Guida per gli sviluppatori per Azure Key Vault
Azure Key Vault consente di accedere in modo sicuro ai dati sensibili dall'interno delle applicazioni:
- Le chiavi, i segreti e i certificati vengono protetti senza dover scrivere manualmente il codice ed è possibile usarli facilmente dalle applicazioni.
- È possibile consentire ai clienti di essere proprietari e di eseguire la gestione dei propri segreti, chiavi e certificati, in modo da concentrarsi sulle principali funzionalità software da rendere disponibili. In questo modo le applicazioni non sono in alcun modo responsabili dei segreti, dei certificati e delle chiavi tenant dei clienti.
- L'applicazione può usare chiavi per la firma e la crittografia, ma mantenere la gestione delle chiavi esterna all'applicazione. Per altre informazioni, vedere Informazioni sulle chiavi.
- È possibile gestire credenziali come password, chiavi di accesso e token di firma di accesso condiviso archiviandoli in Key Vault come segreti. Per altre informazioni, vedere Informazioni sui segreti.
- Gestire i certificati. Per altre informazioni, vedere Informazioni sui certificati.
Per informazioni generali su Azure Key Vault, vedere Informazioni su Azure Key Vault.
Anteprime pubbliche
Periodicamente, viene rilasciata un'anteprima pubblica di una nuova funzionalità di Key Vault. Provare le funzionalità di anteprima pubblica e comunicare il feedback all'indirizzo e-mail azurekeyvault@microsoft.com.
Creare e gestire istanze di Key Vault
Come altri servizi di Azure, Key Vault viene gestito tramite Azure Resource Manager. Azure Resource Manager è il servizio di distribuzione e gestione di Azure. È possibile usarlo per creare, aggiornare ed eliminare risorse nell'account Azure.
Il controllo degli accessi in base al ruolo di Azure controlla l'accesso al livello di gestione, noto anche come piano di gestione. Il piano di gestione in Key Vault si usa per creare e gestire le istanze di Key Vault e i relativi attributi, inclusi i criteri di accesso. Il piano dati si usa per gestire chiavi, certificati e segreti.
È possibile usare il ruolo predefinito Collaboratore di Key Vault per concedere l'accesso per la gestione a Key Vault.
API e SDK per la gestione di Key Vault
| Interfaccia della riga di comando di Azure | PowerShell | API REST | Gestione risorse | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento | Riferimento Guida introduttiva |
Riferimento | Riferimento | Riferimento | Riferimento |
Per i pacchetti di installazione e il codice sorgente, vedere Librerie client.
Eseguire l'autenticazione con Key Vault nel codice
Key Vault usa l'autenticazione di Microsoft Entra, che richiede un'entità di sicurezza di Microsoft Entra per concedere l'accesso. Un'entità di sicurezza di Microsoft Entra può essere un utente, un'entità servizio dell'applicazione, un'identità gestita per le risorse di Azure o un gruppo di uno qualsiasi di questi tipi.
Procedure consigliate per l'autenticazione
È consigliabile usare un'identità gestita per le applicazioni distribuite in Azure. Se si usano i servizi di Azure che non supportano le identità gestite o se le applicazioni vengono distribuite in locale, una possibile alternativa è un'entità servizio con un certificato. In questo scenario, il certificato deve essere archiviato in Key Vault e la rotazione va eseguita di frequente.
Usare un'entità servizio con un segreto per gli ambienti di sviluppo e test. Usare un'entità utente per lo sviluppo locale e Azure Cloud Shell.
È consigliabile usare queste entità di sicurezza in ogni ambiente:
- Ambiente di produzione: identità gestita o entità servizio con un certificato.
- Ambienti di sviluppo e test: identità gestita, entità servizio con certificato o entità servizio con un segreto.
- Sviluppo locale: entità utente o entità servizio con un segreto.
Librerie client di Identità di Azure
Gli scenari di autenticazione precedenti sono supportati dalla libreria client di identità di Azure e integrati con gli SDK di Key Vault. È possibile usare la libreria client di identità di Azure in più ambienti e piattaforme senza modificare il codice. La libreria recupera automaticamente i token di autenticazione dagli utenti che hanno eseguito l'accesso all'utente di Azure tramite l'interfaccia della riga di comando di Azure, Visual Studio, Visual Studio Code e altri mezzi.
Per altre informazioni sulla libreria client di identità di Azure, vedere:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Nota
Per Key Vault SDK per .NET versione 3 è consigliabile usare la libreria di autenticazione app, ma è ora deprecata. Per eseguire la migrazione a Key Vault SDK per .NET versione 4, seguire le indicazioni per la migrazione da AppAuthentication ad Azure.Identity.
Per esercitazioni su come eseguire l'autenticazione in Key Vault nelle applicazioni, vedere:
- Usare Azure Key Vault con una macchina virtuale in .NET
- Usare Azure Key Vault con una macchina virtuale in Python
- Usare un'identità gestita per connettere Key Vault a un'app Web di Azure in .NET
Gestire chiavi, certificati e segreti
Nota
Gli SDK per .NET, Python, Java, JavaScript, PowerShell e l'interfaccia della riga di comando di Azure fanno parte del processo di rilascio delle funzionalità di Key Vault tramite l'anteprima pubblica e la disponibilità generale con il supporto del team del servizio Key Vault. Sono disponibili altri client SDK per Key Vault, ma sono compilati e supportati da singoli team SDK su GitHub e rilasciati in base alla pianificazione dei team.
Il piano dati controlla l'accesso a chiavi, certificati e segreti. Per il controllo di accesso tramite il piano dati è possibile usare criteri di accesso a Key Vault locali o il controllo degli accessi in base al ruolo di Azure.
API e SDK per le chiavi
| Interfaccia della riga di comando di Azure | PowerShell | API REST | Gestione risorse | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento | Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Altre librerie
Client di crittografia per Key Vault e HSM gestito
Questo modulo fornisce un client di crittografia per il modulo client delle chiavi di Azure Key Vault per Go.
Nota
Questo progetto non è supportato dal team di Azure SDK, ma è allineato ai client di crittografia in altri linguaggi supportati.
| Lingua | Riferimento |
|---|---|
| Go | Riferimento |
API e SDK per i certificati
| Interfaccia della riga di comando di Azure | PowerShell | API REST | Gestione risorse | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento | N/D | Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
API e SDK per i segreti
| Interfaccia della riga di comando di Azure | PowerShell | API REST | Gestione risorse | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento | Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Riferimento Guida introduttiva |
Uso dei segreti
Usare Azure Key Vault per archiviare solo i segreti dell'applicazione. Alcuni esempi di segreti da archiviare in Key Vault includono:
- Segreti dell'applicazione client
- Stringhe di connessione
- Password
- Chiavi di accesso condivise
- Chiavi SSH
Qualsiasi informazione relativa ai segreti, ad esempio nomi utente e ID applicazione, può essere archiviata come tag in un segreto. Per qualsiasi altra impostazione di configurazione sensibile è consigliabile usare Configurazione app di Azure.
Riferimenti
Per i pacchetti di installazione e il codice sorgente, vedere Librerie client.
Per informazioni sulla sicurezza del piano dati per Key Vault, vedere Funzionalità di sicurezza di Azure Key Vault.
Usare Key Vault nelle applicazioni
Per sfruttare le ultime funzionalità di Key Vault, è consigliabile usare gli SDK di Key Vault disponibili per l'uso di segreti, certificati e chiavi nell'applicazione. Gli SDK e l'API REST di Key Vault vengono aggiornati man mano che vengono rilasciate nuove funzionalità per il prodotto e seguono le linee guida e le procedure consigliate.
Per gli scenari di base, sono disponibili altre librerie e soluzioni di integrazione per un uso semplificato, supportate dai partner Microsoft o dalle community open source.
Per i certificati, è possibile usare:
- L'estensione macchina virtuale di Key Vault, che offre l'aggiornamento automatico dei certificati archiviati in Azure Key Vault. Per altre informazioni, vedere:
- Integrazione del Servizio app di Azure, che può importare e aggiornare automaticamente i certificati da Key Vault. Per altre informazioni, vedere Importare un certificato da Key Vault.
Per i segreti, è possibile usare:
- Segreti di Key Vault con le impostazioni applicazione del Servizio app di Azure. Per altre informazioni, vedere Usare i riferimenti a Key Vault per Servizio app e Funzioni di Azure.
- Riferimenti a Key Vault con app Azure Configurazione per semplificare l'accesso dell'applicazione alla configurazione e ai segreti. Per altre informazioni, vedere Usare i riferimenti a Key Vault in app Azure Configurazione.
Esempi di codice
Per esempi completi relativi all'uso di Key Vault con le applicazioni, vedere gli esempi di codice di Azure Key Vault.
Indicazioni specifiche per le attività
Gli articoli e gli scenari seguenti offrono indicazioni specifiche su come usare l'insieme di credenziali delle chiavi di Azure:
- Per accedere a un'istanza di Key Vault, l'applicazione client deve poter accedere a più endpoint per varie funzionalità. Vedere Accedere a Key Vault protetto da firewall.
- Un'applicazione cloud in esecuzione in una macchina virtuale di Azure richiede un certificato. Come si ottiene il certificato per questa VM? Vedere Estensione macchina virtuale di Key Vault per Windows e Estensione macchina virtuale di Key Vault per Linux.
- Per assegnare un criterio di accesso usando l'interfaccia della riga di comando di Azure, PowerShell o il portale di Azure, vedere Assegnare un criterio di accesso di Key Vault.
- Per indicazioni sull'uso e sul ciclo di vita di un'istanza di Key Vault e di vari oggetti del Key Vault con eliminazione temporanea abilitata, vedere Gestione del ripristino di Azure Key Vault con protezione dall'eliminazione temporanea e dalla rimozione definitiva.
- Quando è necessario passare un valore protetto (ad esempio una password) come parametro durante la distribuzione, è possibile archiviare tale valore come segreto in un'istanza di Key Vault e fare riferimento al valore in altri modelli di Resource Manager. Vedere Usare Azure Key Vault per passare valori di parametro protetti durante la distribuzione.
Integrazione con Key Vault
I servizi e gli scenari seguenti usano o si integrano con Key Vault:
- La crittografia dei dati inattivi consiste nella codifica (crittografia) dei dati quando questi vengono resi persistenti. Le chiavi di crittografia dei dati vengono spesso crittografate con una chiave di crittografia della chiave in Azure Key Vault per limitare ulteriormente l'accesso.
- Azure Information Protection consente di gestire la propria chiave tenant. Ad esempio, anziché affidare a Microsoft la gestione della chiave tenant (impostazione predefinita), l'utente può gestire la propria chiave tenant per garantire la conformità alle normative specifiche che si applicano all'organizzazione. La gestione della propria chiave tenant viene anche definita Bring Your Own Key (BYOK).
- Il servizio di collegamento privato di Azure consente di accedere ai servizi di Azure, ad esempio Azure Key Vault, Archiviazione di Azure e Azure Cosmos DB, e ai servizi di clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.
- L'integrazione di Key Vault con Griglia di eventi di Azure consente agli utenti di ricevere una notifica quando lo stato di un segreto archiviato in Key Vault è stato modificato. È possibile distribuire nuove versioni dei segreti alle applicazioni o eseguire la rotazione dei segreti vicini alla scadenza per evitare interruzioni.
- Proteggere i segreti di Azure DevOps dall'accesso indesiderato in Key Vault.
- Usare i segreti archiviati in Key Vault per connettersi ad Archiviazione di Azure da Azure Databricks.
- Configurare ed eseguire il provider di Azure Key Vault per il driver CSI dell'archivio segreti in Kubernetes.
Panoramiche e concetti su Key Vault
Per informazioni su:
- Una funzionalità che consente il ripristino di oggetti eliminati, indipendentemente dal fatto che l'eliminazione sia stata accidentale o intenzionale, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.
- I concetti di base della limitazione e un approccio per l'app, vedere Guida alla limitazione delle richieste per Azure Key Vault.
- Le relazioni tra aree e aree di sicurezza, vedere Scenari di sicurezza di Azure Key Vault e confini geografici.
Social
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per