Panoramica di chiavi, segreti e certificati di Azure Key Vault
Azure Key Vault consente agli utenti e alle applicazioni di Microsoft Azure di archiviare e usare diversi tipi di dati di segreti/chiavi: chiavi, segreti e certificati. Chiavi, segreti e certificati sono detti collettivamente "oggetti".
Identificatori di oggetto
Gli oggetti vengono identificati in modo univoco all'interno di Key Vault usando un identificatore senza distinzione tra maiuscole e minuscole detto identificatore di oggetto. Nel sistema non possono esserci due oggetti con lo stesso identificatore, indipendentemente dalla posizione geografica. L'identificatore è costituito da un prefisso che identifica l'insieme di credenziali delle chiavi, seguito dal tipo di oggetto, dal nome dell'oggetto specificato dall'utente e dalla versione dell'oggetto. Gli identificatori che non includono la versione dell'oggetto vengono definiti identificatori di base. Gli identificatori degli oggetti di Key Vault sono anche URL validi, ma devono essere sempre confrontati come stringhe senza distinzione tra maiuscole e minuscole.
Per ulteriori informazioni, vedere Autenticazione, richieste e risposte
Un identificatore di oggetto ha il seguente formato generale (in base al tipo di contenitore):
Per gli insiemi di credenziali:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Per i pool di moduli di protezione hardware gestiti:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Nota
Per informazioni sui tipi di oggetti supportati da ogni tipo di contenitore, vedere Supporto dei tipi di oggetto.
Dove:
| Elemento | Descrizione |
|---|---|
vault-name oppure hsm-name |
Il nome di un insieme di credenziali delle chiavi o di un pool di moduli di protezione hardware gestiti nel servizio Microsoft Azure Key Vault. I nomi di insiemi di credenziali e di pool di moduli di protezione hardware gestiti vengono selezionati dall'utente e sono univoci a livello globale. Il nome dell'insieme di credenziali e il nome del pool di moduli di protezione hardware gestiti devono essere costituiti da una stringa di lunghezza compresa tra 3 e 24 caratteri, contenente solo i numeri 0-9, i caratteri a-z e A-Z e il trattino - non consecutivo. |
object-type |
Il tipo di oggetto: "chiavi", "segreti" o "certificati". |
object-name |
Un object-name è un nome fornito dall'utente e deve essere univoco all'interno di un insieme di credenziali delle chiavi. Il nome deve essere costituito da una stringa di lunghezza compresa tra 1 e 127 caratteri, che inizia con una lettera e contiene solo i numeri 0-9, i caratteri a-z e A-Z e il trattino -. |
object-version |
object-version è un identificatore di stringa di 32 caratteri generato dal sistema che viene usato facoltativamente per fare riferimento a una versione univoca di un oggetto. |
Suffissi DNS per gli identificatori di oggetto
Il provider di risorse di Azure Key Vault supporta due tipi di risorse: gli insiemi di credenziali e i moduli di protezione hardware gestiti. Questa tabella mostra il suffisso DNS usato dall'endpoint del piano dati per gli insiemi di credenziali e i pool di moduli di protezione hardware gestiti in diversi ambienti cloud.
| Ambiente cloud | Suffisso DNS per gli insiemi di credenziali | Suffisso DNS per i moduli di protezione hardware gestiti |
|---|---|---|
| Cloud di Azure | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure gestito da 21Vianet Cloud | .vault.azure.cn | Non supportato |
| Azure Governo Statunitense | .vault.usgovcloudapi.net | Non supportato |
| Cloud di Azure per la Germania | .vault.microsoftazure.de | Non supportato |
Tipi di oggetto
Questa tabella mostra i tipi di oggetto e i rispettivi suffissi nell'identificatore di oggetto.
| Object type | Suffisso identificatore | Insiemi di credenziali | Pool di moduli di protezione hardware gestiti |
|---|---|---|---|
| Chiavi con protezione HSM | /keys | Supportata | Supportata |
| Chiavi con protezione software | /keys | Supportato | Non supportato |
| Segreti | /secrets | Supportato | Non supportato |
| Certificati | /certificates | Supportato | Non supportato |
| Chiavi dell'account di archiviazione | /storage | Supportato | Non supportato |
- Chiavi crittografiche: supporta più tipi di chiavi e algoritmi e consente l'uso di chiavi protette tramite software e con protezione HSM. Per altre informazioni, vedere Informazioni sulle chiavi.
- Segreti: offre l'archiviazione sicura di segreti, ad esempio password e stringhe di connessione di database. Per altre informazioni, vedere Informazioni sui segreti.
- Certificati: supporta i certificati, che sono basati su chiavi e segreti, e aggiunge una funzionalità di rinnovo automatico. Tenere presente che quando viene creato un certificato, vengono creati anche una chiave indirizzabile e un segreto con lo stesso nome. Per altre informazioni, vedere Informazioni sui certificati.
- Chiavi di account di archiviazione di Azure: consente di gestire le chiavi di un account di archiviazione di Azure dell'utente. Internamente, Key Vault può elencare (sincronizzare) le chiavi con un account di archiviazione di Azure e rigenerare (ruotare) tali chiavi con cadenza periodica. Per altre informazioni, vedere Gestire le chiavi di accesso dell'account di archiviazione con Key Vault.
Per altre informazioni generali su Key Vault, vedere Informazioni su Azure Key Vault. Per altre informazioni sui pool di moduli di protezione hardware gestiti, vedere Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?
Tipo di dati
Fare riferimento alle specifiche JOSE per i tipi di dati pertinenti per chiavi, crittografia e firma.
- algoritmo: un algoritmo supportato per un'operazione della chiave, ad esempio, RSA1_5
- valore di testo crittografato: ottetti di testo cifrati, codificati tramite Base64URL
- valore di digest: l'output di un algoritmo hash, codificato tramite Base64URL
- key-type: uno dei tipi di chiave supportati, ad esempio RSA (Rivest-Shamir-Adleman)
- valore di testo non crittografato: ottetti di testo non crittografato, codificati tramite Base64URL
- valore di firma: l'output di un algoritmo di firma, codificato tramite Base64URL
- base64URL: un valore binario Base64URL [RFC4648] codificato
- booleano: vero o falso
- Identità : un'identità di Microsoft Entra ID.
- IntDate : un valore decimale JSON che rappresenta il numero di secondi da 1970-01-01T0:0:0Z UTC fino alla data/ora UTC specificata. Per informazioni dettagliate sui valori data/ora in generale e UTC in particolare, vedere RFC3339.
Oggetti, identificatori e controllo delle versioni
Agli oggetti archiviati in Key Vault viene applicato il controllo delle versioni ogni volta che si crea una nuova istanza di un oggetto. A ogni versione vengono assegnati un identificatore di oggetto univoco. Un oggetto creato per la prima volta viene etichettato con un identificatore univoco della versione e contrassegnato come versione corrente dell'oggetto. La creazione di una nuova istanza con lo stesso nome assegna al nuovo oggetto un identificatore univoco della versione, trasformando tale oggetto nella versione corrente.
Gli oggetti in Key Vault possono essere recuperati specificando una versione o omettendola per ottenere quella più recente dell'oggetto. Per eseguire operazioni sugli oggetti, è necessario specificare la versione per usare una versione specifica dell'oggetto.
Nota
I valori specificati per le risorse di Azure o gli ID di oggetto possono essere copiati a livello globale allo scopo di eseguire il servizio. Il valore specificato non deve includere informazioni personali o sensibili.