Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault

Azure Key Vault mengaktifkan aplikasi dan pengguna Microsoft Azure untuk menyimpan dan menggunakan beberapa tipe data rahasia/kunci. Penyedia sumber Key Vault mendukung dua jenis sumber daya: kubah dan HSM terkelola.

Akhiran DNS untuk URL dasar

Tabel di bawah ini memperlihatkan akhiran DNS URL dasar yang digunakan oleh titik akhir data plane untuk kubah dan kumpulan HSM terkelola di berbagai lingkungan cloud.

Lingkungan cloud Akhiran DNS untuk kubah Akhiran DNS untuk HSM terkelola
Cloud Azure .vault.azure.net .managedhsm.azure.net
Cloud Azure Tiongkok .vault.azure.cn Tidak didukung
Azure US Government .vault.usgovcloudapi.net Tidak didukung
Cloud Azure Jerman .vault.microsoftazure.de Tidak didukung

Jenis objek

Tabel di bawah ini memperlihatkan jenis objek dan akhirannya di URL dasar.

Jenis objek Akhiran URL Kubah Kumpulan HSM Terkelola
Kunci yang dilindungi HSM /kunci Didukung Didukung
Kunci yang dilindungi perangkat lunak /kunci Didukung Tidak didukung
Rahasia /rahasia Didukung Tidak didukung
Sertifikat /sertifikat Didukung Tidak didukung
Kunci akun penyimpanan /penyimpanan Didukung Tidak didukung
  • Kunci kriptografis: Mendukung beberapa jenis kunci dan algoritma, dan mengaktifkan penggunaan kunci yang dilindungi perangkat lunak dan HSM. Untuk informasi lebih lanjut, lihat Tentang kunci.
  • Rahasia: Menyediakan penyimpanan rahasia dengan aman, seperti string koneksi database dan kata sandi. Untuk informasi lebih lanjut, lihat Tentang rahasia.
  • Sertifikat: Mendukung sertifikat, yang dibangun di atas kunci dan rahasia, dan menambahkan fitur pembaruan otomatis. Ingat bahwa ketika sertifikat dibuat, kunci dan rahasia yang dapat dialamatkan juga dibuat dengan nama yang sama. Untuk informasi lebih lanjut, lihat Tentang sertifikat.
  • Kunci akun Azure Storage: Dapat mengelola kunci akun Azure Storage untuk Anda. Secara internal, Key Vault dapat mencantumkan (menyinkronkan) kunci dengan Akun Azure Storage, dan meregenerasi (memutar) kunci secara berkala. Untuk informasi lebih lanjut, lihat Kelola kunci akun penyimpanan dengan Key Vault.

Untuk informasi umum selengkapnya tentang Key Vault, lihat Tentang Azure Key Vault. Untuk informasi selengkapnya tentang kumpulan HSM Terkelola, lihat Apa itu HSM Terkelola Azure Key Vault?

Jenis data

Lihat spesifikasi JOSE untuk jenis data yang relevan untuk kunci, enkripsi, dan penandatanganan.

  • algoritma - algoritma yang didukung untuk operasi kunci, misalnya, RSA1_5
  • nilai-ciphertext - oktet teks cipher, dikodekan menggunakan Base64URL
  • nilai-hash - output algoritme hash, dikodekan menggunakan Base64URL
  • jenis kunci - salah satu jenis kunci yang didukung, misalnya RSA (Rivest-Shamir-Adleman).
  • nilai-teks biasa - oktet teks biasa, dikodekan menggunakan Base64URL
  • nilai tanda tangan - output algoritma tanda tangan, dikodekan menggunakan Base64URL
  • base64URL - Base64URL [RFC4648] nilai biner yang dikodekan
  • boolean - benar atau salah
  • Identitas - identitas dari Azure Active Directory (AAD).
  • IntDate - nilai desimal JSON yang menunjukkan jumlah detik dari UTC 1970-01-01T0:0:0Z hingga tanggal/waktu UTC yang ditentukan. Lihat RFC3339 untuk detail mengenai tanggal/waktu, secara umum dan UTC khususnya.

Objek, pengidentifikasi, dan penerapan versi

Objek yang disimpan di Key Vault diversikan setiap kali instans baru dari suatu objek dibuat. Setiap versi ditetapkan pengidentifikasi unik dan URL. Saat objek pertama kali dibuat, objek akan diberi pengidentifikasi versi unik dan ditandai sebagai versi objek saat ini. Pembuatan instans baru dengan nama objek yang sama memberi objek baru pengidentifikasi versi unik, membuatnya menjadi versi saat ini.

Objek dalam Key Vault dapat diambil dengan menentukan versi atau dengan menghilangkan versi untuk mendapatkan versi terbaru objek. Melakukan operasi pada objek memerlukan penyediaan versi untuk menggunakan versi objek tertentu.

Catatan

Nilai yang Anda berikan untuk sumber daya Azure atau ID objek dapat disalin secara global guna menjalankan layanan. Nilai yang diberikan tidak boleh menyertakan informasi pribadi yang dapat diidentifikasi atau informasi yang sensitif.

Nama-Kubah dan nama-Objek

Objek diidentifikasi secara unik dalam Key Vault menggunakan URL. Tidak ada dua objek dalam sistem yang memiliki URL sama, terlepas dari lokasi geografis. URL lengkap untuk objek disebut Pengidentifikasi Objek. URL terdiri dari awalan yang mengidentifikasi Key Vault, jenis objek, Nama Objek yang disediakan pengguna, dan Versi Objek. Nama Objek tidak terpengaruh huruf besar-kecil dan tidak dapat diubah. Pengidentifikasi yang tidak menyertakan Versi Objek disebut sebagai Pengidentifikasi Dasar.

Untuk informasi lebih lanjut, lihat Autentikasi, permintaan, dan respons

Pengidentifikasi objek memiliki format umum berikut (bergantung pada jenis kontainer):

  • Untuk Kubah: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Untuk kumpulan HSM Terkelola: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Catatan

Lihat Dukungan jenis objek untuk jenis objek yang didukung oleh setiap jenis kontainer.

Mana:

Elemen Deskripsi
vault-name atau hsm-name Nama untuk kubah atau kumpulan HSM Terkelola di layanan Microsoft Azure Key Vault.

Nama kubah dan kumpulan HSM Terkelola dipilih oleh pengguna dan unik secara global.

Nama kubah dan nama kumpulan HSM Terkelola harus berupa 3-24 string karakter, hanya memuat 0-9, a-z, A-Z, dan -.
object-type Jenis objek, “kunci”, “rahasia”, atau ‘sertifikat’.
object-name An object-name adalah nama yang disediakan pengguna dan harus unik dalam Key Vault. Nama harus berupa 1-127 string karakter, dimulai dengan huruf dan hanya memuat 0-9, a-z, A-Z, dan -.
object-version An object-version adalah pengidentifikasi dengan 32 string karakter, yang dihasilkan sistem, yang secara opsional digunakan untuk mengatasi versi unik objek.

Langkah berikutnya