Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Key Vault menyediakan penyimpanan aman untuk rahasia umum, seperti kata sandi dan string koneksi database.
Dari perspektif pengembang, API Key Vault menerima dan mengembalikan nilai rahasia sebagai string. Secara internal, Key Vault menyimpan dan mengelola rahasia sebagai urutan oktet (byte 8-bit), dengan ukuran maksimum masing-masing 25 KB. Layanan Key Vault tidak menyediakan semantik untuk rahasia. Ini hanya menerima data, mengenkripsinya, menyimpannya, dan mengembalikan pengidentifikasi rahasia (id). Anda dapat menggunakan pengidentifikasi untuk memperoleh data rahasia di lain waktu.
Untuk data yang sangat sensitif, pertimbangkan untuk menambahkan lapisan perlindungan tambahan. Misalnya, enkripsi data dengan menggunakan kunci perlindungan terpisah sebelum menyimpannya di Key Vault.
Key Vault juga mendukung bidang contentType untuk rahasia. Klien dapat menentukan jenis konten rahasia untuk membantu menginterpretasikan data rahasia saat diambil. Panjang maksimum bidang ini adalah 255 karakter. Penggunaan yang disarankan adalah sebagai petunjuk untuk interpretasi data rahasia. Misalnya, implementasi mungkin menyimpan kata sandi dan sertifikat sebagai rahasia, lalu menggunakan bidang ini untuk membedakan. Tidak ada nilai yang telah ditentukan sebelumnya.
Enkripsi
Key Vault menyimpan semua rahasia di key vault Anda sebagai data terenkripsi. Key Vault mengenkripsi rahasia saat tidak aktif dengan menggunakan hierarki kunci enkripsi, dengan semua kunci dalam hierarki yang dilindungi oleh modul yang divalidasi FIPS. Enkripsi ini transparan dan tidak memerlukan tindakan dari Anda. Layanan Azure Key Vault mengenkripsi rahasia Anda saat Anda menambahkannya dan mendekripsinya secara otomatis saat Anda membacanya.
Kunci daun enkripsi dari hierarki kunci bersifat unik untuk setiap key vault. Kunci akar enkripsi hierarki kunci unik untuk dunia keamanan. Untuk informasi tentang tingkat validasi FIPS untuk setiap tingkat Key Vault dan HSM Terkelola, lihat Tentang kunci: Kepatuhan.
Atribut rahasia
Selain data rahasia, Anda dapat menentukan atribut berikut:
- exp: IntDate, opsional, default adalah selamanya. Atribut exp (waktu kedaluwarsa) mengatur waktu kedaluwarsa pada atau setelah itu data rahasia TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi karena menginformasikan kepada pengguna layanan brankas kunci bahwa rahasia tertentu mungkin tidak digunakan. Nilainya harus merupakan angka yang berisi nilai IntDate.
- nbf: IntDate, opsional, default adalah sekarang. Atribut nbf (tidak sebelumnya) mengatur waktu sebelum data rahasia TIDAK BOLEH diambil, kecuali dalam situasi tertentu. Bidang ini hanya untuk tujuan informasi . Nilainya harus merupakan angka yang berisi nilai IntDate.
- enabled: boolean, opsional, defaultnya adalah benar. Atribut ini menentukan apakah data rahasia dapat diambil. Gunakan atribut yang diaktifkan dengan nbf dan exp. Ketika operasi terjadi antara nbf dan exp, operasi hanya diizinkan jika diaktifkan diatur ke true. Operasi di luar jendela nbf dan exp secara otomatis tidak diizinkan, kecuali dalam situasi tertentu.
Atribut baca-saja berikut disertakan dalam respons apa pun yang menyertakan atribut rahasia:
- created: IntDate, Opsional. Atribut created menunjukkan kapan versi rahasia ini dibuat. Nilainya null untuk rahasia yang dibuat sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.
- updated: IntDate, opsional. Atribut updated menunjukkan kapan versi rahasia ini diperbarui. Nilainya null untuk rahasia yang diperbarui sebelum penambahan atribut ini. Nilainya harus merupakan angka yang berisi nilai IntDate.
Untuk informasi tentang atribut umum untuk setiap tipe objek brankas kunci, lihat gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault.
Operasi yang dikendalikan oleh waktu tanggal
Operasi get rahasia berfungsi untuk rahasia yang belum valid dan kedaluwarsa, di luar jendela nbf / exp . Memanggil operasi get rahasia untuk rahasia yang belum valid dapat digunakan untuk tujuan pengujian. Mengambil rahasia yang telah kedaluwarsa dapat digunakan dalam operasi pemulihan.
Kontrol akses rahasia
Kontrol akses untuk rahasia yang dikelola dalam Key Vault disediakan pada tingkat key vault yang berisi rahasia tersebut. Kebijakan kontrol akses untuk rahasia berbeda dari kebijakan kontrol akses untuk kunci dalam brankas kunci yang sama. Pengguna dapat membuat satu atau beberapa vault untuk menyimpan rahasia, dan diharuskan untuk mempertahankan segmentasi dan manajemen rahasia yang sesuai skenario.
Gunakan izin berikut, per prinsipal, dalam entri kontrol akses rahasia pada brankas. Izin ini mencerminkan dengan cermat operasi yang diizinkan pada objek rahasia:
Izin untuk operasi manajemen rahasia
- get: Membaca rahasia
- list: Mencantumkan rahasia atau versi rahasia yang disimpan dalam Key Vault
- set: Membuat rahasia
- delete: Menghapus rahasia
- recover: Memulihkan rahasia yang dihapus
- backup: Mencadangkan rahasia di brankas kunci
- restore: Memulihkan rahasia yang dicadangkan ke tempat penyimpanan kunci
Izin untuk operasi istimewa
- pembersihan: Pembersihan (menghapus permanen) rahasia yang dihapus
Untuk informasi selengkapnya tentang bekerja dengan rahasia, lihat Operasi Rahasia dalam referensi REST API Key Vault. Untuk informasi tentang membuat izin, lihat Vault - Buat atau Perbarui dan Vault - Perbarui Kebijakan Akses.
Panduan cara mengontrol akses di Key Vault:
- Berikan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran di Azure (disarankan)
- Menetapkan kebijakan akses Key Vault (warisan)
Tag rahasia
Anda dapat menentukan lebih banyak metadata khusus aplikasi dalam bentuk tag. Key Vault mendukung hingga 15 tag, yang masing-masing dapat memiliki nama 512 karakter dan nilai 512 karakter.
Nota
Jika penelepon memiliki daftar atau mendapatkan izin, mereka dapat membaca tag.
Skenario penggunaan
| Kapan harus menggunakan | Contoh |
|---|---|
| Simpan, kelola siklus hidup, dan pantau kredensial dengan aman untuk komunikasi layanan-ke-layanan seperti kata sandi, kunci akses, rahasia klien perwakilan layanan. |
-
Gunakan Azure Key Vault dengan Komputer Virtual - Gunakan Azure Key Vault dengan Aplikasi Web Azure |
Langkah selanjutnya
- Manajemen Kunci di Azure
- Praktik terbaik untuk manajemen rahasia di Key Vault
- Tentang Key Vault
- Tentang kunci, rahasia, dan sertifikat
- Menetapkan kebijakan akses Key Vault
- Berikan akses ke kunci, sertifikat, dan rahasia di Key Vault dengan kontrol akses berbasis peran Azure
- Akses aman ke brankas kunci
- Panduan Pengembang Key Vault