Az Azure Key Vault fejlesztői útmutatója
Az Azure Key Vault lehetővé teszi a bizalmas adatok biztonságos elérését az alkalmazásokon belül:
- A kulcsokat, titkos kulcsokat és tanúsítványokat anélkül védi a rendszer, hogy saját maga kellene írnia a kódot, és egyszerűen használhatja őket az alkalmazásokból.
- Lehetővé teszi az ügyfelek számára, hogy saját kulcsokat, titkos kulcsokat és tanúsítványokat birtokoljanak és kezeljenek, hogy az alapvető szoftverfunkciók biztosítására összpontosíthasson. Ily módon az alkalmazások nem rendelkeznek az ügyfelek bérlői kulcsainak, titkos kulcsainak és tanúsítványainak felelősségével vagy lehetséges felelősségével.
- Az alkalmazás használhat kulcsokat az aláíráshoz és a titkosításhoz, de a kulcskezelést kívülről is megtarthatja az alkalmazástól. További információt a Kulcsok ismertetése című témakörben talál.
- A hitelesítő adatokat, például jelszavakat, hozzáférési kulcsokat és SAS-jogkivonatokat úgy kezelheti, hogy titkos kulcsként tárolja őket a Key Vaultban. További információ: Tudnivalók a titkos kódokról.
- Tanúsítványok kezelése. További információ: Tudnivalók a tanúsítványokról.
Az Azure Key Vaultra vonatkozó általános információkért tekintse meg az Azure Key Vaultról szóló témakört.
Nyilvános előzetes verziók
Rendszeresen nyilvános előzetes verziót adunk ki egy új Key Vault-funkcióról. Próbálja ki a nyilvános előzetes verzió funkcióit, és tudassa velünk, hogy mit gondol a visszajelzési e-mail-címünkön keresztül azurekeyvault@microsoft.com.
Kulcstartók létrehozása és kezelése
Más Azure-szolgáltatásokhoz hasonlóan a Key Vault kezelése az Azure Resource Manageren keresztül történik. Az Azure Resource Manager az Azure üzembehelyezési és felügyeleti szolgáltatása. Használatával erőforrásokat hozhat létre, frissíthet és törölhet az Azure-fiókjában.
Az Azure szerepköralapú hozzáférés-vezérlése (RBAC) szabályozza a felügyeleti réteghez, más néven felügyeleti síkhoz való hozzáférést. A Key Vault felügyeleti síkjával hozhat létre és kezelhet kulcstartókat és attribútumaikat, beleértve a hozzáférési szabályzatokat is. Az adatsík használatával kezelheti a kulcsokat, a tanúsítványokat és a titkos kulcsokat.
Az előre definiált Key Vault-közreműködői szerepkör használatával felügyeleti hozzáférést biztosíthat a Key Vaulthoz.
API-k és SDK-k a Key Vault kezeléséhez
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia | Referencia Gyors útmutató |
Referencia | Referencia | Referencia | Referencia |
A telepítési csomagokról és a forráskódról lásd az ügyfélkódtárakat.
Hitelesítés a Key Vaultban kódban
A Key Vault Microsoft Entra-hitelesítést használ, amelyhez egy Microsoft Entra biztonsági tag szükséges a hozzáférés biztosításához. A Microsoft Entra biztonsági tag lehet felhasználó, alkalmazás-szolgáltatásnév, Azure-erőforrások felügyelt identitása vagy ezek bármelyikének csoportja.
Ajánlott hitelesítési eljárások
Javasoljuk, hogy az Azure-ban üzembe helyezett alkalmazásokhoz használjon felügyelt identitást. Ha olyan Azure-szolgáltatásokat használ, amelyek nem támogatják a felügyelt identitásokat, vagy ha az alkalmazások a helyszínen vannak üzembe helyezve, lehetséges alternatíva egy tanúsítványt tartalmazó szolgáltatásnév. Ebben az esetben a tanúsítványt a Key Vaultban kell tárolni, és gyakran kell elforgatni.
A fejlesztési és tesztelési környezetekhez használjon titkos titkos kóddal rendelkező szolgáltatásnevet. Használjon egyszerű felhasználót a helyi fejlesztéshez és az Azure Cloud Shellhez.
Ezeket a biztonsági tagokat minden környezetben javasoljuk:
- Éles környezet: Felügyelt identitás vagy szolgáltatásnév tanúsítvánnyal.
- Tesztelési és fejlesztési környezetek: Felügyelt identitás, tanúsítványsal rendelkező szolgáltatásnév vagy titkos szolgáltatásnév.
- Helyi fejlesztés: Felhasználónév vagy szolgáltatásnév titkos kóddal.
Azure Identity-ügyfélkódtárak
A fenti hitelesítési forgatókönyveket az Azure Identity-ügyfélkódtár támogatja, és integrálva van a Key Vault SDK-kkal. Az Azure Identity-ügyfélkódtárat a kód módosítása nélkül használhatja különböző környezetekben és platformokon. A kódtár automatikusan lekéri a hitelesítési jogkivonatokat az Azure-felhasználóba bejelentkezett felhasználóktól az Azure CLI, a Visual Studio, a Visual Studio Code és más eszközök használatával.
Az Azure Identity ügyfélkódtárával kapcsolatos további információkért lásd:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Feljegyzés
A Key Vault .NET SDK 3-ás verziójához ajánlott alkalmazáshitelesítési kódtár , de már elavult. A Key Vault .NET SDK 4-es verziójára való migráláshoz kövesse az AppAuthentication és az Azure.Identity migrálási útmutatóját.
Az alkalmazásokBan a Key Vaultban történő hitelesítésről az alábbi oktatóanyagok szólnak:
- Az Azure Key Vault használata virtuális géppel a .NET-ben
- Az Azure Key Vault használata virtuális géppel a Pythonban
- A Key Vault és egy Azure-webalkalmazás összekapcsolása felügyelt identitással a .NET-ben
Kulcsok, tanúsítványok és titkos kódok kezelése
Feljegyzés
A .NET, a Python, a Java, a JavaScript, a PowerShell és az Azure CLI SDK-jai a Key Vault szolgáltatás kiadási folyamatának részét képezik nyilvános előzetes verzióval és általános rendelkezésre állással a Key Vault szolgáltatás csapatának támogatásával. A Key Vaulthoz tartozó egyéb SDK-ügyfelek is elérhetők, de azokat az egyes SDK-csapatok a GitHubon építik fel és támogatják, és a csapatütemezésben bocsátják ki őket.
Az adatsík szabályozza a kulcsokhoz, tanúsítványokhoz és titkos kódokhoz való hozzáférést. Az adatsíkon keresztüli hozzáférés-vezérléshez használhat helyi tároló-hozzáférési szabályzatokat vagy Azure RBAC-t.
API-k és SDK-k kulcsokhoz
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia | Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Egyéb kódtárak
Titkosítási ügyfél a Key Vaulthoz és a felügyelt HSM-hez
Ez a modul egy titkosítási ügyfelet biztosít a Go-hoz készült Azure Key Vault Keys ügyfélmodulhoz.
Feljegyzés
Ezt a projektet az Azure SDK csapata nem támogatja, de más támogatott nyelvek titkosítási ügyfeleihez igazodik.
| Nyelv | Referencia |
|---|---|
| Go | Referencia |
API-k és SDK-k tanúsítványokhoz
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia | n/a | Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
API-k és SDK-k titkos kódokhoz
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia | Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Referencia Gyors útmutató |
Titkos kódok használata
Az Azure Key Vault használatával csak az alkalmazás titkos kulcsait tárolhatja. A Key Vaultban tárolandó titkos kódok például a következők:
- Ügyfélalkalmazás titkos kódjai
- Kapcsolati sztringek
- Jelszavak
- Megosztott hozzáférési kulcsok
- SSH-kulcsok
A titkos kóddal kapcsolatos információk, például a felhasználónevek és az alkalmazásazonosítók, egy titkos kód címkéjeként tárolhatók. Minden más bizalmas konfigurációs beállításhoz Azure-alkalmazás Konfigurációt kell használnia.
Hivatkozások
A telepítési csomagokról és a forráskódról lásd az ügyfélkódtárakat.
A Key Vault adatsík-biztonságáról további információt az Azure Key Vault biztonsági funkcióiban talál.
A Key Vault használata alkalmazásokban
A Key Vault legújabb funkcióinak kihasználása érdekében javasoljuk, hogy használja az elérhető Key Vault SDK-kat titkos kulcsok, tanúsítványok és kulcsok alkalmazásbeli használatához. A Key Vault SDK-k és a REST API frissülnek, mivel új funkciók jelennek meg a termékhez, és követik az ajánlott eljárásokat és irányelveket.
Az alapforgatókönyvek esetében más kódtárak és integrációs megoldások is rendelkezésre állnak az egyszerűsített használathoz, a Microsoft-partnerek vagy a nyílt forráskódú közösségek támogatásával.
A tanúsítványokhoz a következőt használhatja:
- A Key Vault virtuálisgép-bővítmény, amely automatikusan frissíti az Azure-kulcstartóban tárolt tanúsítványokat. További információ:
- Azure-alkalmazás szolgáltatásintegráció, amely képes tanúsítványokat importálni és automatikusan frissíteni a Key Vaultból. További információ: Tanúsítvány importálása a Key Vaultból.
Titkos kódok esetén a következőt használhatja:
- Key Vault-titkos kulcsok az App Service alkalmazásbeállításaival. További információ: Key Vault-hivatkozások használata az App Service-hez és az Azure Functionshez.
- Key Vault-hivatkozások Azure-alkalmazás konfigurációval az alkalmazás konfigurációhoz és titkos kódokhoz való hozzáférésének egyszerűsítése érdekében. További információ: Key Vault-hivatkozások használata Azure-alkalmazás konfigurációban.
Kódpéldák
A Key Vault alkalmazásokkal való használatára vonatkozó teljes példákért tekintse meg az Azure Key Vault kódmintáit.
Feladatspecifikus útmutató
Az alábbi cikkek és forgatókönyvek feladatspecifikus útmutatást nyújtanak az Azure Key Vault használatához:
- A kulcstartó eléréséhez az ügyfélalkalmazásnak több végponthoz is hozzá kell férnie a különböző funkciókhoz. Lásd: A Key Vault elérése tűzfal mögött.
- Egy Azure-beli virtuális gépen futó felhőalkalmazásnak tanúsítványra van szüksége. Hogyan szerezheti be ezt a tanúsítványt ebbe a virtuális gépbe? Lásd: Key Vault virtuálisgép-bővítmény Windowshoz vagy Linuxhoz készült Key Vault virtuálisgép-bővítményhez.
- Ha hozzáférési szabályzatot szeretne hozzárendelni az Azure CLI, a PowerShell vagy az Azure Portal használatával, olvassa el a Key Vault hozzáférési szabályzatának hozzárendelését.
- A kulcstartók és a különböző, helyreállítható törléssel rendelkező kulcstartó-objektumok használatára és életciklusára vonatkozó útmutatásért tekintse meg az Azure Key Vault helyreállítható törlési és törlési védelemmel rendelkező helyreállítási kezelését.
- Ha az üzembe helyezés során biztonsági értéket (például jelszót) kell megadnia paraméterként, ezt az értéket titkos kulcstartóban tárolhatja, és hivatkozhat az értékre más Resource Manager-sablonokban. Lásd: Az Azure Key Vault használata biztonságos paraméterértékek átadásához az üzembe helyezés során.
Integráció a Key Vaulttal
A következő szolgáltatások és forgatókönyvek használják vagy integrálják a Key Vaultot:
- A inaktív titkosítás lehetővé teszi az adatok kódolását (titkosítását) az adatok megőrzésekor. Az adattitkosítási kulcsokat gyakran kulcstitkosítási kulccsal titkosítják az Azure Key Vaultban a hozzáférés további korlátozása érdekében.
- Az Azure Information Protection lehetővé teszi a saját bérlőkulcs kezelését. Például ahelyett, hogy a Microsoft felügyeli a bérlőkulcsot (az alapértelmezett), saját bérlőkulcsot is kezelhet, hogy megfeleljen a szervezetre vonatkozó speciális előírásoknak. A saját bérlőkulcs kezelését saját kulcs (BYOK) néven is nevezik.
- Az Azure Private Link lehetővé teszi az Azure-szolgáltatások (például az Azure Key Vault, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül.
- A Key Vault és az Azure Event Grid integrációja lehetővé teszi a felhasználók értesítését, ha a Key Vaultban tárolt titkos kulcs állapota megváltozott. A kimaradások elkerülése érdekében terjesztheti a titkos kódok új verzióit az alkalmazások között, vagy elforgathatja a lejárat előtti titkos kulcsokat.
- Az Azure DevOps titkos kulcsainak védelme a Key Vault nem kívánt hozzáférésétől.
- A Key Vaultban tárolt titkos kulcsok használatával csatlakozhat az Azure Storage-hoz az Azure Databricksből.
- Konfigurálja és futtassa az Azure Key Vault-szolgáltatót a Titkos kulcstár CSI-illesztőprogramjához a Kubernetesen.
A Key Vault áttekintése és fogalmai
További információ:
- A törölt objektumok helyreállítását lehetővé tevő funkció, függetlenül attól, hogy a törlés véletlen vagy szándékos volt-e, tekintse meg az Azure Key Vault helyreállítható törlési áttekintését.
- A szabályozás és az alkalmazás megközelítésének alapfogalmai az Azure Key Vault szabályozási útmutatójában olvashatók.
- A régiók és a biztonsági területek közötti kapcsolatokról lásd az Azure Key Vault biztonsági világait és földrajzi határait.