Over Azure Key Vault-geheimen
Key Vault biedt beveiligde opslag van algemene geheimen, zoals wachtwoorden en databaseverbindingsreeksen.
Vanuit het oogpunt van een ontwikkelaar worden geheime waarden door Key Vault-API's als tekenreeksen geaccepteerd en geretourneerd. Intern worden geheimen in Key Vault opgeslagen en beheerd als reeksen van octetten (8-bits bytes), met een maximale grootte van 25.000 bytes elk. De Key Vault-service biedt geen semantiek voor geheimen. Alleen de gegevens worden geaccepteerd, versleuteld, opgeslagen en er wordt een geheime id ('id') geretourneerd. De id kan worden gebruikt om het geheim op een later tijdstip op te halen.
In het geval van zeer gevoelige gegevens is het raadzaam dat klanten extra beveiligingslagen overwegen. Dit kan bijvoorbeeld door het versleutelen van gegevens met behulp van een afzonderlijke beveiligingssleutel vóór de opslag in Key Vault.
Key Vault biedt ook ondersteuning voor een contentType-veld voor geheimen. Clients kunnen het inhoudstype van een geheim opgeven om te helpen bij het interpreteren van de geheime gegevens wanneer deze worden opgehaald. Dit veld mag niet langer zijn dan 255 tekens. Het voorgestelde gebruik is als een soort hint voor het interpreteren van de geheime gegevens. Als bij een implementatie bijvoorbeeld beide wachtwoorden en certificaten als geheimen worden opgeslagen kan dit veld worden gebruikt om onderscheid te maken. Er zijn geen vooraf gedefinieerde waarden.
Versleuteling
Alle geheimen in uw sleutelkluis worden versleuteld opgeslagen. Key Vault versleutelt geheimen in rust met een hiërarchie van versleutelingssleutels, waarbij alle sleutels in die hiërarchie worden beveiligd door modules die compatibel zijn met FIPS 140-2. Deze versleuteling is transparant en vereist geen actie van de gebruiker. De Azure Key Vault-service versleutelt uw geheimen wanneer u ze toevoegt en ontsleutelt ze automatisch wanneer u ze leest.
De versleutelingsbladsleutel van de sleutelhiërarchie is uniek voor elke sleutelkluis. De versleutelingshoofdsleutel van de sleutelhiërarchie is uniek voor de beveiligingswereld en het beveiligingsniveau verschilt per regio:
- China: de hoofdsleutel wordt beveiligd door een module die is gevalideerd voor FIPS 140-2 Level 1.
- Andere regio's: de hoofdsleutel wordt beveiligd door een module die is gevalideerd voor FIPS 140-2 Level 2 of hoger.
Geheime kenmerken
Naast de geheime gegevens kunnen de volgende kenmerken worden opgegeven:
- exp: IntDate, optioneel; standaardwaarde is forever. Met het kenmerk exp (verlooptijd) wordt de verlooptijd aangegeven waarop of waarna de geheime gegevens NIET MOETEN worden opgehaald, behalve in bepaalde situaties. Dit veld is alleen bedoeld als informatiebron, omdat gebruikers van de sleutelkluisservice de informatie krijgen dat een bepaald geheim niet mag worden gebruikt. De waarde MOET een getal zijn dat een IntDate-waarde bevat.
- nbf: IntDate, optioneel; standaardwaarde is now. Het kenmerk nbf (not before; niet voor) geeft het tijdstip aan waarvóór de geheime gegevens NIET MOGEN worden opgehaald, behalve in bepaalde situaties. Dit veld is alleen bedoeld als informatiebron. De waarde MOET een getal zijn dat een IntDate-waarde bevat.
- enabled: boolean, optioneel; standaardwaarde is true. Dit kenmerk geeft aan of de geheime gegevens kunnen worden opgehaald. Het kenmerk enabled wordt gebruikt in combinatie met nbf en exp wanneer er een bewerking plaatsvindt tussen nbf en exp. Het wordt alleen toegestaan als enabled is ingesteld op true. Bewerkingen buiten het tijdvenster van nbf en exp worden automatisch geweigerd, behalve in bepaalde situaties.
Er zijn aanvullende alleen-lezen kenmerken die in elk antwoord zijn opgenomen dat geheime kenmerken bevat:
- created: IntDate, optioneel. Het kenmerk created geeft aan wanneer deze versie van het geheim is gemaakt. Deze waarde is null voor geheimen die vóór het toevoegen van dit kenmerk zijn gemaakt. De waarde moet een getal zijn dat een IntDate-waarde bevat.
- updated: IntDate, optioneel. Het kenmerk updated geeft aan wanneer deze versie van het geheim is bijgewerkt. Deze waarde is null voor geheimen die voor het laatst zijn bijgewerkt vóór het toevoegen van dit kenmerk. De waarde moet een getal zijn dat een IntDate-waarde bevat.
Raadpleeg Overzicht van sleutels, geheimen en certificaten in Azure Key Vault voor informatie over de algemene kenmerken voor elk objecttype voor een sleutelkluis
Bewerkingen met datum-/tijdcontrole
De bewerking get van een geheim werkt voor nog-niet-geldige of verlopen geheimen, buiten het tijdvenster nbf / exp. Het aanroepen van de bewerking get van een geheim voor een nog-niet-geldig geheim, kan voor testdoeleinden worden gebruikt. Het ophalen (getting) van een verlopen geheim kan voor herstelbewerkingen worden gebruikt.
Toegangsbeheer voor geheimen
Toegangsbeheer voor geheimen die in Key Vault worden beheerd, wordt geboden op het niveau van de sleutelkluis die die geheimen bevat. Het beleid voor toegangsbeheer voor geheimen verschilt van het beleid voor toegangsbeheer voor sleutels in dezelfde sleutelkluis. Gebruikers kunnen een of meer kluizen maken voor het bewaren van geheimen en moeten geheimen segmenteren en beheren overeenkomstig dat scenario.
De volgende machtigingen kunnen per principal worden gebruikt in de toegangsbeheervermelding voor geheimen in een kluis en komen nauw overeen met de bewerkingen die voor een geheim-object zijn toegestaan:
Machtigingen voor beheerbewerkingen van geheimen
- get: een geheim lezen
- list: vermelding van de geheimen of de versies van een geheim die in een sleutelkluis zijn opgeslagen
- set: een geheim maken
- delete: een geheim verwijderen
- recover: een verwijderd geheim herstellen
- backup: een back-up van een geheim in een sleutelkluis maken
- restore: een back-up van een geheim terugzetten naar een sleutelkluis
Machtigingen voor bevoorrechte bewerkingen
- purge: een verwijderd geheim opschonen (definitief verwijderen)
Zie Geheimbewerkingen in de REST API-naslag voor Key Vault voor meer informatie over het werken met geheimen. Raadpleeg Kluizen: maken of bijwerken en Kluizen: toegangsbeleid bijwerken voor meer informatie over het instellen van machtigingen.
Instructiegidsen voor het beheren van de toegang in Key Vault:
- Key Vault-toegangsbeleid toewijzen met behulp van CLI
- Key Vault-toegangsbeleid toewijzen met behulp van PowerShell
- Key Vault-toegangsbeleid toewijzen met behulp van Azure Portal
- Toegang bieden tot Key Vault sleutels, certificaten en geheimen met een op rollen gebaseerd toegangsbeheer van Azure
Geheimtags
U kunt aanvullende toepassingsspecifieke metagegevens opgeven in de vorm van tags. Key Vault ondersteunt maximaal 15 tags, die elk een naam van 256 tekens en een waarde van 256 tekens kunnen bevatten.
Notitie
Tags kunnen worden gelezen door een oproepende functie als ze de machtiging list (weergeven) of get (ophalen) hebben.
Gebruiksscenario's
| Wanneer gebruikt u dit? | Voorbeelden |
|---|---|
| Sla de levenscyclus veilig op, beheer en bewaak referenties voor service-naar-service-communicatie, zoals wachtwoorden, toegangssleutels, clientgeheimen van de service-principal. | - Azure Key Vault gebruiken met een virtuele machine - Azure Key Vault gebruiken met een Azure-web-app |
Volgende stappen
- Sleutelbeheer in Azure
- Best practices voor geheimenbeheer in Key Vault
- Informatie over Key Vault
- Informatie over sleutels, geheimen en certificaten
- Een Key Vault-toegangsbeleid toewijzen
- Toegang bieden tot Key Vault sleutels, certificaten en geheimen met een op rollen gebaseerd toegangsbeheer van Azure
- Veilige toegang tot een sleutelkluis
- Gids voor Key Vault-ontwikkelaars