise las credenciales para la comunicación entre servicios, como contraseñas, claves de acceso, secretos de cliente de la entidad de servicio. - Uso de Azure Key Vault con una máquina virtual
- Uso de Azure Key Vault con una aplicación web de Azure

Pasos siguientes