Információk az Azure Key Vault titkos kódjairól
A Key Vault általános titkos kulcsok, például jelszavak és adatbázis-kapcsolati sztring biztonságos tárolását biztosítja.
A fejlesztők szempontjából a Key Vault API-k sztringekként fogadják el és adják vissza a titkos értékeket. A Key Vault belsőleg oktettsorozatok (8 bites bájtok) sorozataként tárolja és kezeli a titkos kulcsokat, maximális mérete 25 000 bájt. A Key Vault szolgáltatás nem biztosít szemantikát a titkos kódokhoz. Csak elfogadja az adatokat, titkosítja, tárolja és titkos azonosítót ad vissza (id
). Az azonosítóval később lekérheti a titkos kódot.
A rendkívül bizalmas adatok esetében az ügyfeleknek további védelmi rétegeket kell figyelembe venniük az adatok számára. Ez lehet például az adatok külön védelmi kulccsal történő titkosítása a Key Vaultba helyezés előtt.
A Key Vault a titkos kulcsok contentType mezőjét is támogatja. Az ügyfelek megadhatják a titkos kódok tartalomtípusát, hogy segítsenek értelmezni a titkos adatokat a lekéréskor. A mező maximális hossza 255 karakter. A javasolt használat a titkos adatok értelmezésére szolgál. Egy implementáció például titkos kódként tárolhatja a jelszavakat és a tanúsítványokat, majd ezt a mezőt használva különböztetheti meg. Nincsenek előre definiált értékek.
Titkosítás
A Key Vaultban lévő összes titkos kulcs titkosítva lesz tárolva. A Key Vault titkosítja a inaktív titkos kulcsokat a titkosítási kulcsok hierarchiájával, és a hierarchiában lévő összes kulcs a FIPS 140-2 szabványnak megfelelő modulokkal van védve. Ez a titkosítás transzparens, és nem igényel műveletet a felhasználótól. Az Azure Key Vault szolgáltatás titkosítja a titkos kulcsokat, amikor hozzáadja őket, és olvasáskor automatikusan visszafejti őket.
A kulcshierarchia titkosítási levélkulcsa minden kulcstartóban egyedi. A kulcshierarchia titkosítási gyökérkulcsa egyedi a biztonsági világ számára, és a védelmi szintje régiók szerint változik:
- Kína: a gyökérkulcsot egy, a FIPS 140-2 1. szintűre érvényesített modul védi.
- Egyéb régiók: a gyökérkulcsot egy olyan modul védi, amely a FIPS 140-2 2. szintű vagy újabb verziójára érvényes.
Titkos attribútumok
A titkos adatok mellett a következő attribútumok is megadhatóak:
- exp: IntDate, nem kötelező, az alapértelmezett örökre. Az exp (lejárati idő) attribútum azt a lejárati időt azonosítja, amely után a titkos adatokat NEM szabad lekérni, kivéve bizonyos helyzetekben. Ez a mező csak tájékoztató jellegű, mivel tájékoztatja a key vault szolgáltatás felhasználóit arról, hogy egy adott titkos kód nem használható. Az értéknek intDate értéket tartalmazó számnak kell lennie.
- nbf: IntDate, optional, default is now. Az nbf (nem korábbi) attribútum azt az időpontot azonosítja, amely előtt a titkos adatokat NEM szabad lekérni, kivéve bizonyos helyzetekben. Ez a mező csak tájékoztató jellegű. Az értéknek intDate értéket tartalmazó számnak kell lennie.
- engedélyezve: logikai érték, nem kötelező, az alapértelmezett érték igaz. Ez az attribútum határozza meg, hogy a titkos adatok lekérhetők-e. Az engedélyezett attribútumot az nbf és az exp függvény használja, ha az nbf és az exp közötti művelet történik, akkor csak akkor engedélyezett, ha az engedélyezve igaz értékre van állítva. Az nbf és az exp ablakon kívüli műveletek automatikusan nem engedélyezettek, kivéve bizonyos helyzetekben.
A titkos attribútumokat tartalmazó válaszokban több írásvédett attribútum is szerepel:
- létrehozva: IntDate, nem kötelező. A létrehozott attribútum jelzi, hogy mikor lett létrehozva a titkos kód ezen verziója. Ez az érték null értékű az attribútum hozzáadása előtt létrehozott titkos kódok esetében. Az értéknek intDate értéket tartalmazó számnak kell lennie.
- frissítve: IntDate, nem kötelező. A frissített attribútum jelzi, hogy mikor frissült a titkos kód ezen verziója. Ez az érték null értékű az attribútum hozzáadása előtt legutóbb frissített titkos kódok esetében. Az értéknek intDate értéket tartalmazó számnak kell lennie.
Az egyes Key Vault-objektumtípusok gyakori attribútumait az Azure Key Vault kulcsainak, titkos kulcsainak és tanúsítványainak áttekintésében találhatja meg.
Dátum-idő vezérelt műveletek
A titkos kódok lekérési művelete nem érvényes és lejárt titkos kódok esetén működik az nbf / kivezetési ablakán kívül. A titkos kódok lekérési műveletének meghívása egy még nem érvényes titkos kódhoz használható tesztelési célokra. Egy lejárt titkos kód lekérése (lekérése) használható helyreállítási műveletekhez.
Titkoskulcs-hozzáférés vezérlése
A Key Vaultban kezelt titkos kulcsok hozzáférés-vezérlése a titkos kulcsokat tartalmazó Key Vault szintjén érhető el. A titkos kulcsok hozzáférés-vezérlési szabályzata eltér az ugyanabban a Key Vaultban lévő kulcsok hozzáférés-vezérlési szabályzatától. A felhasználók létrehozhatnak egy vagy több tárolót a titkos kódok tárolásához, és a forgatókönyv megfelelő szegmentálásának és a titkos kódok kezelésének fenntartásához szükségesek.
A titkos kulcsok hozzáférés-vezérlési bejegyzésében a következő engedélyek használhatók főnévenként, és szorosan tükrözik a titkos objektumokon engedélyezett műveleteket:
Titkos kódok kezelési műveleteinek engedélyei
- get: Titkos kód olvasása
- lista: A Key Vaultban tárolt titkos kódok vagy -verziók listázása
- készlet: Titkos kód létrehozása
- törlés: Titkos kód törlése
- helyreállítás: Törölt titkos kód helyreállítása
- biztonsági mentés: Titkos kulcs biztonsági mentése egy kulcstartóban
- visszaállítás: Biztonsági másolatként létrehozott titkos kulcs visszaállítása kulcstartóba
Jogosultsági szintű műveletek engedélyei
- törlés: Törölt titkos kód törlése (végleges törlése)
A titkos kódok használatával kapcsolatos további információkért lásd a Titkos kulcstartó REST API-referenciájában található titkos műveleteket. Az engedélyek létrehozásáról további információt a Tárolók – Létrehozás vagy frissítés és tárolók – Hozzáférési szabályzat frissítése című témakörben talál.
Útmutatók a Key Vaultban való hozzáférés szabályozásához:
- Key Vault hozzáférési szabályzat hozzárendelése parancssori felülettel
- Key Vault hozzáférési szabályzat hozzárendelése a PowerShell használatával
- Key Vault hozzáférési szabályzat hozzárendelése az Azure Portalon
- Hozzáférés biztosítása a Key Vault kulcsaihoz, tanúsítványaihoz és titkos kulcsaihoz egy Azure-beli szerepköralapú hozzáférés-vezérléssel
Titkos címkék
További alkalmazásspecifikus metaadatokat címkék formájában adhat meg. A Key Vault legfeljebb 15 címkét támogat, amelyek mindegyike 512 karakterből és 512 karakterből állhat.
Feljegyzés
A címkéket a hívó felolvassa, ha rendelkezik a listával , vagy engedélyt kap .
Használati forgatókönyvek
Mikor érdemes használni? | Példák |
---|---|
Biztonságosan tárolhatja, kezelheti az életciklust, és figyelheti a szolgáltatásközi kommunikáció hitelesítő adatait, például jelszavakat, hozzáférési kulcsokat, szolgáltatásnév ügyfélkulcsait. | - Az Azure Key Vault használata virtuális géppel - Az Azure Key Vault használata Azure-webalkalmazással |
Következő lépések
- Kulcskezelés az Azure-ban
- Ajánlott eljárások titkos kulcsok kezeléséhez a Key Vaultban
- Tudnivalók a Key Vaultról
- A kulcsok, titkos kódok és tanúsítványok ismertetése
- Key Vault-hozzáférési szabályzat hozzárendelése
- Hozzáférés biztosítása a Key Vault kulcsaihoz, tanúsítványaihoz és titkos kulcsaihoz egy Azure-beli szerepköralapú hozzáférés-vezérléssel
- Kulcstartó biztonságos elérése
- Key Vault fejlesztői útmutató