Tentang rahasia Azure Key Vault
Key Vault menyediakan penyimpanan rahasia dengan aman, seperti string koneksi database dan kata sandi.
Dari perspektif pengembang, API Key Vault menerima dan mengembalikan nilai rahasia sebagai string. Secara internal, Key Vault menyimpan dan mengelola rahasia sebagai urutan oktet (bita 8-bit), dengan ukuran maksimum masing-masing 25k bita. Layanan Key Vault tidak menyediakan semantik untuk rahasia. Layanan ini hanya menerima data, mengenkripsinya, menyimpannya, dan mengembalikan pengidentifikasi rahasia ("id"). Pengidentifikasi dapat digunakan untuk mengambil rahasia di lain waktu.
Untuk data yang sangat sensitif, klien harus mempertimbangkan lapisan perlindungan tambahan untuk data. Mengenkripsi data menggunakan kunci perlindungan terpisah sebelum penyimpanan di Key Vault adalah salah satu contohnya.
Key Vault juga mendukung bidang contentType untuk rahasia. Klien dapat menentukan jenis konten rahasia untuk membantu interpretasi data rahasia saat diambil. Panjang maksimum bidang ini adalah 255 karakter. Penggunaan yang disarankan adalah sebagai petunjuk untuk interpretasi data rahasia. Misalnya, suatu implementasi dapat menyimpan kata sandi dan sertifikat sebagai rahasia, lalu menggunakan bidang ini untuk membedakannya. Tidak ada nilai yang telah ditentukan sebelumnya.
Enkripsi
Semua rahasia di Key Vault Anda disimpan dienkripsi. Brankas kunci mengenkripsi rahasia saat diam dengan hierarki kunci enkripsi, dengan semua kunci dalam hierarki tersebut dilindungi oleh modul yang sesuai dengan FIPS 140-2. Enkripsi ini transparan, dan tidak perlu tindakan dari pengguna. Layanan Azure Key Vault mengenkripsi rahasia Anda saat ditambahkan, dan mendekripsinya secara otomatis saat dibaca.
Kunci daun enkripsi dari hierarki kunci bersifat unik untuk setiap key vault. Kunci akar enkripsi dari hierarki kunci bersifat unik dalam dunia keamanan, dan tingkat perlindungannya bervariasi antar wilayah:
- China: kunci akar dilindungi oleh modul yang divalidasi bagi FIPS 140-2 Level 1.
- China: kunci akar dilindungi oleh modul yang divalidasi bagi FIPS 140-2 Level 2 lainnya.
Atribut rahasia
Selain data rahasia, atribut berikut dapat ditentukan:
- exp: IntDate, opsional, defaultnya selamanya. Atribut exp (waktu kedaluwarsa) mengenali waktu kedaluwarsa pada atau setelah data rahasia itu TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi karena ia memberi tahu pengguna layanan brankas kunci bahwa rahasia tertentu mungkin tidak digunakan. Nilainya HARUS merupakan angka yang berisi nilai IntDate.
- nbf: IntDate, opsional, defaultnya sekarang. Atribut nbf (not before) mengenali waktu sebelum data rahasianya TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi. Nilainya HARUS merupakan angka yang berisi nilai IntDate.
- enabled: boolean, opsional, defaultnya adalah benar. Atribut ini menentukan apakah data rahasia dapat diambil. Atribut enabled digunakan bersama dengan nbf dan exp ketika operasi terjadi antara nbf dan exp, itu hanya akan diizinkan jika enabled berisi benar. Operasi di luar jendela nbf dan exp secara otomatis tidak diizinkan, kecuali dalam situasi tertentu.
Ada atribut baca-saja tambahan yang disertakan dalam respons apa pun yang mencakup atribut utama:
- created: IntDate, opsional. Atribut created menunjukkan kapan versi rahasia ini dibuat. Nilainya null untuk rahasia yang dibuat sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.
- updated: IntDate, opsional. Atribut updated menunjukkan kapan versi rahasia ini diperbarui. Nilainya null untuk rahasia yang diperbarui sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.
Untuk informasi tentang atribut umum setiap tipe objek brankas kunci, lihat Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault
Operasi terkontrol tanggal-waktu
Operasi get rahasia bekerja untuk rahasia yang belum valid dan kedaluwarsa, di luar jendela nbf / exp. Memanggil operasi get rahasia, untuk rahasia yang belum valid, dapat digunakan untuk pengujian. Mengambil (get) rahasia yang kedaluwarsa, dapat digunakan untuk operasi pemulihan.
Kontrol akses rahasia
Kontrol Akses untuk rahasia yang dikelola di Key Vault, disediakan di tingkat Key Vault yang berisi rahasia tersebut. Kebijakan kontrol akses untuk rahasia berbeda dengan kebijakan kontrol akses untuk kunci di Key Vault yang sama. Pengguna dapat membuat satu atau beberapa vault untuk memegang rahasia, dan perlu mempertahankan skenario segmentasi dan manajemen rahasia yang sesuai.
Izin berikut dapat digunakan, secara per-prinsipal, dalam entri kontrol akses rahasia pada brankas, dan mencerminkan dengan cermat operasi yang diizinkan pada objek rahasia:
Izin untuk operasi manajemen utama
- get: Membaca rahasia
- list: Mencantumkan rahasia atau versi rahasia yang disimpan di Key Vault
- set: Membuat rahasia
- delete: Menghapus rahasia
- recover: Memulihkan rahasia yang dihapus
- backup: Mencadangkan rahasia dalam brankas kunci
- restore: Memulihkan rahasia yang dicadangkan ke brankas kunci
Izin untuk operasi istimewa
- purge: Hapus menyeluruh (menghapus secara permanen) rahasia yang dihapus
Untuk informasi selengkapnya tentang rahasia, lihat Operasi rahasia di rujukan Key Vault REST API. Untuk informasi tentang menetapkan izin, lihat Vault - Buat atau Perbarui dan Vault - Kebijakan Akses Pembaruan.
Panduan cara mengontrol akses di Key Vault:
- Tetapkan kebijakan akses Key Vault dengan CLI
- Tetapkan kebijakan akses Key Vault dengan PowerShell
- Tetapkan kebijakan akses Key Vault dengan portal Azure
- Sediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure
Tag rahasia
Anda dapat menentukan metadata khusus-aplikasi tambahan dalam bentuk tag. Key Vault mendukung hingga 15 tag, yang setiapnya dapat bernama 256 karakter dan bernilai 256 karakter.
Catatan
Tag dapat dibaca oleh pemanggil jika mereka memiliki izin list atau get.
Skenario penggunaan
| Waktu menggunakan | Contoh |
|---|---|
| Simpan dengan aman, kelola siklus hidup, dan pantau info masuk untuk komunikasi layanan-ke-layanan seperti kata sandi, kunci akses, rahasia klien perwakilan layanan. | - Menggunakan Azure Key Vault dengan Mesin Virtual - Menggunakan Azure Key Vault dengan Aplikasi Web Azure |
Langkah berikutnya
- Praktik terbaik untuk manajemen rahasia pada Key Vault
- Tentang Key Vault
- Tentang kunci, rahasia, dan sertifikat
- Menetapkan kebijakan akses Key Vault
- Sediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure
- Akses aman ke Key Vault
- Panduan Pengembang Key Vault