Az Azure Key Vault kulcsainak, titkos kulcsainak és tanúsítványainak áttekintése
Az Azure Key Vault lehetővé teszi, hogy a Microsoft Azure-alkalmazások és felhasználók többféle titkos/kulcs típusú adatot tároljanak és használjanak: kulcsokat, titkos kulcsokat és tanúsítványokat. A kulcsokat, titkos kulcsokat és tanúsítványokat együttesen "objektumoknak" nevezzük.
Objektumazonosítók
Az objektumok egyedileg vannak azonosítva a Key Vaultban az objektumazonosítónak nevezett kis- és nagybetűs azonosító használatával. A rendszerben egyetlen objektum sem rendelkezik ugyanazzal az azonosítóval, földrajzi helytől függetlenül. Az azonosító egy előtagból áll, amely azonosítja a kulcstartót, az objektum típusát, a felhasználó által megadott objektumnevet és egy objektumverziót. Az objektumverziót nem tartalmazó azonosítókat alapazonosítóknak nevezzük. A Key Vault-objektumazonosítók érvényes URL-címek is, de mindig kis- és nagybetűket nem megkülönböztető sztringekként kell összehasonlítani.
További információ: Hitelesítés, kérelmek és válaszok
Egy objektumazonosító a következő általános formátummal rendelkezik (a tároló típusától függően):
Tárolók esetén:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Felügyelt HSM-készletek esetén:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Feljegyzés
Tekintse meg az egyes tárolótípusok által támogatott objektumtípusok objektumtípus-támogatását .
Ahol:
| Elem | Leírás |
|---|---|
vault-name vagy hsm-name |
Kulcstartó vagy felügyelt HSM-készlet neve a Microsoft Azure Key Vault szolgáltatásban. A tárolóneveket és a felügyelt HSM-készletneveket a felhasználó választja ki, és globálisan egyediek. A tárolónévnek és a felügyelt HSM-készlet nevének 3–24 karakteres sztringnek kell lennie, amely csak 0-9, a-z, A-Z és nem egymást követő karakterláncot tartalmaz. |
object-type |
Az objektum típusa, "kulcsok", "titkos kódok" vagy "tanúsítványok". |
object-name |
Az an object-name egy felhasználó által megadott név, és egyedinek kell lennie egy kulcstartóban. A névnek egy 1-127 karakterből álló sztringnek kell lennie, amely csak 0-9, a-z, A-Z és -karaktert tartalmaz. |
object-version |
Az An object-version egy rendszer által generált, 32 karakteres sztringazonosító, amely opcionálisan egy objektum egyedi verziójának kezelésére szolgál. |
DNS-utótagok objektumazonosítókhoz
Az Azure Key Vault erőforrás-szolgáltató két erőforrástípust támogat: tárolókat és felügyelt HSM-eket. Ez a táblázat a különböző felhőkörnyezetekben lévő tárolókhoz és felügyelt HSM-készletekhez használt adatsíkvégpont által használt DNS-utótagot mutatja be.
| Felhőkörnyezet | DNS-utótag tárolókhoz | DNS-utótag felügyelt HSM-ekhez |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| A 21Vianet Cloud által üzemeltetett Microsoft Azure | .vault.azure.cn | Nem támogatott |
| Azure US Government | .vault.usgovcloudapi.net | Nem támogatott |
| Azure German Cloud | .vault.microsoftazure.de | Nem támogatott |
Objektumtípusok
Ez a táblázat az objektumtípusokat és azok utótagját jeleníti meg az objektumazonosítóban.
| Objektumtípus | Azonosító utótagja | Kulcstartók | Felügyelt HSM-készletek |
|---|---|---|---|
| HSM-védett kulcsok | /Kulcsok | Támogatott | Támogatott |
| Szoftverrel védett kulcsok | /Kulcsok | Támogatott | Nem támogatott |
| Titkos kódok | /Titkok | Támogatott | Nem támogatott |
| Diplomák | /Tanúsítványok | Támogatott | Nem támogatott |
| Tárfiókkulcsok | /raktározás | Támogatott | Nem támogatott |
- Titkosítási kulcsok: Több kulcstípust és algoritmust támogat, és lehetővé teszi a szoftveres és HSM által védett kulcsok használatát. További információt a Kulcsok ismertetése című témakörben talál.
- Titkos kulcsok: Biztonságosan tárol titkos kulcsokat, például jelszavakat és adatbázis-kapcsolati sztring. További információ: Tudnivalók a titkos kódokról.
- Tanúsítványok: Támogatja a kulcsokra és titkos kódokra épülő tanúsítványokat, és automatikus megújítási funkciót ad hozzá. Ne feledje, hogy a tanúsítvány létrehozásakor a címezhető kulcs és a titkos kulcs is ugyanazzal a névvel jön létre. További információ: Tudnivalók a tanúsítványokról.
- Azure Storage-fiókkulcsok: Kezelheti egy Azure Storage-fiók kulcsait. A Key Vault belsőleg listázhatja (szinkronizálhatja) a kulcsokat egy Azure Storage-fiókkal, és rendszeresen újragenerálhatja (elforgathatja) a kulcsokat. További információ: Tárfiókkulcsok kezelése a Key Vaulttal.
A Key Vaultról bővebben az Azure Key Vaultról szóló cikkben olvashat. További információ a felügyelt HSM-készletekről: Mi az az Azure Key Vault által felügyelt HSM?
Adattípusok
Tekintse meg a kulcsok, titkosítás és aláírás megfelelő adattípusainak JOSE-specifikációit.
- algoritmus – egy kulcsművelet támogatott algoritmusa, például RSA1_5
- ciphertext-value – titkosítási szöveges oktettek, Base64URL használatával kódolva
- kivonat-érték – a Base64URL használatával kódolt kivonatoló algoritmus kimenete
- key-type – az egyik támogatott kulcstípus, például RSA (Rivest-Shamir-Adleman).
- plaintext-value – egyszerű szöveges oktett, Base64URL használatával kódolva
- signature-value – aláírási algoritmus kimenete, base64URL használatával kódolva
- base64URL – Base64URL [RFC4648] kódolt bináris érték
- logikai – igaz vagy hamis
- Identitás – a Microsoft Entra-azonosítóból származó identitás.
- IntDate - egy JSON decimális érték, amely az 1970-01-01T0:0:0Z UTC és a megadott UTC dátum/idő közötti másodpercek számát jelöli. A dátummal/időpontokkal kapcsolatos részletekért lásd a RFC3339, általában és különösen az UTC-vel kapcsolatban.
Objektumok, azonosítók és verziószámozás
A Key Vaultban tárolt objektumok minden alkalommal verziószámba kerülnek, amikor létrejön egy objektum új példánya. Minden verzióhoz egyedi objektumazonosító tartozik. Az objektum első létrehozásakor egyedi verzióazonosítót kap, és az objektum aktuális verziójaként van megjelölve. Az azonos objektumnévvel rendelkező új példány létrehozása egyedi verzióazonosítót ad az új objektumnak, ami azt eredményezi, hogy az aktuális verzió lesz.
A Key Vault objektumai egy verzió megadásával vagy a verzió kihagyásával kérhetők le az objektum legújabb verziójának lekéréséhez. Az objektumokon végzett műveletek elvégzéséhez meg kell adni az objektum adott verziójának megfelelő verziót.
Feljegyzés
Az Azure-erőforrásokhoz vagy objektumazonosítókhoz megadott értékek globálisan másolhatók a szolgáltatás futtatása céljából. A megadott érték nem tartalmazhat személyazonosításra alkalmas vagy bizalmas adatokat.