Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault

Artikel
01/30/2024

Azure Key Vault memungkinkan aplikasi dan pengguna Microsoft Azure untuk menyimpan dan menggunakan beberapa jenis data rahasia/kunci: kunci, rahasia, dan sertifikat. Kunci, rahasia, dan sertifikat secara kolektif disebut sebagai "objek".

Pengidentifikasi objek

Objek diidentifikasi secara unik dalam Key Vault menggunakan pengidentifikasi yang tidak peka huruf besar/kecil yang disebut pengidentifikasi objek. Tidak ada dua objek dalam sistem yang memiliki pengidentifikasi yang sama, terlepas dari lokasi geografis. Pengidentifikasi terdiri dari awalan yang mengidentifikasi brankas kunci, jenis objek, nama objek yang disediakan pengguna, dan versi objek. Pengidentifikasi yang tidak menyertakan versi objek disebut sebagai "pengidentifikasi dasar". Pengidentifikasi objek Key Vault juga merupakan URL yang valid, tetapi harus selalu dibandingkan sebagai string yang tidak peka huruf besar/kecil.

Untuk informasi lebih lanjut, lihat Autentikasi, permintaan, dan respons

Pengidentifikasi objek memiliki format umum berikut (bergantung pada jenis kontainer):

Untuk Kubah: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Untuk kumpulan HSM Terkelola: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Catatan

Lihat Dukungan jenis objek untuk jenis objek yang didukung oleh setiap jenis kontainer.

Mana:

Elemen	Deskripsi
`vault-name` atau `hsm-name`	Nama untuk brankas kunci atau kumpulan HSM Terkelola di layanan Microsoft Azure Key Vault. Nama kubah dan kumpulan HSM Terkelola dipilih oleh pengguna dan unik secara global. Nama vault dan nama kumpulan HSM Terkelola harus berupa string karakter 3-24, hanya berisi 0-9, a-z, A-Z, dan tidak berturut-turut -.
`object-type`	Jenis objek, "kunci", "rahasia", atau "sertifikat".
`object-name`	`object-name` Adalah nama yang disediakan pengguna untuk dan harus unik dalam brankas kunci. Nama harus berupa 1-127 string karakter, dimulai dengan huruf dan hanya memuat 0-9, a-z, A-Z, dan -.
`object-version`	An `object-version` adalah pengidentifikasi dengan 32 string karakter, yang dihasilkan sistem, yang secara opsional digunakan untuk mengatasi versi unik objek.

Akhiran DNS untuk pengidentifikasi objek

Penyedia sumber daya Azure Key Vault mendukung dua jenis sumber daya: vault dan HSM terkelola. Tabel ini memperlihatkan akhiran DNS yang digunakan oleh titik akhir bidang data untuk vault dan kumpulan HSM terkelola di berbagai lingkungan cloud.

Lingkungan cloud	Akhiran DNS untuk kubah	Akhiran DNS untuk HSM terkelola
Cloud Azure	.vault.azure.net	.managedhsm.azure.net
Microsoft Azure dioperasikan oleh 21Vianet Cloud	.vault.azure.cn	Tidak didukung
Azure US Government	.vault.usgovcloudapi.net	Tidak didukung
Azure German Cloud	.vault.microsoftazure.de	Tidak didukung

Jenis objek

Tabel ini memperlihatkan jenis objek dan akhirannya dalam pengidentifikasi objek.

Tipe objek	Akhiran Pengidentifikasi	Vault	Kumpulan HSM Terkelola

Kunci yang dilindungi HSM	/kunci	Didukung	Didukung
Kunci yang dilindungi perangkat lunak	/kunci	Didukung	Tidak didukung

Secret	/secrets	Didukung	Tidak didukung
Sertifikat	/certificates	Didukung	Tidak didukung
Kunci akun penyimpanan	/penyimpanan	Didukung	Tidak didukung

Kunci kriptografis: Mendukung beberapa jenis kunci dan algoritma, dan mengaktifkan penggunaan kunci yang dilindungi perangkat lunak dan HSM. Untuk informasi lebih lanjut, lihat Tentang kunci.
Rahasia: Menyediakan penyimpanan rahasia dengan aman, seperti string koneksi database dan kata sandi. Untuk informasi lebih lanjut, lihat Tentang rahasia.
Sertifikat: Mendukung sertifikat, yang dibangun di atas kunci dan rahasia, dan menambahkan fitur pembaruan otomatis. Ingat bahwa ketika sertifikat dibuat, kunci dan rahasia yang dapat dialamatkan juga dibuat dengan nama yang sama. Untuk informasi lebih lanjut, lihat Tentang sertifikat.
Kunci akun Azure Storage: Dapat mengelola kunci akun Azure Storage untuk Anda. Secara internal, Key Vault dapat mencantumkan (menyinkronkan) kunci dengan Akun Azure Storage, dan meregenerasi (memutar) kunci secara berkala. Untuk informasi lebih lanjut, lihat Kelola kunci akun penyimpanan dengan Key Vault.

Untuk informasi umum selengkapnya tentang Key Vault, lihat Tentang Azure Key Vault. Untuk informasi selengkapnya tentang kumpulan HSM Terkelola, lihat Apa itu HSM Terkelola Azure Key Vault?

Jenis data

Lihat spesifikasi JOSE untuk jenis data yang relevan untuk kunci, enkripsi, dan penandatanganan.

algoritma - algoritma yang didukung untuk operasi kunci, misalnya, RSA1_5
nilai-ciphertext - oktet teks cipher, dikodekan menggunakan Base64URL
nilai-hash - output algoritme hash, dikodekan menggunakan Base64URL
jenis kunci - salah satu jenis kunci yang didukung, misalnya RSA (Rivest-Shamir-Adleman).
nilai-teks biasa - oktet teks biasa, dikodekan menggunakan Base64URL
nilai tanda tangan - output algoritma tanda tangan, dikodekan menggunakan Base64URL
base64URL - Base64URL [RFC4648] nilai biner yang dikodekan
boolean - benar atau salah
Identitas - identitas dari ID Microsoft Entra.
IntDate - nilai desimal JSON yang menunjukkan jumlah detik dari UTC 1970-01-01T0:0:0Z hingga tanggal/waktu UTC yang ditentukan. Lihat RFC3339 untuk detail mengenai tanggal/waktu, secara umum dan UTC khususnya.

Objek, pengidentifikasi, dan penerapan versi

Objek yang disimpan di Key Vault diversikan setiap kali instans baru dari suatu objek dibuat. Setiap versi diberi pengidentifikasi objek unik. Saat objek pertama kali dibuat, objek akan diberi pengidentifikasi versi unik dan ditandai sebagai versi objek saat ini. Pembuatan instans baru dengan nama objek yang sama memberi objek baru pengidentifikasi versi unik, membuatnya menjadi versi saat ini.

Objek di Key Vault dapat diambil dengan menentukan versi atau dengan menghilangkan versi untuk mendapatkan versi terbaru objek. Melakukan operasi pada objek memerlukan penyediaan versi untuk menggunakan versi objek tertentu.