Tudnivalók az Azure Key Vault felügyelt tárfiókkulcsairól (örökölt)

Fontos

Javasoljuk, hogy használja az Azure Storage-integrációt a Microsoft Entra ID-val, a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatásával. A Microsoft Entra-integráció azure-blobokhoz és üzenetsorokhoz érhető el, és OAuth2-jogkivonat-alapú hozzáférést biztosít az Azure Storage-hoz (csakúgy, mint az Azure Key Vaulthoz). A Microsoft Entra ID lehetővé teszi az ügyfélalkalmazás hitelesítését egy alkalmazás vagy egy felhasználói identitás használatával a tárfiók hitelesítő adatai helyett. Az Azure-ban való futtatáskor Microsoft Entra által felügyelt identitást is használhat. A felügyelt identitások nem igénylik az ügyfél-hitelesítést és a hitelesítő adatok tárolását az alkalmazásban vagy az alkalmazással. Az alábbi megoldást csak akkor használja, ha a Microsoft Entra-hitelesítés nem lehetséges.

Az Azure Storage-fiókok egy fióknevet és egy kulcsot tartalmazó hitelesítő adatokat használnak. A kulcs automatikusan jön létre, és titkosítási kulcs helyett jelszóként szolgál. A Key Vault úgy kezeli a tárfiók kulcsait, hogy rendszeresen újragenerálja őket a tárfiókban, és megosztott hozzáférésű aláírási jogkivonatokat biztosít a tárfiók erőforrásaihoz való delegált hozzáféréshez.

A Key Vault által felügyelt tárfiók kulcsfunkciójával listázhatja (szinkronizálhatja) a kulcsokat egy Azure-tárfiókkal, és rendszeresen újragenerálhatja (elforgathatja) a kulcsokat. A tárfiókok és a klasszikus tárfiókok kulcsait is kezelheti.

Azure Storage-fiókkulcsok kezelése

A Key Vault képes kezelni az Azure Storage-fiókkulcsokat :

• A Key Vault belsőleg listázhatja (szinkronizálhatja) a kulcsokat egy Azure-tárfiókkal.
• A Key Vault rendszeresen újragenerálja (elforgatja) a kulcsokat.
• A kulcsértékek soha nem jelennek meg a hívó válaszában.
• A Key Vault a tárfiókok és a klasszikus tárfiókok kulcsait is kezeli.

További információkért lásd:

• Tárfiók hozzáférési kulcsai
• Tárfiókkulcsok kezelése az Azure Key Vaultban

Tárfiók hozzáférés-vezérlése

A következő engedélyek használhatók egy felhasználó vagy alkalmazásnév felügyelt tárfiókon végzett műveletek végrehajtására való engedélyezéséhez:

• Felügyelt tárfiók és SaS-definíciós műveletek engedélyei

  • get: Információ lekérése egy tárfiókról
  • lista: Key Vault által kezelt tárfiókok listázása
  • frissítés: Tárfiók frissítése
  • törlés: Tárfiók törlése
  • helyreállítás: Törölt tárfiók helyreállítása
  • biztonsági mentés: Tárfiók biztonsági mentése
  • visszaállítás: Biztonsági másolatban tárolt tárfiók visszaállítása Key Vaultba
  • beállítás: Tárfiók létrehozása vagy frissítése
  • regeneratekey: Egy tárfiók megadott kulcsértékének újragenerálása
  • getsas: Információk lekérése egy tárfiók SAS-definíciójáról
  • listsas: Storage SAS-definíciók listázása tárfiókhoz
  • deletesas: SAS-definíció törlése tárfiókból
  • setsas: Tárfiók új SAS-definíciójának/attribútumainak létrehozása vagy frissítése

• Jogosultsági szintű műveletek engedélyei

  • törlés: Felügyelt tárfiók végleges törlése (végleges törlése)

További információkért tekintse meg a Tárfiók műveleteit a Key Vault REST API-referenciájában. Az engedélyek létrehozásáról további információt a Tárolók – Létrehozás vagy frissítés és tárolók – Hozzáférési szabályzat frissítése című témakörben talál.

Következő lépések

• Tárfiókkulcsok kezelése a Key Vaulttal és az Azure CLI-vel
• Tudnivalók a Key Vaultról
• A kulcsok, titkos kódok és tanúsítványok ismertetése
• Ajánlott eljárások titkos kulcsok kezeléséhez a Key Vaultban
• Key Vault fejlesztői útmutató