Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Key Vault proporciona almacenamiento seguro para secretos genéricos, como contraseñas y cadenas de conexión de base de datos.
Desde la perspectiva del desarrollador, las API de Key Vault aceptan y devuelven los valores de secreto como cadenas. Internamente, Key Vault almacena y administra secretos como secuencias de octetos (bytes de 8 bits), con un tamaño máximo de 25 KB cada uno. El servicio Key Vault no proporciona semántica para los secretos. Simplemente acepta los datos, los cifra, los almacena y devuelve un identificador secreto (id). Puede usar el identificador para recuperar el secreto más adelante.
Para datos altamente confidenciales, considere la posibilidad de agregar capas adicionales de protección. Por ejemplo, cifre los datos mediante una clave de protección independiente antes de almacenarlos en Key Vault.
Key Vault también admite un campo contentType para secretos. Los clientes pueden especificar el tipo de contenido de un secreto para ayudar a interpretar los datos secretos cuando se recuperan. La longitud máxima de este campo es de 255 caracteres. El uso sugerido es como sugerencia para interpretar los datos secretos. Por ejemplo, una implementación podría almacenar contraseñas y certificados como secretos y, a continuación, usar este campo para diferenciar. No hay ningún valor predefinido.
Encriptación
Key Vault almacena todos los secretos en el almacén de claves como datos cifrados. Key Vault cifra los secretos en reposo mediante una jerarquía de claves de cifrado y los módulos compatibles con FIPS 140-2 protegen todas las claves de esa jerarquía. Este cifrado es transparente y no requiere ninguna acción de usted. El servicio Azure Key Vault cifra los secretos al agregarlos y los descifra automáticamente al leerlos.
La clave de hoja de cifrado de la jerarquía de claves es única para cada almacén de claves. La clave raíz de cifrado de la jerarquía de claves es única para el mundo de seguridad y está protegida por un módulo validado para FIPS 140-2 nivel 3 o superior.
Atributos secretos
Además de los datos secretos, puede especificar los siguientes atributos:
- exp: IntDate, opcional, el valor predeterminado es para siempre. El atributo exp (hora de expiración) establece la hora de expiración en o después de la cual no se deben recuperar los datos secretos, excepto en situaciones concretas. Este campo solo tiene fines informativos , ya que informa a los usuarios del servicio del almacén de claves que puede que no se use un secreto determinado. Su valor debe ser un número que contenga un valor IntDate.
- nbf: IntDate, opcional, el valor predeterminado es ahora. El atributo nbf (no antes) establece la hora en la que no se deben recuperar los datos secretos, excepto en situaciones concretas. Este campo solo tiene fines informativos . Su valor debe ser un número que contenga un valor IntDate.
- enabled: booleano, opcional, el valor predeterminado es true. Este atributo especifica si se pueden recuperar los datos secretos. Use el atributo habilitado con nbf y exp. Cuando se produce una operación entre nbf y exp, la operación solo se permite si enabled está establecida en true. Las operaciones fuera de la ventana nbf y exp no se permiten automáticamente, excepto en situaciones concretas.
Los siguientes atributos de solo lectura se incluyen en cualquier respuesta que incluya atributos secretos:
- created: IntDate, opcional. El atributo created indica cuándo se creó esta versión del secreto. Este valor es NULL para los secretos creados antes de agregar este atributo. Su valor debe ser un número que contenga un valor IntDate.
- updated: IntDate, opcional. El atributo updated indica cuándo se modificó esta versión del secreto. Este valor es NULL para los secretos modificados por última vez antes de agregar este atributo. Su valor debe ser un número que contenga un valor IntDate.
Para obtener información sobre los atributos comunes de cada tipo de objeto de almacén de claves, consulte Información general sobre claves, secretos y certificados de Azure Key Vault.
Operaciones controladas de fecha y hora
La operación get de un secreto funciona para secretos aún no válidos y expirados, fuera de la ventana nbf / exp. La llamada a la operación get de un secreto, para un secreto todavía no válido, se puede usar con fines de prueba. La recuperación (get) de un secreto caducado se puede utilizar para operaciones de recuperación.
Control de acceso al secreto
El control de acceso para secretos administrados en Key Vault se proporciona en el nivel del almacén de claves que contiene esos secretos. La directiva de control de acceso para los secretos es distinta de la directiva de control de acceso para las claves en la misma instancia de Key Vault. Los usuarios pueden crear uno o varios almacenes para almacenar los secretos y están obligados a mantener la segmentación adecuada del escenario y la administración de los secretos.
Utilice los siguientes permisos, por entidad, en la entrada de control de acceso de secretos en un almacén. Estos permisos reflejan estrechamente las operaciones permitidas en un objeto secreto:
Permisos para las operaciones de administración de secretos
- get: Leer un secreto
- list: enumeración de los secretos o versiones de un secreto almacenado en un almacén de claves
- set: Crear un secreto
- delete: Eliminar un secreto
- recover: Recuperación de un secreto eliminado
- backup: copia de seguridad de un secreto de un almacén de claves
- restore: restaurar una copia de seguridad de un secreto a un almacén de claves
Permisos para las operaciones con privilegios
- purga: purgar (eliminar permanentemente) un secreto eliminado
Para más información sobre cómo trabajar con secretos, consulte Operaciones secretas en la referencia de la API REST de Key Vault. Para obtener información sobre cómo establecer permisos, consulte Almacenes: crear o actualizar y Almacenes: actualizar directiva de acceso.
Guías paso a paso para controlar el acceso en Key Vault:
- Asignación de una directiva de acceso de Key Vault mediante la CLI
- Asignación de una directiva de acceso de Key Vault mediante PowerShell
- Asignación de una directiva de acceso de Key Vault mediante Azure Portal
- Proporcionar acceso a claves, certificados y secretos de Key Vault con un control de acceso basado en rol de Azure
Etiquetas del secreto
Puede especificar metadatos específicos de la aplicación adicionales en forma de etiquetas. Key Vault admite hasta 15 etiquetas, cada una de las cuales puede tener un nombre de 512 caracteres y un valor de 512 caracteres.
Nota:
Si una persona que llama tiene el permiso list o get, puede leer etiquetas.
Escenarios de uso
| Cuándo usar | Ejemplos |
|---|---|
| Almacene de forma segura, administre el ciclo de vida y supervise las credenciales para la comunicación entre servicios, como contraseñas, claves de acceso, secretos de cliente de la entidad de servicio. |
-
Uso de Azure Key Vault con una máquina virtual - Uso de Azure Key Vault con una aplicación web de Azure |
Pasos siguientes
- Administración de claves en Azure
- Procedimientos recomendados para la administración de secretos en Key Vault
- Acerca de Key Vault
- Acerca de las claves, los secretos y los certificados
- Asignación de una directiva de acceso de Key Vault
- Proporcionar acceso a claves, certificados y secretos de Key Vault con un control de acceso basado en rol de Azure
- Protección del acceso a un almacén de claves
- Guía del desarrollador de Key Vault