Apa itu Azure Key Vault?
Azure Key Vault adalah penyimpanan rahasia: layanan cloud terpusat untuk menyimpan rahasia aplikasi, seperti nilai konfigurasi seperti kata sandi dan string koneksi yang harus tetap aman setiap saat. Key Vault membantu Anda mengontrol rahasia aplikasi dengan menyimpannya di satu lokasi pusat. Ini menyediakan akses aman, kontrol izin, dan pengelogan akses.
Manfaat utama menggunakan Key Vault adalah:
- Pemisahan informasi aplikasi sensitif dari konfigurasi dan kode lain, yang mengurangi risiko kebocoran yang tidak disengaja
- Akses rahasia terbatas dengan kebijakan akses yang disesuaikan dengan aplikasi dan individu yang membutuhkannya
- Penyimpanan rahasia terpusat, artinya perubahan yang diperlukan hanya harus dilakukan di satu tempat
- Akses pengelogan dan pemantauan untuk membantu Anda memahami bagaimana dan kapan rahasia diakses
Rahasia disimpan dalam brankas individual, yang merupakan sumber daya Azure yang digunakan untuk mengelompokkan rahasia bersama. Akses rahasia dan manajemen vault dicapai dengan menggunakan REST API. Semua alat manajemen Azure dan pustaka klien yang tersedia untuk banyak bahasa populer juga mendukung API ini. Setiap brankas memiliki URL unik tempat API-nya dihosting.
Penting
Key Vault dirancang untuk menyimpan rahasia konfigurasi untuk aplikasi server. Ini tidak dimaksudkan untuk menyimpan data milik pengguna aplikasi Anda. Ini tidak boleh digunakan di bagian sisi klien dari aplikasi. Perilaku ini tercermin dalam karakteristik performa, API, dan model biayanya.
Data pengguna harus disimpan di tempat lain, seperti dalam database Azure SQL dengan Enkripsi Data Transparan, atau akun penyimpanan dengan Enkripsi Layanan Penyimpanan. Rahasia yang digunakan aplikasi Anda untuk mengakses penyimpanan data tersebut dapat disimpan di Key Vault.
Apa itu rahasia di Key Vault?
Di Key Vault, rahasia adalah sepasang string bernilai nama. Nama rahasia harus memiliki panjang 1-127 karakter, hanya berisi karakter alfanumerik dan tanda hubung, dan harus unik dalam brankas. Nilai rahasia bisa berupa string UTF-8 yang berukuran hingga 25 KB.
Tip
Nama rahasia tidak perlu dipertimbangkan terutama rahasia itu sendiri. Anda dapat menyimpannya di konfigurasi aplikasi jika implementasinya membutuhkan itu. Hal yang sama berlaku untuk nama dan URL brankas.
Catatan
Key Vault mendukung dua jenis rahasia tambahan di luar string: kunci dan sertifikat. Key Vault menyediakan fungsionalitas yang berguna khusus untuk kasus penggunaannya. Modul ini tidak mencakup fitur-fitur ini dan berkonsentrasi pada string rahasia seperti kata sandi dan string koneksi.
Autentikasi dan izin akses brankas
API Key Vault menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan aplikasi. Kebijakan akses brankas didasarkan pada tindakan dan diterapkan di seluruh brankas. Misalnya, aplikasi dengan Get izin (membaca nilai rahasia), List (mencantumkan nama semua rahasia), dan Set (membuat atau memperbarui nilai rahasia) ke vault dapat membuat rahasia, mencantumkan semua nama rahasia, dan mendapatkan dan mengatur semua nilai rahasia di vault tersebut.
Semua tindakan yang dilakukan pada vault memerlukan autentikasi dan otorisasi. Tidak ada cara untuk memberikan segala jenis akses anonim.
Tip
Saat Anda memberikan akses vault ke pengembang dan aplikasi, berikan hanya sekumpulan izin minimum yang diperlukan. Pembatasan izin membantu menghindari kecelakaan yang disebabkan oleh bug kode, dan mengurangi dampak info masuk dicuri atau kode berbahaya dimasukkan ke dalam aplikasi Anda.
Pengembang biasanya hanya memerlukan Get izin dan List ke vault lingkungan pengembangan. Beberapa teknisi memerlukan izin penuh untuk mengubah dan menambahkan rahasia, jika perlu.
Untuk aplikasi, seringkali hanya Get izin yang diperlukan. Beberapa aplikasi mungkin memerlukan List tergantung pada cara aplikasi diterapkan. Aplikasi dalam latihan modul ini memerlukan List izin karena teknik yang digunakannya untuk membaca rahasia dari vault.