Panduan pengembang Azure Key Vault

Azure Key Vault memungkinkan Anda mengakses informasi sensitif dengan aman dari dalam aplikasi Anda:

  • Kunci, rahasia, dan sertifikat dilindungi tanpa harus menulis kode sendiri dan Anda dapat dengan mudah menggunakannya dari aplikasi Anda.
  • Anda memungkinkan pelanggan untuk memiliki dan mengelola kunci, rahasia, dan sertifikat mereka sendiri sehingga Anda dapat fokus pada penyediaan fitur perangkat lunak inti. Dengan cara ini, aplikasi Anda tidak akan memiliki tanggung jawab atau kewajiban potensial atas kunci, rahasia, dan sertifikat penyewa pelanggan Anda.
  • Aplikasi Anda dapat menggunakan kunci untuk penandatanganan dan enkripsi dengan tetap menjaga manajemen kunci di luar aplikasi Anda. Untuk informasi lebih lanjut, lihat Tentang kunci.
  • Anda dapat mengelola kredensial seperti kata sandi, kunci akses, dan token SAS dengan menyimpannya di Key Vault sebagai rahasia. Untuk informasi lebih lanjut, lihat Tentang rahasia.
  • Mengelola sertifikat. Untuk informasi lebih lanjut, lihat Tentang sertifikat.

Untuk informasi umum selengkapnya tentang Azure Key Vault, lihat Tentang Azure Key Vault.

Pratinjau Umum

Secara berkala, kami merilis pratinjau umum fitur Key Vault baru. Cobalah fitur pratinjau umum dan beri tahu kami pendapat Anda melalui azurekeyvault@microsoft.com, alamat email tanggapan kami.

Membuat dan mengelola key vault

Seperti layanan Azure lainnya, Key Vault dikelola melalui Azure Resource Manager. Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Anda dapat menggunakan Resource Manager untuk membuat, memperbarui, dan menghapus sumber daya di langganan Azure Anda.

Role-Based Access Control (RBAC) Azure mengontrol akses ke lapisan manajemen, juga dikenal sebagai sarana manajemen. Anda menggunakan sarana manajemen di Key Vault untuk membuat dan mengelola key vault dan atributnya, termasuk kebijakan akses. Anda menggunakan data plane untuk mengelola kunci, sertifikat, dan rahasia.

Anda dapat menggunakan peran Key Vault Contributor yang telah ditentukan untuk memberikan akses manajemen ke Key Vault.

API dan SDK untuk manajemen key vault

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi Referensi
Mulai Cepat
Referensi Referensi Referensi Referensi

Untuk paket pemasangan dan kode sumber, lihat Pustaka klien.

Mengautentikasi ke Key Vault dalam kode

Key Vault menggunakan autentikasi Azure Active Directory (Azure AD), yang mengharuskan prinsipal keamanan Azure AD untuk memberikan akses. Prinsipal keamanan Microsoft Azure Active Directory bisa berupa pengguna, perwakilan layanan aplikasi, identitas terkelola untuk sumber daya Azure, atau sekelompok jenis perwakilan keamanan apa pun.

Praktik autentikasi terbaik

Disarankan untuk menggunakan identitas terkelola untuk aplikasi yang diterapkan ke Azure. Jika Anda menggunakan layanan Azure yang tidak mendukung identitas terkelola atau jika aplikasi diterapkan secara lokal, perwakilan layanan dengan sertifikat adalah alternatif yang memungkinkan. Dalam kondisi tersebut, sertifikat harus disimpan di Key Vault dan sering diputar.

Gunakan perwakilan layanan dengan rahasia untuk lingkungan pengembangan dan pengujian. Gunakan perwakilan pengguna untuk pengembangan lokal dan Azure Cloud Shell.

Kami merekomendasikan prinsipal keamanan berikut ini di setiap lingkungan:

  • Lingkungan produksi: Identitas terkelola atau perwakilan layanan dengan sertifikat.
  • Lingkungan pengujian dan pengembangan: Identitas terkelola, perwakilan layanan dengan sertifikat, atau perwakilan layanan dengan rahasia.
  • Pengembangan lokal: Perwakilan pengguna atau perwakilan layanan dengan rahasia.

Pustaka klien Azure Identity

Skenario autentikasi sebelumnya didukung oleh pustaka klien Azure Identity dan terintegrasi dengan SDK Key Vault. Anda dapat menggunakan pustaka klien Azure Identity di seluruh lingkungan dan platform tanpa mengubah kode Anda. Pustaka secara otomatis mengambil token autentikasi dari pengguna yang masuk ke pengguna Azure melalui Azure CLI, Visual Studio, Visual Studio Code, dan cara lainnya.

Untuk informasi selengkapnya tentang pustaka klien Azure Identity, lihat:

.NET Python Java JavaScript
Identitas Azure SDK .NET Identitas Azure SDK Python Identitas Azure SDK Java Identitas Azure SDK JavaScript

Catatan

Kami merekomendasikan pustaka Autentikasi Aplikasi untuk SDK .NET Key Vault versi 3, tetapi sekarang sudah tidak digunakan lagi. Untuk bermigrasi ke SDK .NET Key Vault versi 4, ikuti panduan migrasi AppAuthentication ke Azure.Identity.

Untuk tutorial tentang cara mengautentikasi ke Key Vault dalam aplikasi, lihat:

Mengelola kunci, sertifikat, dan rahasia

Data plane mengontrol akses ke kunci, sertifikat, dan rahasia. Anda dapat menggunakan kebijakan akses vault lokal atau Azure RBAC untuk kontrol akses melalui data plane.

API dan SDK untuk kunci

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat

API dan SDK untuk sertifikat

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi T/A Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat

API dan SDK untuk rahasia

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat

Penggunaan rahasia

Gunakan Azure Key Vault hanya untuk menyimpan rahasia untuk aplikasi Anda. Contoh rahasia yang harus disimpan di Key Vault di antaranya:

  • Rahasia aplikasi klien
  • String koneksi
  • Sandi
  • Kunci akses bersama
  • Kunci SSH

Setiap informasi yang berhubungan dengan rahasia, seperti nama pengguna dan ID aplikasi, dapat disimpan sebagai tag secara rahasia. Untuk pengaturan konfigurasi sensitif lainnya, Anda harus menggunakan = Azure App Configuration.

Referensi

Untuk paket pemasangan dan kode sumber, lihat Pustaka klien.

Untuk informasi tentang keamanan data plane untuk Key Vault, lihat fitur keamanan Azure Key Vault.

Menggunakan Key Vault dalam Aplikasi

Untuk memanfaatkan fitur terbaru di Key Vault, kami sarankan Anda menggunakan SDK Key Vault yang tersedia untuk menggunakan rahasia, sertifikat, dan kunci dalam aplikasi Anda. SDK dan REST API Key Vault dirilis oleh tim kami saat kami merilis fitur baru produk, serta mengikuti praktik dan pedoman terbaik kami.

Untuk skenario dasar, ada pustaka dan solusi integrasi lain untuk penggunaan yang disederhanakan, dengan dukungan yang disediakan oleh mitra Microsoft atau komunitas sumber terbuka.

Untuk sertifikat, Anda dapat menggunakan:

Untuk rahasia, Anda dapat menggunakan:

Contoh kode

Untuk contoh lengkap menggunakan Key Vault dengan aplikasi, lihat Sampel kode Azure Key Vault.

Panduan terkait tugas

Artikel dan skenario berikut ini menyediakan panduan khusus tugas untuk bekerja dengan Azure Key Vault:

Integrasi dengan Azure Key Vault

Layanan dan skenario berikut menggunakan atau berintegrasi dengan Key Vault:

  • Enkripsi saat istirahat memungkinkan pengkodean (enkripsi) data ketika masih ada. Kunci enkripsi data sering kali dienkripsi dengan kunci enkripsi kunci di Azure Key Vault untuk membatasi akses lebih lanjut.
  • Perlindungan Informasi Azure memungkinkan Anda untuk membuat kunci penyewa Anda sendiri. Misalnya, alih-alih Microsoft mengelola kunci penyewa Anda (default), Anda dapat mengelola kunci penyewa Anda sendiri untuk mematuhi peraturan tertentu yang berlaku bagi organisasi Anda. Mengelola kunci penyewa Anda sendiri juga disebut bawa kunci Anda sendiri (Bring Your Own Key/BYOK).
  • Azure Private Link memungkinkan Anda mengakses Layanan Azure (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) serta layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda.
  • Integrasi Key Vault dengan Azure Event Grid memungkinkan pengguna untuk diberi tahu ketika status rahasia yang disimpan dalam key vault telah berubah. Anda dapat mendistribusikan rahasia versi baru ke aplikasi atau memutar rahasia yang hampir kedaluwarsa untuk mencegah pemadaman.
  • Melindungi rahasia Azure DevOps Anda dari akses yang tidak diinginkan di Key Vault.
  • Gunakan rahasia yang disimpan di Key Vault untuk terhubung ke Azure Storage dari Azure Databricks.
  • Konfigurasikan dan jalankan penyedia Azure Key Vault untuk driver Secrets Store CSI di Kubernetes.

Gambaran umum dan konsep Key Vault

Untuk mempelajari tentang:

Sosial