Tentang rahasia Azure Key Vault

2025-05-09

Key Vault menyediakan penyimpanan rahasia umum yang aman, seperti kata sandi dan string koneksi database.

Dari perspektif pengembang, API Key Vault menerima dan mengembalikan nilai rahasia sebagai string. Secara internal, Key Vault menyimpan dan mengelola rahasia sebagai urutan oktet (bita 8-bit), dengan ukuran maksimum masing-masing 25k bita. Layanan Key Vault tidak menyediakan semantik untuk rahasia. Ini hanya menerima data, mengenkripsinya, menyimpannya, dan mengembalikan pengidentifikasi rahasia (id). Pengidentifikasi dapat digunakan untuk mengambil rahasia di lain waktu.

Untuk data yang sangat sensitif, klien harus mempertimbangkan lapisan perlindungan tambahan untuk data. Mengenkripsi data menggunakan kunci perlindungan terpisah sebelum penyimpanan di Key Vault adalah salah satu contohnya.

Key Vault juga mendukung bidang contentType untuk rahasia. Klien dapat menentukan jenis konten rahasia untuk membantu menginterpretasikan data rahasia saat diambil. Panjang maksimum bidang ini adalah 255 karakter. Penggunaan yang disarankan adalah sebagai petunjuk untuk interpretasi data rahasia. Misalnya, suatu implementasi dapat menyimpan kata sandi dan sertifikat sebagai rahasia, lalu menggunakan bidang ini untuk membedakannya. Tidak ada nilai yang telah ditentukan sebelumnya.

Enkripsi

Semua rahasia di Key Vault Anda disimpan dienkripsi. Key Vault mengenkripsi rahasia saat tidak aktif dengan hierarki kunci enkripsi, dengan semua kunci dalam hierarki tersebut dilindungi oleh modul yang sesuai dengan FIPS 140-2. Enkripsi ini transparan, dan tidak perlu tindakan dari pengguna. Layanan Azure Key Vault mengenkripsi rahasia Anda saat ditambahkan, dan mendekripsinya secara otomatis saat dibaca.

Kunci daun enkripsi dari hierarki kunci bersifat unik untuk setiap key vault. Kunci akar enkripsi hierarki kunci unik untuk dunia keamanan dan dilindungi oleh modul yang divalidasi untuk FIPS 140-2 Level 3 atau yang lebih tinggi.

Atribut rahasia

Selain data rahasia, atribut berikut dapat ditentukan:

exp: IntDate, opsional, default adalah selamanya. Atribut exp (waktu kedaluwarsa) mengidentifikasi waktu kedaluwarsa pada atau setelah itu data rahasia TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi karena menginformasikan kepada pengguna layanan brankas kunci bahwa rahasia tertentu mungkin tidak digunakan. Nilainya HARUS merupakan angka yang berisi nilai IntDate.
nbf: IntDate, opsional, default adalah sekarang. Atribut nbf (tidak sebelumnya) mengidentifikasi waktu sebelum data rahasia TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi . Nilainya HARUS merupakan angka yang berisi nilai IntDate.
enabled: boolean, opsional, defaultnya adalah benar. Atribut ini menentukan apakah data rahasia dapat diambil. Atribut yang diaktifkan digunakan dengan nbf dan exp ketika operasi terjadi antara nbf dan exp, itu hanya akan diizinkan jika diaktifkan diatur ke true. Operasi di luar jendela nbf dan exp secara otomatis tidak diizinkan, kecuali dalam situasi tertentu.

Ada lebih banyak atribut baca-saja yang disertakan dalam respons apa pun yang menyertakan atribut rahasia:

created: IntDate, opsional. Atribut created menunjukkan kapan versi rahasia ini dibuat. Nilainya null untuk rahasia yang dibuat sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.
updated: IntDate, opsional. Atribut updated menunjukkan kapan versi rahasia ini diperbarui. Nilainya null untuk rahasia yang diperbarui sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.

Untuk informasi tentang atribut umum untuk setiap jenis objek brankas kunci, lihat Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault

Operasi terkontrol tanggal-waktu

Operasi get pada rahasia akan berfungsi untuk rahasia yang belum valid dan yang sudah kedaluwarsa, di luar jendela nbf / exp. Memanggil operasi get pada rahasia yang masih belum valid dapat digunakan untuk tujuan pengujian. Mengambil (mendapatkan) rahasia yang telah kedaluwarsa dapat digunakan untuk operasi pemulihan.

Kontrol akses rahasia

Kontrol Akses untuk rahasia yang dikelola di Key Vault, disediakan di tingkat Key Vault yang berisi rahasia tersebut. Kebijakan kontrol akses untuk rahasia berbeda dari kebijakan kontrol akses untuk kunci di Key Vault yang sama. Pengguna dapat membuat satu atau beberapa vault untuk memegang rahasia, dan perlu mempertahankan skenario segmentasi dan manajemen rahasia yang sesuai.

Izin berikut dapat digunakan, secara per-prinsipal, dalam entri kontrol akses rahasia pada brankas, dan mencerminkan dengan cermat operasi yang diizinkan pada objek rahasia:

Izin untuk operasi manajemen utama
- get: Membaca rahasia
- list: Mencantumkan rahasia atau versi rahasia yang disimpan di Key Vault
- set: Membuat rahasia
- delete: Menghapus rahasia
- recover: Memulihkan rahasia yang dihapus
- backup: Mencadangkan rahasia di brankas kunci
- restore: Memulihkan rahasia yang dicadangkan ke tempat penyimpanan kunci
Izin untuk operasi istimewa
- pembersihan: Pembersihan (menghapus permanen) rahasia yang dihapus

Untuk informasi selengkapnya tentang bekerja dengan rahasia, lihat Operasi rahasia di referensi REST API Key Vault. Untuk informasi tentang membuat izin, lihat Vault - Buat atau Perbarui dan Vault - Perbarui Kebijakan Akses.

Panduan cara mengontrol akses di Key Vault:

Tag rahasia

Anda dapat menentukan lebih banyak metadata khusus aplikasi dalam bentuk tag. Key Vault mendukung hingga 15 tag, yang masing-masing dapat memiliki nama karakter 512 dan nilai karakter 512.

Nota

Tag dapat dibaca oleh pemanggil jika mereka memiliki izin list atau get.

Skenario penggunaan

Kapan harus menggunakan	Contoh
Simpan, kelola siklus hidup, dan pantau kredensial dengan aman untuk komunikasi layanan-ke-layanan seperti kata sandi, kunci akses, rahasia klien perwakilan layanan.	- Menggunakan Azure Key Vault dengan Komputer Virtual - Menggunakan Azure Key Vault dengan Azure Web App

Bagikan melalui