Partager via


À propos des secrets d'Azure Key Vault

Key Vault offre un stockage sécurisé des secrets génériques, tels que les mots de passe et les chaînes de connexion de base de données.

Pour les développeurs, les API Key Vault acceptent et retournent des valeurs de secret sous forme de chaînes. En interne, Key Vault stocke et gère les secrets par séquence d’octets (8 bits), avec une taille maximale de 25 Ko chacune. Le service Key Vault ne fournit pas la sémantique pour les secrets. Il accepte simplement les données, les chiffre, les stocke et retourne un identificateur secret (id). L’identificateur peut être utilisé pour récupérer le secret ultérieurement.

Pour les données hautement sensibles, les clients doivent prendre en compte des couches de protection supplémentaires pour les données. Un exemple serait de chiffrer les données à l’aide d’une clé de protection distincte avant le stockage dans Key Vault.

Key Vault prend également en charge un champ contentType pour les secrets. Les clients peuvent spécifier le type de contenu d’un secret pour aider à interpréter les données secrètes lorsqu’elles sont récupérées. La longueur maximale de ce champ est de 255 caractères. L’utilisation suggérée est donnée à titre de conseil pour interpréter les données du secret. Par exemple, une implémentation peut stocker des mots de passe et des certificats en tant que secret. Ensuite, utilisez ce champ pour les différencier. Il n’existe aucune valeur prédéfinie.

Chiffrement

Tous les secrets de votre Key Vault sont stockés sous forme chiffrée. Key Vault chiffre les secrets au repos avec une hiérarchie de clés de chiffrement, avec toutes les clés de cette hiérarchie protégées par les modules conformes à FIPS 140-2. Ce chiffrement est transparent et ne nécessite aucune action de la part de l’utilisateur. Le service Azure Key Vault chiffre vos secrets lorsque vous les ajoutez et les déchiffre automatiquement quand vous les lisez.

La clé de chiffrement de niveau feuille de la hiérarchie de clés est unique pour chaque coffre de clés. La clé racine de chiffrement de la hiérarchie de clés est unique pour le monde de la sécurité et est protégée par un module validé pour FIPS 140-2 Niveau 3 ou supérieur.

Attributs du secret

Les attributs suivants peuvent être spécifiés en plus des données du secret :

  • exp : IntDate, facultatif, la valeur par défaut est pour toujours. L’attribut exp (heure d’expiration) identifie l’heure d’expiration sur ou après laquelle les données secrètes NE DOIVENT PAS être récupérées, sauf dans des situations particulières. Ce champ est à des fins d’information uniquement, car il informe les utilisateurs du service key vault qu’un secret particulier ne peut pas être utilisé. Sa valeur DOIT être un nombre contenant une valeur IntDate.
  • nbf : IntDate, facultatif, la valeur par défaut est maintenant. L’attribut nbf (pas avant) identifie l’heure avant laquelle les données secrètes NE DOIVENT PAS être récupérées, sauf dans des situations particulières. Ce champ est uniquement à des fins d’information . Sa valeur DOIT être un nombre contenant une valeur IntDate.
  • enabled : booléen, facultatif, true par défaut. Cet attribut spécifie si les données du secret peuvent être récupérées. L’attribut activé est utilisé avec nbf et exp lorsqu’une opération se produit entre nbf et exp, elle n’est autorisée que si activé est défini sur true. Les opérations en dehors de la fenêtre nbf et exp sont automatiquement interdites, sauf dans des situations particulières.

Des attributs supplémentaires en lecture seule sont inclus dans toute réponse contenant des attributs de secret :

  • created : IntDate, facultatif. L’attribut created indique quand cette version du secret a été créée. Cette valeur est null pour les secrets créés avant l’ajout de cet attribut. Sa valeur doit être un nombre contenant une valeur IntDate.
  • updated : IntDate, facultatif. L’attribut updated indique quand cette version du secret a été mise à jour. Cette valeur est null pour les secrets qui ont été mis à jour pour la dernière fois avant l’ajout de cet attribut. Sa valeur doit être un nombre contenant une valeur IntDate.

Pour plus d’informations sur les attributs courants pour chaque type d’objet key vault, consultez la vue d’ensemble des clés, des secrets et des certificats Azure Key Vault

Opérations contrôlées par date/heure

L’opération d’obtention d’un secret fonctionnera pour les secrets non encore valides et expirés, en dehors de la fenêtre nbf / exp . Appeler l’opération d’obtention d’un secret, pour un secret non encore valide, peut être utilisé à des fins de test. La récupération (opération getting) d’un secret expiré peut être utilisée pour des opérations de récupération.

Contrôle d’accès aux secrets

Le contrôle d’accès pour les secrets géré dans Key Vault est fourni au niveau du coffre de clés qui contient ces secrets. La stratégie de contrôle d’accès pour les secrets est différente de la stratégie de contrôle d’accès pour les clés dans un même coffre de clés. Les utilisateurs peuvent créer un ou plusieurs coffres pour stocker les secrets et doivent maintenir une segmentation et une gestion des secrets appropriées au scénario.

Les autorisations suivantes peuvent être utilisées, par principal, dans l’entrée de contrôle d’accès aux secrets sur un coffre, et reflètent précisément les opérations autorisées sur un objet secret :

  • Autorisations pour les opérations de gestion de secrets

    • get : Lire un secret
    • list : répertorier les secrets ou les versions d’un secret stocké dans un coffre de clés
    • set : Créer un secret
    • delete : supprimer un secret
    • récupérer : récupérer un secret supprimé
    • sauvegarde : sauvegarder un secret dans un coffre de clés
    • restore : restaurer un secret sauvegardé sur un coffre de clés
  • Autorisations pour les opérations privilégiées

    • purge : purger (supprimer définitivement) un secret supprimé

Pour plus d’informations sur l’utilisation des secrets, consultez les opérations secrètes dans la référence de l’API REST Key Vault. Pour plus d’informations sur l’établissement des autorisations, consultez Coffres - Créer ou mettre à jour et coffres - Mettre à jour la stratégie d’accès.

Guides pratiques pour contrôler l’accès dans Key Vault :

Balises de secret

Vous pouvez spécifier d’autres métadonnées spécifiques à l’application sous la forme d’étiquettes. Key Vault prend en charge jusqu’à 15 balises, chacune pouvant avoir un nom de 512 caractères et une valeur de 512 caractères.

Remarque

Les étiquettes peuvent être lues par un appelant s’il dispose de l’autorisation list ou get.

Scénarios d’utilisation

Quand utiliser Exemples
Stockez, gérez en toute sécurité le cycle de vie et surveillez les informations d’identification pour la communication de service à service, comme les mots de passe, les clés d’accès, les clés secrètes client du principal de service. - Utiliser Azure Key Vault avec une machine virtuelle
- Utiliser Azure Key Vault avec une application web Azure

Étapes suivantes