Delen via


Gids voor Azure Key Vault-ontwikkelaars

Met Azure Key Vault kunt u veilig toegang krijgen tot gevoelige informatie vanuit uw toepassingen:

  • Sleutels, geheimen en certificaten worden beveiligd zonder dat u de code zelf hoeft te schrijven en u kunt ze eenvoudig gebruiken vanuit uw toepassingen.
  • U stelt klanten in staat hun eigen sleutels, geheimen en certificaten te bezitten en te beheren, zodat u zich kunt concentreren op het leveren van de belangrijkste softwarefuncties. Op deze manier zijn uw toepassingen niet eigenaar van de verantwoordelijkheid of potentiële aansprakelijkheid voor de tenantsleutels, geheimen en certificaten van uw klanten.
  • Uw toepassing kan sleutels gebruiken voor ondertekening en versleuteling, maar houd het sleutelbeheer extern van uw toepassing. Zie Over sleutels voor meer informatie.
  • U kunt referenties zoals wachtwoorden, toegangssleutels en SAS-tokens beheren door ze op te slaan in Key Vault als geheimen. Zie Over geheimen voor meer informatie.
  • Certificaten beheren. Zie Over certificaten voor meer informatie.

Zie Over Azure Key Vault voor algemene informatie over Azure Key Vault.

Openbare previews

Periodiek brengen we een openbare preview van een nieuwe Key Vault-functie uit. Probeer openbare preview-functies uit en laat ons weten wat u ervan vindt via azurekeyvault@microsoft.comons e-mailadres voor feedback.

Sleutelkluizen maken en beheren

Net als bij andere Azure-services wordt Key Vault beheerd via Azure Resource Manager. Azure Resource Manager is de implementatie- en beheerservice voor Azure. U kunt deze gebruiken om resources in uw Azure-account te maken, bij te werken en te verwijderen.

Op rollen gebaseerd toegangsbeheer van Azure (RBAC) beheert de toegang tot de beheerlaag, ook wel het beheervlak genoemd. U gebruikt het beheervlak in Key Vault om sleutelkluizen en hun kenmerken te maken en te beheren, inclusief toegangsbeleid. U gebruikt het gegevensvlak om sleutels, certificaten en geheimen te beheren.

U kunt de vooraf gedefinieerde rol Key Vault-inzender gebruiken om beheertoegang te verlenen tot Key Vault.

API's en SDK's voor sleutelkluisbeheer

Azure CLI PowerShell REST-API Resourcebeheer .NET Python Java JavaScript
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing Verwijzing
Snelstartgids
Verwijzing Verwijzing Verwijzing Verwijzing

Zie Clientbibliotheken voor installatiepakketten en broncode.

Verifiëren bij Key Vault in code

Key Vault maakt gebruik van Microsoft Entra-verificatie. Hiervoor is een Microsoft Entra-beveiligingsprincipaal vereist om toegang te verlenen. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een toepassingsservice-principal, een beheerde identiteit voor Azure-resources of een groep van deze typen zijn.

Aanbevolen procedures voor verificatie

U wordt aangeraden een beheerde identiteit te gebruiken voor toepassingen die zijn geïmplementeerd in Azure. Als u Azure-services gebruikt die geen ondersteuning bieden voor beheerde identiteiten of als toepassingen on-premises worden geïmplementeerd, is een service-principal met een certificaat een mogelijk alternatief. In dat scenario moet het certificaat worden opgeslagen in Key Vault en regelmatig worden gedraaid.

Gebruik een service-principal met een geheim voor ontwikkel- en testomgevingen. Gebruik een gebruikersprincipaal voor lokale ontwikkeling en Azure Cloud Shell.

We raden deze beveiligingsprinciplen in elke omgeving aan:

  • Productieomgeving: Beheerde identiteit of service-principal met een certificaat.
  • Test- en ontwikkelomgevingen: Beheerde identiteit, service-principal met certificaat of service-principal met een geheim.
  • Lokale ontwikkeling: gebruikers-principal of service-principal met een geheim.

Azure Identity-clientbibliotheken

De voorgaande verificatiescenario's worden ondersteund door de Azure Identity-clientbibliotheek en geïntegreerd met Key Vault SDK's. U kunt de Azure Identity-clientbibliotheek gebruiken in omgevingen en platforms zonder uw code te wijzigen. De bibliotheek haalt automatisch verificatietokens op van gebruikers die zijn aangemeld bij Azure-gebruikers via de Azure CLI, Visual Studio, Visual Studio Code en andere middelen.

Zie voor meer informatie over de Azure Identity-clientbibliotheek:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Notitie

We raden app-verificatiebibliotheek aan voor Key Vault .NET SDK versie 3, maar deze is nu afgeschaft. Als u wilt migreren naar Key Vault .NET SDK versie 4, volgt u de richtlijnen voor AppAuthentication naar Azure.Identity-migratie.

Zie voor zelfstudies over het verifiëren bij Key Vault in toepassingen:

Sleutels, certificaten en geheimen beheren

Notitie

SDK's voor .NET, Python, Java, JavaScript, PowerShell en de Azure CLI maken deel uit van het releaseproces voor Key Vault-functies via openbare preview en algemene beschikbaarheid met ondersteuning van het Key Vault-serviceteam. Andere SDK-clients voor Key Vault zijn beschikbaar, maar ze worden gebouwd en ondersteund door afzonderlijke SDK-teams via GitHub en uitgebracht in hun teamsschema.

Het gegevensvlak beheert de toegang tot sleutels, certificaten en geheimen. U kunt toegangsbeleid voor lokale kluizen of Azure RBAC gebruiken voor toegangsbeheer via het gegevensvlak.

API's en SDK's voor sleutels

Azure CLI PowerShell REST-API Resourcebeheer .NET Python Java JavaScript
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids

Andere bibliotheken

Cryptografieclient voor Key Vault en beheerde HSM

Deze module biedt een cryptografieclient voor de Azure Key Vault Keys-clientmodule voor Go.

Notitie

Dit project wordt niet ondersteund door het Azure SDK-team, maar komt wel overeen met de cryptografieclients in andere ondersteunde talen.

Taal Verwijzing
Go Verwijzing

API's en SDK's voor certificaten

Azure CLI PowerShell REST-API Resourcebeheer .NET Python Java JavaScript
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing N.v.t. Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids

API's en SDK's voor geheimen

Azure CLI PowerShell REST-API Resourcebeheer .NET Python Java JavaScript
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids
Verwijzing
Snelstartgids

Gebruik van geheimen

Gebruik Azure Key Vault om alleen geheimen voor uw toepassing op te slaan. Voorbeelden van geheimen die moeten worden opgeslagen in Key Vault zijn:

  • Clienttoepassingsgeheimen
  • Verbindingsreeksen
  • Wachtwoords
  • Gedeelde toegangssleutels
  • SSH-sleutels

Alle geheime informatie, zoals gebruikersnamen en toepassings-id's, kan worden opgeslagen als een tag in een geheim. Voor andere gevoelige configuratie-instellingen moet u Azure-app Configuratie gebruiken.

Verwijzingen

Zie Clientbibliotheken voor installatiepakketten en broncode.

Zie Azure Key Vault-beveiligingsfuncties voor informatie over beveiliging van gegevensvlakken voor Key Vault.

Key Vault gebruiken in toepassingen

Als u wilt profiteren van de meest recente functies in Key Vault, raden we u aan de beschikbare Key Vault-SDK's te gebruiken voor het gebruik van geheimen, certificaten en sleutels in uw toepassing. De Key Vault SDK's en REST API worden bijgewerkt naarmate er nieuwe functies voor het product worden uitgebracht en ze volgen de aanbevolen procedures en richtlijnen.

Voor basisscenario's zijn er andere bibliotheken en integratieoplossingen voor vereenvoudigd gebruik, met ondersteuning van Microsoft-partners of opensource-community's.

Voor certificaten kunt u het volgende gebruiken:

Voor geheimen kunt u het volgende gebruiken:

Codevoorbeelden

Zie Azure Key Vault-codevoorbeelden voor volledige voorbeelden van het gebruik van Key Vault met toepassingen.

Taakspecifieke richtlijnen

De volgende artikelen en scenario's bieden taakspecifieke richtlijnen voor het werken met Azure Key Vault:

Integratie met Key Vault

De volgende services en scenario's gebruiken of integreren met Key Vault:

  • Met versleuteling-at-rest kan de codering (versleuteling) van gegevens worden gebruikt wanneer deze behouden blijven. Gegevensversleutelingssleutels worden vaak versleuteld met een sleutelversleutelingssleutel in Azure Key Vault om de toegang verder te beperken.
  • Met Azure Information Protection kunt u uw eigen tenantsleutel beheren. In plaats van Microsoft bijvoorbeeld uw tenantsleutel te beheren (de standaardinstelling), kunt u uw eigen tenantsleutel beheren om te voldoen aan specifieke voorschriften die van toepassing zijn op uw organisatie. Het beheren van uw eigen tenantsleutel wordt ook wel Bring Your Own Key (BYOK) genoemd.
  • Met Azure Private Link hebt u toegang tot Azure-services (bijvoorbeeld Azure Key Vault, Azure Storage en Azure Cosmos DB) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk.
  • Met Key Vault-integratie met Azure Event Grid kunnen gebruikers een melding ontvangen wanneer de status van een geheim dat is opgeslagen in Key Vault is gewijzigd. U kunt nieuwe versies van geheimen distribueren naar toepassingen of bijna verlopen geheimen roteren om storingen te voorkomen.
  • Bescherm uw Azure DevOps-geheimen tegen ongewenste toegang in Key Vault.
  • Gebruik geheimen die zijn opgeslagen in Key Vault om vanuit Azure Databricks verbinding te maken met Azure Storage.
  • Configureer en voer de Azure Key Vault-provider uit voor het stuurprogramma Secrets Store CSI in Kubernetes.

Overzichten en concepten van Key Vault

Meer informatie over:

Sociaal