Információk az Azure Key Vault titkos kódjairól

A Key Vault általános titkos kulcsok, például jelszavak és adatbázis-kapcsolati sztringek biztonságos tárolását biztosítja.

A fejlesztők szempontjából a Key Vault API-k sztringként fogadják el és adják vissza a titkos értékeket. A Key Vault belsőleg oktettsorozatként (8 bites bájtként) tárolja és kezeli a titkos kódokat, és egyenként legfeljebb 25 000 bájt méretű lehet. A Key Vault szolgáltatás nem biztosít szemantikát a titkos kódokhoz. Csupán elfogadja az adatokat, titkosítja és tárolja azokat, és visszaad egy titkos azonosítót ("azonosítót"). Az azonosítóval később lekérheti a titkos kódot.

A szigorúan bizalmas adatokhoz az ügyfeleknek ajánlott további adatvédelmi rétegeket is használni. Ez lehet például az adatok külön védelmi kulccsal történő titkosítása a Key Vaultba helyezés előtt.

A Key Vault a titkos kódok contentType mezőjét is támogatja. Az ügyfelek megadhatják a titkos kulcsok tartalomtípusát, hogy segítsék a titkos adatok értelmezését a lekéréskor. A mező maximális hossza 255 karakter. A javasolt használat a titkos adatok értelmezésére szolgál. Egy implementáció például titkos kódként tárolhatja a jelszavakat és a tanúsítványokat, majd ezt a mezőt használhatja a megkülönböztetéshez. Nincsenek előre definiált értékek.

Titkosítás

A Key Vaultban található összes titkos kód titkosítva van tárolva. A Key Vault titkosítja az inaktív titkos kulcsokat a titkosítási kulcsok hierarchiájával, és a hierarchiában lévő összes kulcsot FIPS 140-2 szabványnak megfelelő modulok védik. Ez a titkosítás transzparens, és nem igényel beavatkozást a felhasználótól. Az Azure Key Vault szolgáltatás titkosítja a titkos kulcsokat a hozzáadásukkor, és automatikusan visszafejti őket, amikor elolvassa őket.

A kulcshierarchia titkosítási levélkulcsa minden kulcstartóban egyedi. A kulcshierarchia titkosítási gyökérkulcsa egyedi a biztonsági világ számára, és a védelmi szintje régiók szerint változik:

  • Kína: a gyökérkulcsot egy FIPS 140-2 1. szintű modul védi.
  • Egyéb régiók: a gyökérkulcsot egy FIPS 140-2 2. szintű vagy újabb verziójú modul védi.

Titkos attribútumok

A titkos adatokon kívül a következő attribútumok is megadhatóak:

  • exp: IntDate, opcionális, alapértelmezett örökre. Az exp (lejárati idő) attribútum azonosítja azt a lejárati időt, amelyen vagy amely után a titkos adatokat NEM szabad lekérni, kivéve bizonyos helyzetekben. Ez a mező csak tájékoztató jellegű, mivel tájékoztatja a felhasználókat a Key Vault szolgáltatásról, hogy egy adott titkos kód nem használható. Az értéknek olyan számnak kell lennie, amely intDate értéket tartalmaz.
  • nbf: IntDate, optional, default is now. Az nbf (nem előtte) attribútum azonosítja azt az időpontot, amely előtt a titkos adatok nem kérhetők le, kivéve bizonyos helyzetekben. Ez a mező csak tájékoztató jellegű. Az értéknek olyan számnak kell lennie, amely intDate értéket tartalmaz.
  • engedélyezve: logikai, nem kötelező, az alapértelmezett érték igaz. Ez az attribútum határozza meg, hogy a titkos adatok lekérhetők-e. Az engedélyezett attribútumot az nbf és az exp attribútummal együtt használja a rendszer, ha az nbf és az exp közötti művelet történik, csak akkor lesz engedélyezve, ha az engedélyezve igaz értékre van állítva. Az nbf-en és a kif-en kívüli műveletek automatikusan nem engedélyezettek, kivéve bizonyos helyzetekben.

A titkos attribútumokat tartalmazó válaszokban további írásvédett attribútumok is szerepelnek:

  • létrehozva: IntDate, nem kötelező. A létrehozott attribútum jelzi, hogy mikor lett létrehozva a titkos kód ezen verziója. Ez az érték null az attribútum hozzáadása előtt létrehozott titkos kódok esetében. Az értéknek intDate értéket tartalmazó számnak kell lennie.
  • frissítve: IntDate, nem kötelező. A frissített attribútum jelzi, hogy mikor frissült a titkos kód ezen verziója. Ez az érték null az attribútum hozzáadása előtt legutóbb frissített titkos kódok esetében. Az értéknek intDate értéket tartalmazó számnak kell lennie.

Az egyes Key Vault-objektumtípusok gyakori attribútumait az Azure Key Vault-kulcsok, titkos kódok és tanúsítványok áttekintésében tekintheti meg.

Dátum- és idővezérelt műveletek

A titkos kód lekérési művelete működni fog a még nem érvényes és lejárt titkos kódoknál, az nbf / exp ablakán kívül. A titkos kód lekérési műveletének meghívása egy még nem érvényes titkos kódhoz használható tesztelési célokra. Egy lejárt titkos kód lekérése (lekérése) helyreállítási műveletekhez használható.

Titkoskulcs-hozzáférés vezérlése

A Key Vaultban kezelt titkos kulcsok hozzáférés-vezérlése a titkos kulcsokat tartalmazó Key Vault szintjén érhető el. A titkos kulcsok hozzáférés-vezérlési szabályzata eltér az ugyanabban a Kulcstartóban lévő kulcsok hozzáférés-vezérlési szabályzatától. A felhasználók létrehozhatnak egy vagy több tárolót a titkos kódok tárolásához, és a forgatókönyv megfelelő szegmentálásának és a titkos kódok kezelésének fenntartásához szükségesek.

A következő engedélyek használhatók főkiszolgálónként a titkos kódok hozzáférés-vezérlési bejegyzésében egy tárolóban, és szorosan tükrözik a titkos objektumokon engedélyezett műveleteket:

  • Titkos kódok kezelési műveleteinek engedélyei

    • get: Titkos kód olvasása
    • lista: A Key Vaultban tárolt titkos kódok vagy -verziók listázása
    • készlet: Titkos kód létrehozása
    • törlés: Titkos kód törlése
    • helyreállítás: Törölt titkos kód helyreállítása
    • biztonsági mentés: Titkos kulcs biztonsági mentése egy kulcstartóban
    • visszaállítás: Biztonsági másolatban tárolt titkos kulcs visszaállítása kulcstartóba
  • Jogosultsági szintű műveletek engedélyei

    • végleges törlés: Törölt titkos kulcs végleges törlése (végleges törlése)

A titkos kódok használatával kapcsolatos további információkért tekintse meg a Key Vault REST API-referenciájában található titkos műveletet. Az engedélyek létrehozásával kapcsolatos információkért lásd: Tárolók – Létrehozás vagy frissítés és tárolók – Frissítési hozzáférési szabályzat.

Útmutatók a Key Vaultban való hozzáférés szabályozásához:

Titkos kódok címkéi

További alkalmazásspecifikus metaadatokat is megadhat címkék formájában. A Key Vault legfeljebb 15 címkét támogat, amelyek mindegyike 256 karakterből és 256 karakterből állhat.

Megjegyzés

A címkéket a hívó felolvassa, ha rendelkezik a listával , vagy engedélyt kap .

Használati forgatókönyvek

A következő esetekben használja Példák
Biztonságosan tárolhatja, kezelheti az életciklust, és figyelheti a szolgáltatások közötti kommunikáció hitelesítő adatait, például a jelszavakat, a hozzáférési kulcsokat és a szolgáltatásnév titkos ügyfélkulcsait. - Az Azure Key Vault használata virtuális géppel
- Az Azure Key Vault használata Azure-webalkalmazással

Következő lépések