Az Azure Key Vault kulcsainak, titkos kulcsainak és tanúsítványainak áttekintése

Az Azure Key Vault lehetővé teszi, hogy Microsoft Azure-alkalmazások és -felhasználók többféle titkos/kulcs típusú adatot tároljanak és használjanak. Key Vault erőforrás-szolgáltató két erőforrástípust támogat: tárolókat és felügyelt HSM-eket.

DNS-utótagok az alap URL-címhez

Az alábbi táblázat a különböző felhőkörnyezetekben lévő tárolókhoz és felügyelt HSM-készletekhez használt adatsíkvégpont által használt alap URL DNS-utótagot mutatja be.

Felhőkörnyezet DNS-utótag tárolókhoz DNS-utótag felügyelt HSM-ekhez
Azure Cloud .vault.azure.net .managedhsm.azure.net
Azure China Cloud .vault.azure.cn Nem támogatott
Azure US Government .vault.usgovcloudapi.net Nem támogatott
Azure German Cloud .vault.microsoftazure.de Nem támogatott

Objektumtípusok

Az alábbi táblázat az objektumtípusokat és azok utótagját mutatja az alap URL-címben.

Objektumtípus URL-utótag Kulcstartók Felügyelt HSM-készletek
HSM-védett kulcsok /Kulcsok Támogatott Támogatott
Szoftveres védelem alatt álló kulcsok /Kulcsok Támogatott Nem támogatott
Titkos kulcsok /Titkok Támogatott Nem támogatott
Tanúsítványok /Tanúsítványok Támogatott Nem támogatott
Tárfiókkulcsok /Tároló Támogatott Nem támogatott
  • Titkosítási kulcsok: Több kulcstípust és algoritmust támogat, és lehetővé teszi a szoftveres és HSM által védett kulcsok használatát. További információ: A kulcsok ismertetése.
  • Titkos kódok: Biztonságosan tárolja a titkos kulcsokat, például a jelszavakat és az adatbázis-kapcsolati sztringeket. További információ: Tudnivalók a titkos kódokról.
  • Tanúsítványok: Támogatja a kulcsokra és titkos kódokra épülő tanúsítványokat, és automatikus megújítási funkciót ad hozzá. Ne feledje, hogy a tanúsítvány létrehozásakor a rendszer egy címzhető kulcsot és titkos kulcsot is létrehoz ugyanazzal a névvel. További információ: Tudnivalók a tanúsítványokról.
  • Azure Storage-fiókkulcsok: Kezelheti egy Azure Storage-fiók kulcsait. Belsőleg Key Vault listázhatja (szinkronizálhatja) a kulcsokat egy Azure Storage-fiókkal, és rendszeres időközönként újra létrehozhatja (elforgathatja) a kulcsokat. További információ: Tárfiókkulcsok kezelése Key Vault.

A Key Vault kapcsolatos általános információkért lásd: Az Azure Key Vault ismertetése. További információ a felügyelt HSM-készletekről: Mi az az Azure Key Vault Managed HSM?

Adattípusok

A kulcsok, titkosítás és aláírás megfelelő adattípusait a JOSE specifikációiban találhatja meg.

  • algoritmus – egy kulcsművelet támogatott algoritmusa, például RSA1_5
  • ciphertext-value – Titkosító szöveg oktettjei, Base64URL használatával kódolva
  • digest-value – a Base64URL használatával kódolt kivonatoló algoritmus kimenete
  • key-type – az egyik támogatott kulcstípus, például RSA (Rivest-Shamir-Adleman).
  • plaintext-value – egyszerű szöveges oktett, Base64URL használatával kódolva
  • signature-value – a Base64URL használatával kódolt aláírási algoritmus kimenete
  • base64URL – egy Base64URL [RFC4648] kódolású bináris érték
  • logikai – igaz vagy hamis
  • Identitás – az Azure Active Directoryból (AAD) származó identitás.
  • IntDate – egy JSON decimális érték, amely az 1970-01-01T0:0:0Z UTC és a megadott UTC dátum/idő közötti másodpercek számát jelöli. A dátummal/időpontokkal kapcsolatos részletekért lásd az RFC3339-et, és különösen az UTC-t.

Objektumok, azonosítók és verziószámozás

A Key Vault tárolt objektumok verziószámozottak lesznek, amikor új objektumpéldány jön létre. Minden verzióhoz egyedi azonosító és URL-cím tartozik. Egy objektum első létrehozásakor egyedi verzióazonosítót kap, és az objektum aktuális verziójaként lesz megjelölve. Ha egy új példányt ugyanazzal az objektumnévvel hoz létre, az egyedi verzióazonosítót ad az új objektumnak, ami az aktuális verzióvá válik.

A Key Vault objektumai egy verzió megadásával vagy a verzió kihagyásával újrapróbálkozhatók az objektum legújabb verziójának lekéréséhez. Az objektumokon végzett műveletek elvégzéséhez az objektum adott verziójának használatához meg kell adni a verziót.

Megjegyzés

Az Azure-erőforrás- vagy objektumazonosítókhoz megadott értékek globálisan másolhatók a szolgáltatás futtatása céljából. A megadott érték nem tartalmazhat személyazonosításra alkalmas vagy bizalmas információkat.

Tárolónév és objektumnév

Az objektumok egyedileg vannak azonosítva Key Vault URL-cím használatával. A rendszerben egyetlen objektum sem rendelkezik ugyanazzal az URL-címmel, a földrajzi helytől függetlenül. Az objektum teljes URL-címét objektumazonosítónak nevezzük. Az URL-cím egy előtagból áll, amely azonosítja a Key Vault, az objektum típusát, a felhasználó által megadott objektumnevet és egy objektumverziót. Az objektumnév nem különbözteti meg a kis- és nagybetűket, és nem módosítható. Az objektumverziót nem tartalmazó azonosítókat alapazonosítóknak nevezzük.

További információ: Hitelesítés, kérések és válaszok

Egy objektumazonosító a következő általános formátummal rendelkezik (a tároló típusától függően):

  • Tárolók esetén: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Felügyelt HSM-készletek esetén: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Megjegyzés

Lásd: Objektumtípus-támogatás az egyes tárolótípusok által támogatott objektumtípusokhoz.

Ahol:

Elem Leírás
vault-name vagy hsm-name Egy tároló vagy egy felügyelt HSM-készlet neve az Microsoft Azure Key Vault szolgáltatásban.

A tárolóneveket és a felügyelt HSM-készletneveket a felhasználó választja ki, és globálisan egyediek.

A tároló nevének és a felügyelt HSM-készlet nevének 3–24 karakteres sztringnek kell lennie, amely csak 0-9, a-z, A-Z és - karaktert tartalmaz.
object-type Az objektum típusa, "kulcsok", "titkos kódok" vagy "tanúsítványok".
object-name Az a object-name felhasználó által megadott név, és egyedinek kell lennie egy Key Vault belül. A névnek egy 1–127 karakterből álló karakterláncnak kell lennie, amely betűvel kezdődik, és csak 0-9, a-z, A-Z és - karaktert tartalmaz.
object-version Az an object-version egy rendszer által létrehozott, 32 karakterből álló sztringazonosító, amely opcionálisan egy objektum egyedi verziójának kezelésére használható.

Következő lépések