Az Azure Key Vault fejlesztői útmutatója

Az Azure Key Vault lehetővé teszi a bizalmas adatok biztonságos elérését az alkalmazásokon belül:

  • A kulcsokat, titkos kulcsokat és tanúsítványokat anélkül védi a rendszer, hogy saját maga kellene írnia a kódot, és egyszerűen használhatja őket az alkalmazásokból.
  • Lehetővé teszi az ügyfelek számára, hogy saját kulcsokat, titkos kulcsokat és tanúsítványokat birtokoljanak és kezeljenek, hogy az alapvető szoftverfunkciók biztosítására összpontosíthassanak. Ily módon az alkalmazások nem viselik az ügyfelek bérlői kulcsainak, titkos kulcsainak és tanúsítványainak felelősségét vagy lehetséges felelősségét.
  • Az alkalmazás használhat kulcsokat az aláíráshoz és a titkosításhoz, de a kulcskezelést kívülről is megtarthatja az alkalmazástól. További információt a Kulcsok ismertetése című témakörben talál.
  • A hitelesítő adatokat, például a jelszavakat, a hozzáférési kulcsokat és az SAS-jogkivonatokat úgy kezelheti, hogy titkos kódként tárolja őket Key Vault. További információ: Tudnivalók a titkos kódokról.
  • Tanúsítványok kezelése. További információ: Tudnivalók a tanúsítványokról.

Az Azure Key Vault általános információiért lásd: Az Azure Key Vault ismertetése.

Nyilvános előzetes verziók

Rendszeresen kiadunk egy nyilvános előzetes verziót egy új Key Vault funkcióhoz. Próbálja ki a nyilvános előzetes verziójú funkciókat, és ossza meg velünk véleményét a visszajelzési e-mail-címünkön keresztül azurekeyvault@microsoft.com.

Kulcstartók létrehozása és kezelése

A többi Azure-szolgáltatáshoz hasonlóan a Key Vault az Azure Resource Manager keresztül felügyeli. Az Azure Resource Manager az Azure üzembehelyezési és felügyeleti szolgáltatása. Használatával erőforrásokat hozhat létre, frissíthet és törölhet az Azure-fiókjában.

Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) a felügyeleti réteghez, más néven felügyeleti síkhoz való hozzáférést szabályozza. A felügyeleti síkot a Key Vault használja a kulcstartók és attribútumaik, köztük a hozzáférési szabályzatok létrehozásához és kezeléséhez. Az adatsík használatával kezelheti a kulcsokat, tanúsítványokat és titkos kulcsokat.

Az előre definiált Key Vault Közreműködő szerepkörrel felügyeleti hozzáférést adhat Key Vault.

API-k és SDK-k a kulcstartók kezeléséhez

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia Referencia
Gyors útmutató
Referencia Referencia Referencia Referencia

A telepítési csomagokról és a forráskódról lásd: Ügyfélkódtárak.

Hitelesítés Key Vault kódban

Key Vault Azure Active Directory-hitelesítést (Azure AD) használ, amelyhez egy Azure AD biztonsági tag szükséges a hozzáférés biztosításához. A Azure AD biztonsági tag lehet felhasználó, alkalmazásszolgáltatás-tag, Azure-erőforrások felügyelt identitása vagy ezek bármelyikének csoportja.

Hitelesítési ajánlott eljárások

Javasoljuk, hogy felügyelt identitást használjon az Azure-ban üzembe helyezett alkalmazásokhoz. Ha olyan Azure-szolgáltatásokat használ, amelyek nem támogatják a felügyelt identitásokat, vagy ha az alkalmazások a helyszínen vannak üzembe helyezve, lehetséges alternatíva egy tanúsítványt tartalmazó szolgáltatásnév . Ebben a forgatókönyvben a tanúsítványt Key Vault kell tárolni, és gyakran kell elforgatni.

Használjon titkos kóddal rendelkező szolgáltatásnevet a fejlesztési és tesztelési környezetekhez. Használjon felhasználói tagot a helyi fejlesztéshez és az Azure Cloud Shell.

Az alábbi biztonsági tagokat javasoljuk az egyes környezetekben:

  • Éles környezet: Felügyelt identitás vagy szolgáltatásnév tanúsítvánnyal.
  • Tesztelési és fejlesztési környezetek: Felügyelt identitás, tanúsítványt tartalmazó szolgáltatásnév vagy titkos szolgáltatásnév.
  • Helyi fejlesztés: Felhasználónév vagy szolgáltatásnév titkos kóddal.

Azure Identity-ügyfélkódtárak

A fenti hitelesítési forgatókönyveket az Azure Identity ügyfélkódtára támogatja, és integrálva van Key Vault SDK-kkal. Az Azure Identity-ügyfélkódtárat környezetek és platformok között használhatja a kód módosítása nélkül. A kódtár automatikusan lekéri a hitelesítési jogkivonatokat az Azure-felhasználóba az Azure CLI, a Visual Studio, a Visual Studio Code és más eszközök használatával bejelentkezett felhasználóktól.

Az Azure Identity ügyfélkódtárával kapcsolatos további információkért lásd:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Az alkalmazásokban Key Vault hitelesítésére vonatkozó oktatóanyagokért lásd:

Kulcsok, tanúsítványok és titkos kódok kezelése

Az adatsík szabályozza a kulcsokhoz, tanúsítványokhoz és titkos kódokhoz való hozzáférést. Az adatsíkon keresztüli hozzáférés-vezérléshez használhat helyi tároló-hozzáférési szabályzatokat vagy Azure RBAC-t.

API-k és SDK-k kulcsokhoz

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató

API-k és SDK-k tanúsítványokhoz

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia N/A Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató

API-k és SDK-k titkos kódokhoz

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató
Referencia
Gyors útmutató

Titkos kódok használata

Az Azure Key Vault használatával csak az alkalmazás titkos kódjait tárolhatja. Példák a Key Vault tárolandó titkos kódokra:

  • Ügyfélalkalmazás titkos kódjai
  • Kapcsolati sztringek
  • Jelszavak
  • Megosztott hozzáférési kulcsok
  • SSH-kulcsok

A titkos kóddal kapcsolatos információk, például a felhasználónevek és az alkalmazásazonosítók egy titkos kódban tárolhatók címkeként. Minden más bizalmas konfigurációs beállításhoz Azure App Configuration kell használnia.

Hivatkozások

A telepítési csomagokról és a forráskódról lásd: Ügyfélkódtárak.

A Key Vault adatsíkjának biztonságáról az Azure Key Vault biztonsági funkciói című témakörben talál további információt.

Key Vault használata alkalmazásokban

A Key Vault legújabb funkcióinak kihasználásához javasoljuk, hogy használja az elérhető Key Vault SDK-kat titkos kódok, tanúsítványok és kulcsok használatához az alkalmazásban. A Key Vault SDK-k és a REST API a termékhez kiadott új funkciókkal frissülnek, és követik az ajánlott eljárásokat és irányelveket.

Az alapforgatókönyvek esetében más kódtárak és integrációs megoldások is rendelkezésre állnak az egyszerűsített használathoz, Microsoft partnerek vagy nyílt forráskódú közösségek támogatásával.

Tanúsítványok esetén a következőt használhatja:

Titkos kódok esetén a következőt használhatja:

Kódpéldák

A Key Vault alkalmazásokkal való használatára vonatkozó teljes példákért lásd: Azure Key Vault-kódminták.

Feladatspecifikus útmutató

Az alábbi cikkek és forgatókönyvek feladatspecifikus útmutatást nyújtanak az Azure Key Vault használatával kapcsolatban:

Integráció Key Vault

A következő szolgáltatások és forgatókönyvek használják vagy integrálják a Key Vault:

  • A inaktív adatok titkosítása lehetővé teszi az adatok kódolását (titkosítását) az adatok megőrzésekor. Az adattitkosítási kulcsokat gyakran kulcstitkosítási kulccsal titkosítják az Azure Key Vault a hozzáférés további korlátozása érdekében.
  • Az Azure Information Protection lehetővé teszi a saját bérlőkulcs kezelését. Például ahelyett, hogy Microsoft a bérlőkulcsot (ez az alapértelmezett), saját bérlőkulcsot is kezelhet, hogy megfeleljen a szervezetre vonatkozó konkrét előírásoknak. A saját bérlőkulcs kezelését saját kulcs ( BYOK) néven is nevezik.
  • Azure Private Link lehetővé teszi az Azure-szolgáltatások (például az Azure Key Vault, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton.
  • Key Vault Azure Event Grid integrációja lehetővé teszi, hogy a felhasználók értesítést kapjanak, ha a Key Vault tárolt titkos kód állapota megváltozott. A kimaradások elkerülése érdekében terjesztheti a titkos kódok új verzióit az alkalmazások között, vagy elforgathatja a lejárat előtti titkos kulcsokat.
  • Az Azure DevOps-titkos kódok védelme a nemkívánatos hozzáférésekkel szemben a Key Vault.
  • A Key Vault tárolt titkos kódokkal csatlakozhat az Azure Storage-hoz az Azure Databricksből.
  • Konfigurálja és futtassa az Azure Key Vault szolgáltatót a Kubernetes Titkos kulcstár CSI-illesztőprogramjához.

Key Vault áttekintések és fogalmak

További információ:

Közösségi