Tentang rahasia Azure Key Vault

Artikel
03/25/2023

Key Vault menyediakan penyimpanan rahasia dengan aman, seperti string koneksi database dan kata sandi.

Dari perspektif pengembang, API Key Vault menerima dan mengembalikan nilai rahasia sebagai string. Secara internal, Key Vault menyimpan dan mengelola rahasia sebagai urutan oktet (bita 8-bit), dengan ukuran maksimum masing-masing 25k bita. Layanan Key Vault tidak menyediakan semantik untuk rahasia. Ini hanya menerima data, mengenkripsinya, menyimpannya, dan mengembalikan pengidentifikasi rahasia (id). Pengidentifikasi dapat digunakan untuk mengambil rahasia di lain waktu.

Untuk data yang sangat sensitif, klien harus mempertimbangkan lapisan perlindungan tambahan untuk data. Mengenkripsi data menggunakan kunci perlindungan terpisah sebelum penyimpanan di Key Vault adalah salah satu contohnya.

Key Vault juga mendukung bidang contentType untuk rahasia. Klien dapat menentukan jenis konten rahasia untuk membantu menginterpretasikan data rahasia saat diambil. Panjang maksimum bidang ini adalah 255 karakter. Penggunaan yang disarankan adalah sebagai petunjuk untuk interpretasi data rahasia. Misalnya, suatu implementasi dapat menyimpan kata sandi dan sertifikat sebagai rahasia, lalu menggunakan bidang ini untuk membedakannya. Tidak ada nilai yang telah ditentukan sebelumnya.

Enkripsi

Semua rahasia di Key Vault Anda disimpan dienkripsi. Brankas kunci mengenkripsi rahasia saat diam dengan hierarki kunci enkripsi, dengan semua kunci dalam hierarki tersebut dilindungi oleh modul yang sesuai dengan FIPS 140-2. Enkripsi ini transparan, dan tidak perlu tindakan dari pengguna. Layanan Azure Key Vault mengenkripsi rahasia Anda saat ditambahkan, dan mendekripsinya secara otomatis saat dibaca.

Kunci daun enkripsi dari hierarki kunci bersifat unik untuk setiap key vault. Kunci akar enkripsi dari hierarki kunci bersifat unik dalam dunia keamanan, dan tingkat perlindungannya bervariasi antar wilayah:

China: kunci akar dilindungi oleh modul yang divalidasi bagi FIPS 140-2 Level 1.
China: kunci akar dilindungi oleh modul yang divalidasi bagi FIPS 140-2 Level 2 lainnya.

Atribut rahasia

Selain data rahasia, atribut berikut dapat ditentukan:

exp: IntDate, opsional, defaultnya selamanya. Atribut exp (waktu kedaluwarsa) mengenali waktu kedaluwarsa pada atau setelah data rahasia itu TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi karena ia memberi tahu pengguna layanan brankas kunci bahwa rahasia tertentu mungkin tidak digunakan. Nilainya HARUS merupakan angka yang berisi nilai IntDate.
nbf: IntDate, opsional, defaultnya sekarang. Atribut nbf (not before) mengenali waktu sebelum data rahasianya TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi. Nilainya HARUS merupakan angka yang berisi nilai IntDate.
enabled: boolean, opsional, defaultnya adalah benar. Atribut ini menentukan apakah data rahasia dapat diambil. Atribut yang diaktifkan digunakan dengan nbf dan exp ketika operasi terjadi antara nbf dan exp, itu hanya akan diizinkan jika diaktifkan diatur ke true. Operasi di luar jendela nbf dan exp secara otomatis tidak diizinkan, kecuali dalam situasi tertentu.

Ada lebih banyak atribut baca-saja yang disertakan dalam respons apa pun yang menyertakan atribut rahasia:

created: IntDate, opsional. Atribut created menunjukkan kapan versi rahasia ini dibuat. Nilainya null untuk rahasia yang dibuat sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.
updated: IntDate, opsional. Atribut updated menunjukkan kapan versi rahasia ini diperbarui. Nilainya null untuk rahasia yang diperbarui sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.

Untuk informasi tentang atribut umum setiap tipe objek brankas kunci, lihat Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault

Operasi terkontrol tanggal-waktu

Operasi get rahasia bekerja untuk rahasia yang belum valid dan kedaluwarsa, di luar jendela nbf / exp. Memanggil operasi get rahasia, untuk rahasia yang belum valid, dapat digunakan untuk pengujian. Mengambil (get) rahasia yang kedaluwarsa, dapat digunakan untuk operasi pemulihan.

Kontrol akses rahasia

Kontrol Akses untuk rahasia yang dikelola di Key Vault, disediakan di tingkat Key Vault yang berisi rahasia tersebut. Kebijakan kontrol akses untuk rahasia berbeda dari kebijakan kontrol akses untuk kunci dalam Key Vault yang sama. Pengguna dapat membuat satu atau beberapa vault untuk memegang rahasia, dan perlu mempertahankan skenario segmentasi dan manajemen rahasia yang sesuai.

Izin berikut dapat digunakan, secara per-prinsipal, dalam entri kontrol akses rahasia pada brankas, dan mencerminkan dengan cermat operasi yang diizinkan pada objek rahasia:

Izin untuk operasi manajemen utama
- get: Membaca rahasia
- list: Mencantumkan rahasia atau versi rahasia yang disimpan di Key Vault
- set: Membuat rahasia
- delete: Menghapus rahasia
- recover: Memulihkan rahasia yang dihapus
- backup: Mencadangkan rahasia dalam brankas kunci
- restore: Memulihkan rahasia yang dicadangkan ke brankas kunci
Izin untuk operasi istimewa
- purge: Hapus menyeluruh (menghapus secara permanen) rahasia yang dihapus

Untuk informasi selengkapnya tentang rahasia, lihat Operasi rahasia di rujukan Key Vault REST API. Untuk informasi tentang menetapkan izin, lihat Vault - Buat atau Perbarui dan Vault - Kebijakan Akses Pembaruan.

Panduan cara mengontrol akses di Key Vault:

Tag rahasia

Anda dapat menentukan lebih banyak metadata khusus aplikasi dalam bentuk tag. Key Vault mendukung hingga 15 tag, yang setiapnya dapat bernama 256 karakter dan bernilai 256 karakter.

Catatan

Tag dapat dibaca oleh pemanggil jika mereka memiliki izin list atau get.

Skenario penggunaan

Waktu menggunakan	Contoh
Simpan dengan aman, kelola siklus hidup, dan pantau info masuk untuk komunikasi layanan-ke-layanan seperti kata sandi, kunci akses, rahasia klien perwakilan layanan.	- Menggunakan Azure Key Vault dengan Mesin Virtual - Menggunakan Azure Key Vault dengan Aplikasi Web Azure