Condividi tramite


Panoramica di chiavi, segreti e certificati di Azure Key Vault

Azure Key Vault consente agli utenti e alle applicazioni di Microsoft Azure di archiviare e usare diversi tipi di dati di segreti/chiavi: chiavi, segreti e certificati. Chiavi, segreti e certificati sono detti collettivamente "oggetti".

Identificatori di oggetto

Gli oggetti vengono identificati in modo univoco all'interno di Key Vault usando un identificatore senza distinzione tra maiuscole e minuscole detto identificatore di oggetto. Nel sistema non possono esserci due oggetti con lo stesso identificatore, indipendentemente dalla posizione geografica. L'identificatore è costituito da un prefisso che identifica l'insieme di credenziali delle chiavi, seguito dal tipo di oggetto, dal nome dell'oggetto specificato dall'utente e dalla versione dell'oggetto. Gli identificatori che non includono la versione dell'oggetto vengono definiti identificatori di base. Gli identificatori degli oggetti di Key Vault sono anche URL validi, ma devono essere sempre confrontati come stringhe senza distinzione tra maiuscole e minuscole.

Per ulteriori informazioni, vedere Autenticazione, richieste e risposte

Un identificatore di oggetto ha il seguente formato generale (in base al tipo di contenitore):

  • Per gli insiemi di credenziali: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Per i pool di moduli di protezione hardware gestiti: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Nota

Per informazioni sui tipi di oggetti supportati da ogni tipo di contenitore, vedere Supporto dei tipi di oggetto.

Dove:

Elemento Descrizione
vault-name oppure hsm-name Il nome di un insieme di credenziali delle chiavi o di un pool di moduli di protezione hardware gestiti nel servizio Microsoft Azure Key Vault.

I nomi di insiemi di credenziali e di pool di moduli di protezione hardware gestiti vengono selezionati dall'utente e sono univoci a livello globale.

Il nome dell'insieme di credenziali e il nome del pool di moduli di protezione hardware gestiti devono essere costituiti da una stringa di lunghezza compresa tra 3 e 24 caratteri, contenente solo i numeri 0-9, i caratteri a-z e A-Z e il trattino - non consecutivo.
object-type Il tipo di oggetto: "chiavi", "segreti" o "certificati".
object-name Un object-name è un nome fornito dall'utente e deve essere univoco all'interno di un insieme di credenziali delle chiavi. Il nome deve essere costituito da una stringa di lunghezza compresa tra 1 e 127 caratteri, contenente solo i numeri 0-9, i caratteri a-z e A-Z e il trattino -.
object-version object-version è un identificatore di stringa di 32 caratteri generato dal sistema che viene usato facoltativamente per fare riferimento a una versione univoca di un oggetto.

Suffissi DNS per gli identificatori di oggetto

Il provider di risorse di Azure Key Vault supporta due tipi di risorse: gli insiemi di credenziali e i moduli di protezione hardware gestiti. Questa tabella mostra il suffisso DNS usato dall'endpoint del piano dati per gli insiemi di credenziali e i pool di moduli di protezione hardware gestiti in diversi ambienti cloud.

Ambiente cloud Suffisso DNS per gli insiemi di credenziali Suffisso DNS per i moduli di protezione hardware gestiti
Cloud di Azure .vault.azure.net .managedhsm.azure.net
Microsoft Azure gestito da 21Vianet Cloud .vault.azure.cn Non supportato
Azure Governo Statunitense .vault.usgovcloudapi.net Non supportato
Cloud di Azure per la Germania .vault.microsoftazure.de Non supportato

Tipi di oggetto

Questa tabella mostra i tipi di oggetto e i rispettivi suffissi nell'identificatore di oggetto.

Object type Suffisso identificatore Insiemi di credenziali Pool di moduli di protezione hardware gestiti
Chiavi con protezione HSM /keys Supportata Supportata
Chiavi con protezione software /keys Supportato Non supportato
Segreti /secrets Supportato Non supportato
Certificati /certificates Supportato Non supportato
Chiavi dell'account di archiviazione /storage Supportato Non supportato
  • Chiavi crittografiche: supporta più tipi di chiavi e algoritmi e consente l'uso di chiavi protette tramite software e con protezione HSM. Per altre informazioni, vedere Informazioni sulle chiavi.
  • Segreti: offre l'archiviazione sicura di segreti, ad esempio password e stringhe di connessione di database. Per altre informazioni, vedere Informazioni sui segreti.
  • Certificati: supporta i certificati, che sono basati su chiavi e segreti, e aggiunge una funzionalità di rinnovo automatico. Tenere presente che quando viene creato un certificato, vengono creati anche una chiave indirizzabile e un segreto con lo stesso nome. Per altre informazioni, vedere Informazioni sui certificati.
  • Chiavi di account di archiviazione di Azure: consente di gestire le chiavi di un account di archiviazione di Azure dell'utente. Internamente, Key Vault può elencare (sincronizzare) le chiavi con un account di archiviazione di Azure e rigenerare (ruotare) tali chiavi con cadenza periodica. Per altre informazioni, vedere Gestire le chiavi di accesso dell'account di archiviazione con Key Vault.

Per altre informazioni generali su Key Vault, vedere Informazioni su Azure Key Vault. Per altre informazioni sui pool di moduli di protezione hardware gestiti, vedere Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?

Tipo di dati

Fare riferimento alle specifiche JOSE per i tipi di dati pertinenti per chiavi, crittografia e firma.

  • algoritmo: un algoritmo supportato per un'operazione della chiave, ad esempio, RSA1_5
  • valore di testo crittografato: ottetti di testo cifrati, codificati tramite Base64URL
  • valore di digest: l'output di un algoritmo hash, codificato tramite Base64URL
  • key-type: uno dei tipi di chiave supportati, ad esempio RSA (Rivest-Shamir-Adleman)
  • valore di testo non crittografato: ottetti di testo non crittografato, codificati tramite Base64URL
  • valore di firma: l'output di un algoritmo di firma, codificato tramite Base64URL
  • base64URL: un valore binario Base64URL [RFC4648] codificato
  • booleano: vero o falso
  • Identità : un'identità di Microsoft Entra ID.
  • IntDate : un valore decimale JSON che rappresenta il numero di secondi da 1970-01-01T0:0:0Z UTC fino alla data/ora UTC specificata. Per informazioni dettagliate sui valori data/ora in generale e UTC in particolare, vedere RFC3339.

Oggetti, identificatori e controllo delle versioni

Agli oggetti archiviati in Key Vault viene applicato il controllo delle versioni ogni volta che si crea una nuova istanza di un oggetto. A ogni versione vengono assegnati un identificatore di oggetto univoco. Un oggetto creato per la prima volta viene etichettato con un identificatore univoco della versione e contrassegnato come versione corrente dell'oggetto. La creazione di una nuova istanza con lo stesso nome assegna al nuovo oggetto un identificatore univoco della versione, trasformando tale oggetto nella versione corrente.

Gli oggetti in Key Vault possono essere recuperati specificando una versione o omettendola per ottenere quella più recente dell'oggetto. Per eseguire operazioni sugli oggetti, è necessario specificare la versione per usare una versione specifica dell'oggetto.

Nota

I valori specificati per le risorse di Azure o gli ID di oggetto possono essere copiati a livello globale allo scopo di eseguire il servizio. Il valore specificato non deve includere informazioni personali o sensibili.

Passaggi successivi