Tentang kunci akun penyimpanan terkelola Azure Key Vault (Warisan)

Penting

Sebaiknya gunakan integrasi Azure Storage dengan ID Microsoft Entra, layanan manajemen identitas dan akses berbasis cloud Microsoft. Integrasi Microsoft Entra tersedia untuk blob dan antrean Azure, dan menyediakan akses berbasis token OAuth2 ke Azure Storage (sama seperti Azure Key Vault). MICROSOFT Entra ID memungkinkan Anda mengautentikasi aplikasi klien dengan menggunakan aplikasi atau identitas pengguna, alih-alih kredensial akun penyimpanan. Anda dapat menggunakan identitas terkelola Microsoft Entra saat menjalankan di Azure. Identitas terkelola menghapus kebutuhan akan autentikasi klien dan menyimpan kredensial di dalam atau dengan aplikasi Anda. Gunakan solusi di bawah ini hanya ketika autentikasi Microsoft Entra tidak dimungkinkan.

Akun penyimpanan Azure menggunakan kredensial yang terdiri atas nama akun dan kunci. Kuncinya dibuat secara otomatis dan berfungsi sebagai kata sandi, bukan sebagai kunci kriptografi. Key Vault mengelola kunci akun penyimpanan dengan meregenerasinya secara berkala di akun penyimpanan dan menyediakan token tanda tangan akses bersama untuk akses yang didelegasikan ke sumber daya di akun penyimpanan Anda.

Anda dapat menggunakan fitur kunci akun penyimpanan terkelola Key Vault untuk mencantumkan (menyinkronkan) kunci dengan akun penyimpanan Azure, dan meregenerasi (memutar) kunci secara berkala. Anda dapat mengelola kunci untuk akun penyimpanan dan akun penyimpanan Klasik.

Manajemen kunci akun Azure Storage

Key Vault dapat mengelola kunci akun penyimpanan Azure:

• Secara internal, Key Vault dapat mencantumkan kunci (sinkronisasi) dengan akun penyimpanan Azure.
• Key Vault meregenerasi (memutar) kunci secara berkala.
• Nilai kunci tidak pernah dikembalikan sebagai respons terhadap pemanggil.
• Key Vault mengelola kunci akun penyimpanan dan akun penyimpanan klasik.

Untuk informasi selengkapnya, lihat:

• Kunci akses akun penyimpanan
• Manajemen kunci akun penyimpanan di Azure Key Vault

Kontrol akses akun penyimpanan

Izin berikut dapat digunakan saat mengotorisasi pengguna atau prinsipal aplikasi untuk melakukan operasi pada akun penyimpanan terkelola:

• Izin untuk akun penyimpanan terkelola dan operasi definisi SaS

  • get: Mendapatkan informasi tentang akun penyimpanan
  • list: Mencantumkan akun penyimpanan yang dikelola oleh Key Vault
  • update: Memperbarui akun penyimpanan
  • delete: Menghapus akun penyimpanan
  • recover: Memulihkan akun penyimpanan yang dihapus
  • backup: Mencadangkan akun penyimpanan
  • restore: Memulihkan akun penyimpanan yang dicadangkan ke Key Vault
  • set: Membuat atau memperbarui akun penyimpanan
  • regeneratekey: Meregenerasi nilai kunci tertentu untuk akun penyimpanan
  • getsas: Mendapatkan informasi tentang definisi SAS untuk akun penyimpanan
  • listsas: Mencantumkan definisi SAS penyimpanan untuk akun penyimpanan
  • deletesas: Menghapus definisi SAS dari akun penyimpanan
  • setsas: Membuat atau memperbarui definisi/atribut SAS baru untuk akun penyimpanan

• Izin untuk operasi istimewa

  • purge: Membersihkan (menghapus secara permanen) akun penyimpanan terkelola

Untuk informasi selengkapnya, lihat Operasi akun penyimpanan di rujukan Key Vault REST API. Untuk informasi tentang menetapkan izin, lihat Vault - Buat atau Perbarui dan Vault - Kebijakan Akses Pembaruan.

Langkah berikutnya

• Mengelola kunci akun penyimpanan dengan Key Vault dan Azure CLI
• Tentang Key Vault
• Tentang kunci, rahasia, dan sertifikat
• Praktik terbaik untuk manajemen rahasia pada Key Vault
• Panduan Pengembang Key Vault