Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault
Azure Key Vault memungkinkan aplikasi dan pengguna Microsoft Azure untuk menyimpan dan menggunakan beberapa jenis data rahasia/kunci: kunci, rahasia, dan sertifikat. Kunci, rahasia, dan sertifikat secara kolektif disebut sebagai "objek".
Pengidentifikasi objek
Objek diidentifikasi secara unik dalam Key Vault menggunakan pengidentifikasi yang tidak peka huruf besar/kecil yang disebut pengidentifikasi objek. Tidak ada dua objek dalam sistem yang memiliki pengidentifikasi yang sama, terlepas dari lokasi geografis. Pengidentifikasi terdiri dari awalan yang mengidentifikasi brankas kunci, jenis objek, nama objek yang disediakan pengguna, dan versi objek. Pengidentifikasi yang tidak menyertakan versi objek disebut sebagai "pengidentifikasi dasar". Pengidentifikasi objek Key Vault juga merupakan URL yang valid, tetapi harus selalu dibandingkan sebagai string yang tidak peka huruf besar/kecil.
Untuk informasi lebih lanjut, lihat Autentikasi, permintaan, dan respons
Pengidentifikasi objek memiliki format umum berikut (bergantung pada jenis kontainer):
Untuk Kubah:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Untuk kumpulan HSM Terkelola:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Catatan
Lihat Dukungan jenis objek untuk jenis objek yang didukung oleh setiap jenis kontainer.
Mana:
Elemen | Deskripsi |
---|---|
vault-name atau hsm-name |
Nama untuk brankas kunci atau kumpulan HSM Terkelola di layanan Microsoft Azure Key Vault. Nama kubah dan kumpulan HSM Terkelola dipilih oleh pengguna dan unik secara global. Nama vault dan nama kumpulan HSM Terkelola harus berupa string karakter 3-24, hanya berisi 0-9, a-z, A-Z, dan tidak berturut-turut -. |
object-type |
Jenis objek, "kunci", "rahasia", atau "sertifikat". |
object-name |
object-name Adalah nama yang disediakan pengguna untuk dan harus unik dalam brankas kunci. Nama harus berupa string karakter 1-127, hanya berisi 0-9, a-z, A-Z, dan -. |
object-version |
An object-version adalah pengidentifikasi dengan 32 string karakter, yang dihasilkan sistem, yang secara opsional digunakan untuk mengatasi versi unik objek. |
Akhiran DNS untuk pengidentifikasi objek
Penyedia sumber daya Azure Key Vault mendukung dua jenis sumber daya: vault dan HSM terkelola. Tabel ini memperlihatkan akhiran DNS yang digunakan oleh titik akhir bidang data untuk vault dan kumpulan HSM terkelola di berbagai lingkungan cloud.
Lingkungan cloud | Akhiran DNS untuk kubah | Akhiran DNS untuk HSM terkelola |
---|---|---|
Cloud Azure | .vault.azure.net | .managedhsm.azure.net |
Microsoft Azure dioperasikan oleh 21Vianet Cloud | .vault.azure.cn | Tidak didukung |
Azure US Government | .vault.usgovcloudapi.net | Tidak didukung |
Azure German Cloud | .vault.microsoftazure.de | Tidak didukung |
Jenis objek
Tabel ini memperlihatkan jenis objek dan akhirannya dalam pengidentifikasi objek.
Tipe objek | Akhiran Pengidentifikasi | Vault | Kumpulan HSM Terkelola |
---|---|---|---|
Kunci yang dilindungi HSM | /kunci | Didukung | Didukung |
Kunci yang dilindungi perangkat lunak | /kunci | Didukung | Tidak didukung |
Rahasia | /secrets | Didukung | Tidak didukung |
Sertifikat | /certificates | Didukung | Tidak didukung |
Kunci akun penyimpanan | /penyimpanan | Didukung | Tidak didukung |
- Kunci kriptografis: Mendukung beberapa jenis kunci dan algoritma, dan mengaktifkan penggunaan kunci yang dilindungi perangkat lunak dan HSM. Untuk informasi lebih lanjut, lihat Tentang kunci.
- Rahasia: Menyediakan penyimpanan rahasia dengan aman, seperti string koneksi database dan kata sandi. Untuk informasi lebih lanjut, lihat Tentang rahasia.
- Sertifikat: Mendukung sertifikat, yang dibangun di atas kunci dan rahasia, dan menambahkan fitur pembaruan otomatis. Ingat bahwa ketika sertifikat dibuat, kunci dan rahasia yang dapat dialamatkan juga dibuat dengan nama yang sama. Untuk informasi lebih lanjut, lihat Tentang sertifikat.
- Kunci akun Azure Storage: Dapat mengelola kunci akun Azure Storage untuk Anda. Secara internal, Key Vault dapat mencantumkan (menyinkronkan) kunci dengan Akun Azure Storage, dan meregenerasi (memutar) kunci secara berkala. Untuk informasi lebih lanjut, lihat Kelola kunci akun penyimpanan dengan Key Vault.
Untuk informasi umum selengkapnya tentang Key Vault, lihat Tentang Azure Key Vault. Untuk informasi selengkapnya tentang kumpulan HSM Terkelola, lihat Apa itu HSM Terkelola Azure Key Vault?
Jenis data
Lihat spesifikasi JOSE untuk jenis data yang relevan untuk kunci, enkripsi, dan penandatanganan.
- algoritma - algoritma yang didukung untuk operasi kunci, misalnya, RSA1_5
- nilai-ciphertext - oktet teks cipher, dikodekan menggunakan Base64URL
- nilai-hash - output algoritme hash, dikodekan menggunakan Base64URL
- jenis kunci - salah satu jenis kunci yang didukung, misalnya RSA (Rivest-Shamir-Adleman).
- nilai-teks biasa - oktet teks biasa, dikodekan menggunakan Base64URL
- nilai tanda tangan - output algoritma tanda tangan, dikodekan menggunakan Base64URL
- base64URL - Base64URL [RFC4648] nilai biner yang dikodekan
- boolean - benar atau salah
- Identitas - identitas dari ID Microsoft Entra.
- IntDate - nilai desimal JSON yang menunjukkan jumlah detik dari UTC 1970-01-01T0:0:0Z hingga tanggal/waktu UTC yang ditentukan. Lihat RFC3339 untuk detail mengenai tanggal/waktu, secara umum dan UTC khususnya.
Objek, pengidentifikasi, dan penerapan versi
Objek yang disimpan di Key Vault diversikan setiap kali instans baru dari suatu objek dibuat. Setiap versi diberi pengidentifikasi objek unik. Saat objek pertama kali dibuat, objek akan diberi pengidentifikasi versi unik dan ditandai sebagai versi objek saat ini. Pembuatan instans baru dengan nama objek yang sama memberi objek baru pengidentifikasi versi unik, membuatnya menjadi versi saat ini.
Objek di Key Vault dapat diambil dengan menentukan versi atau dengan menghilangkan versi untuk mendapatkan versi terbaru objek. Melakukan operasi pada objek memerlukan penyediaan versi untuk menggunakan versi objek tertentu.
Catatan
Nilai yang Anda berikan untuk sumber daya Azure atau ID objek dapat disalin secara global untuk tujuan menjalankan layanan. Nilai yang diberikan tidak boleh menyertakan informasi pribadi yang dapat diidentifikasi atau informasi yang sensitif.