Vue d’ensemble des clés, secrets et certificats Azure Key Vault

Azure Key Vault permet aux applications Microsoft Azure et à leurs utilisateurs de stocker et d’utiliser plusieurs types de données de secret/clé. Le fournisseur de ressources Key Vault prend en charge deux types de ressources : les coffres et les HSM managés.

Suffixes DNS pour l’URL de base

Ce tableau montre le suffixe DNS d’URL de base utilisé par le point de terminaison de plan de données pour les coffres et les pools HSM managés dans divers environnements cloud.

Environnement cloud Suffixe DNS pour les coffres Suffixe DNS pour les HSM managés
Cloud Azure .vault.azure.net .managedhsm.azure.net
Cloud Azure Chine .vault.azure.cn Non pris en charge
Azure US Government .vault.usgovcloudapi.net Non pris en charge
Cloud Azure – Allemagne .vault.microsoftazure.de Non pris en charge

Types d’objets

Ce tableau montre les types d’objet et leurs suffixes dans l’URL de base.

Type d'objet Suffixe d'URL Coffres Pools de HSM managés
Clés protégées par HSM /keys Prise en charge Pris en charge
Clés protégées par logiciel /keys Prise en charge Non pris en charge
Secrets /secrets Prise en charge Non pris en charge
Certificats /certificates Prise en charge Non pris en charge
Clés de compte de stockage /storage Prise en charge Non pris en charge
  • Clés de chiffrement : Prend en charge plusieurs algorithmes et types de clés, et permet l’utilisation de clés protégées par logiciel et par HSM. Pour plus d’informations sur les clés, consultez À propos des clés.
  • Secrets : Fournit un stockage sécurisé des secrets, comme les mots de passe et les chaînes de connexion de base de données. Pour plus d’informations, consultez À propos des secrets.
  • Certificats : Prend en charge les certificats, qui sont basés sur des clés et des secrets, et ajoute une fonctionnalité de renouvellement automatique. Gardez à l’esprit que quand un certificat est créé, une clé et un secret adressables sont également créés avec le même nom. Pour plus d’informations, consultez À propos des certificats.
  • Clés de compte Stockage Azure : Peut gérer pour vous les clés d’un compte Stockage Azure. En interne, Key Vault peut lister (synchroniser) les clés avec un compte Stockage Azure et regénérer (faire tourner) régulièrement les clés. Pour plus d’informations, consultez Gérer les clés de compte de stockage avec Key Vault.

Pour plus d’informations générales sur Key Vault, consultez À propos d’Azure Key Vault. Pour plus d’informations sur les pools de HSM managés, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?

Types de données

Reportez-vous aux spécifications JOSE pour les types de données appropriés pour les clés, le chiffrement et la signature.

  • algorithm : algorithme pris en charge pour une opération sur les clés, RSA1_5 par exemple
  • ciphertext-value : octets de texte de chiffrement, codés avec Base64URL
  • digest-value : sortie d’un algorithme de hachage, codée avec Base64URL
  • key-type : un des types de clés pris en charge, par exemple RSA (Rivest-Shamir-Adleman).
  • plaintext-value : octets de texte en clair, codés avec Base64URL
  • signature-value : sortie d’un algorithme de signature, codée avec Base64URL
  • base64URL : valeur binaire codée Base64URL [RFC4648]
  • boolean : true (vrai) ou false (faux)
  • Identity : identité d’Azure Active Directory (Azure AD).
  • IntDate : valeur décimale JSON représentant le nombre de secondes entre 1970-01-01T0:0:0Z UTC et la date/heure UTC spécifiée. Consultez la RFC3339 pour plus d’informations sur les dates/heures en général, et sur UTC en particulier.

Objets, identificateurs et gestion de versions

Les objets stockés dans Key Vault sont versionnés chaque fois qu’une nouvelle instance d’un objet est créée. Chaque version se voit assigner un identificateur unique et une URL. Quand un objet est créé, il se voit attribuer un identificateur de version unique et est marqué comme version actuelle de l’objet. La création d’une nouvelle instance portant le même nom d’objet attribue au nouvel objet un identificateur de version unique, ce qui en fait la version actuelle.

Vous pouvez récupérer les objets dans Key Vault en spécifiant une version ou en l’omettant pour obtenir la dernière version de l’objet. L’exécution d’opérations sur des objets nécessite l’indication d’une version pour utiliser une version spécifique de l’objet.

Notes

Les valeurs que vous fournissez pour les ressources ou les ID d’objet Azure peuvent être copiées globalement dans le cadre de l’exécution du service. La valeur fournie ne doit pas inclure d’informations d’identification personnelle ou sensibles.

Nom de coffre et nom d’objet

Les objets sont identifiés de façon unique dans Key Vault avec une URL. Il n’y a pas deux objets avec la même URL dans le système, quel que soit l’emplacement géographique. L’URL complète d’un objet est appelée identificateur d’objet. L’URL est constituée d’un préfixe qui identifie le coffre de clés, du type d’objet, du nom d’objet fourni par l’utilisateur et d’une version d’objet. Le nom d’objet n’est pas sensible à la casse et est non modifiable. Les identificateurs qui n’incluent pas la version d’objet sont appelés des identificateurs de base.

Pour plus d’informations, consultez Authentification, requêtes et réponses

Un identificateur d’objet a le format général suivant (selon le type de conteneur) :

  • Pour les coffres : https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Pour les pools Managed HSM : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Notes

Pour connaître les types d’objets pris en charge par chaque type de conteneur, consultez Types d’objets.

Où :

Élément Description
vault-name ou hsm-name Nom d’un coffre ou d’un pool HSM managé dans le service Microsoft Azure Key Vault.

Les noms de coffre et de pool Managed HSM sont choisis par l’utilisateur et sont globalement uniques.

Le nom d’un coffre ou d’un pool Managed HSM doit être une chaîne de 3 à 24 caractères, qui peut contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).
object-type Type de l’objet : « keys », « secrets » ou « certificates ».
object-name Un object-name est un nom fourni par l’utilisateur et doit être unique dans un coffre de clés. Le nom doit être une chaîne comprise entre 1 et 127 caractères, commençant par une lettre et qui doit contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).
object-version Un object-version est un identificateur de chaîne de 32 caractères généré par le système qui peut être utilisé pour une version unique d’un objet.

Étapes suivantes