Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Key Vault biedt beveiligde opslag van algemene geheimen, zoals wachtwoorden en databaseverbindingsreeksen.
Vanuit het oogpunt van een ontwikkelaar worden geheime waarden door Key Vault-API's als tekenreeksen geaccepteerd en geretourneerd. Intern worden geheimen in Key Vault opgeslagen en beheerd als reeksen van octetten (8-bits bytes), met een maximale grootte van 25.000 bytes elk. De Key Vault-service biedt geen semantiek voor geheimen. Het accepteert alleen de gegevens, versleutelt deze, slaat deze op en retourneert een geheime id (id
). De id kan worden gebruikt om het geheim op een later tijdstip op te halen.
Voor zeer gevoelige gegevens moeten clients extra beveiligingslagen voor gegevens overwegen. Dit kan bijvoorbeeld door het versleutelen van gegevens met behulp van een afzonderlijke beveiligingssleutel vóór de opslag in Key Vault.
Key Vault biedt ook ondersteuning voor een contentType-veld voor geheimen. Clients kunnen het inhoudstype van een geheim opgeven om de geheime gegevens te interpreteren wanneer deze worden opgehaald. Dit veld mag niet langer zijn dan 255 tekens. Het voorgestelde gebruik is als een soort hint voor het interpreteren van de geheime gegevens. Als bij een implementatie bijvoorbeeld beide wachtwoorden en certificaten als geheimen worden opgeslagen kan dit veld worden gebruikt om onderscheid te maken. Er zijn geen vooraf gedefinieerde waarden.
Encryptie
Alle geheimen in uw sleutelkluis worden versleuteld opgeslagen. Key Vault versleutelt geheimen in rust met een hiërarchie van versleutelingssleutels, waarbij alle sleutels in die hiërarchie worden beveiligd door modules die compatibel zijn met FIPS 140-2. Deze versleuteling is transparant en vereist geen actie van de gebruiker. De Azure Key Vault-service versleutelt uw geheimen wanneer u ze toevoegt en ontsleutelt ze automatisch wanneer u ze leest.
De versleutelingsbladsleutel van de sleutelhiërarchie is uniek voor elke sleutelkluis. De versleutelingshoofdsleutel van de sleutelhiërarchie is uniek voor de beveiligingswereld en wordt beveiligd door een module die is gevalideerd voor FIPS 140-2 Niveau 3 of hoger.
Geheime kenmerken
Naast de geheime gegevens kunnen de volgende kenmerken worden opgegeven:
- exp: IntDate, optioneel, standaard is altijd. Het kenmerk exp (verlooptijd) identificeert de verlooptijd op of waarna de geheime gegevens NIET mogen worden opgehaald, behalve in bepaalde situaties. Dit veld is alleen bedoeld voor informatieve doeleinden, omdat het gebruikers informeert over de sleutelkluisservice dat een bepaald geheim mogelijk niet wordt gebruikt. De waarde MOET een getal zijn dat een IntDate-waarde bevat.
- nbf: IntDate, optioneel, standaard is nu. Het nbf-kenmerk (niet vóór) geeft de tijd aan waarop de geheime gegevens NIET mogen worden opgehaald, behalve in bepaalde situaties. Dit veld is alleen bedoeld ter informatie . De waarde MOET een getal zijn dat een IntDate-waarde bevat.
- enabled: boolean, optioneel; standaardwaarde is true. Dit kenmerk geeft aan of de geheime gegevens kunnen worden opgehaald. Het ingeschakelde kenmerk wordt gebruikt met nbf en exp wanneer een bewerking plaatsvindt tussen nbf en exp. Het kenmerk wordt alleen toegestaan als ingeschakeld is ingesteld op true. Bewerkingen buiten het nbf - en exp-venster worden automatisch niet toegestaan, behalve in bepaalde situaties.
Er zijn meer alleen-lezenkenmerken die zijn opgenomen in een antwoord dat geheime kenmerken bevat:
- gemaakt: IntDate, optioneel. Het kenmerk created geeft aan wanneer deze versie van het geheim is gemaakt. Deze waarde is null voor geheimen die vóór het toevoegen van dit kenmerk zijn gemaakt. De waarde moet een getal zijn dat een IntDate-waarde bevat.
- bijgewerkt: IntDate, optioneel. Het kenmerk updated geeft aan wanneer deze versie van het geheim is bijgewerkt. Deze waarde is null voor geheimen die voor het laatst zijn bijgewerkt vóór het toevoegen van dit kenmerk. De waarde moet een getal zijn dat een IntDate-waarde bevat.
Zie het overzicht van Azure Key Vault-sleutels, geheimen en certificaten voor informatie over algemene kenmerken voor elk objecttype van de sleutelkluis
Bewerkingen met datum-/tijdcontrole
De ophaalbewerking van secrets is toepasbaar op nog niet geldige en verlopen geheimen, buiten het nbf / exp-venster. Het aanroepen van een get-bewerking van een geheim dat nog niet geldig is, kan worden gebruikt voor testdoeleinden. Het ophalen (ophalen) van een verlopen geheim kan worden gebruikt voor herstelbewerkingen.
Toegangsbeheer voor geheimen
Toegangsbeheer voor geheimen die in Key Vault worden beheerd, wordt geboden op het niveau van de sleutelkluis die die geheimen bevat. Het toegangsbeheerbeleid voor geheimen verschilt van het toegangsbeheerbeleid voor sleutels in dezelfde Key Vault. Gebruikers kunnen een of meer kluizen maken voor het bewaren van geheimen en moeten geheimen segmenteren en beheren overeenkomstig dat scenario.
De volgende machtigingen kunnen per principal worden gebruikt in de toegangsbeheervermelding voor geheimen in een kluis en komen nauw overeen met de bewerkingen die voor een geheim-object zijn toegestaan:
Machtigingen voor beheerbewerkingen van geheimen
- get: Een geheim lezen
- lijst: De geheimen of versies van een geheim weergeven die zijn opgeslagen in een Key Vault
- set: Een geheim maken
- verwijderen: Een geheim verwijderen
- herstellen: Een verwijderd geheim herstellen
- back-up: Een geheim in een sleutelkluis veiligstellen door er een back-up van te maken.
- herstellen: een geheim uit een back-up herstellen naar een sleutelkluis
Machtigingen voor bevoorrechte bewerkingen
- opschonen: een verwijderd geheim opschonen (permanent verwijderen)
Zie Geheime bewerkingen in de Key Vault REST API-verwijzing voor meer informatie over het werken met geheimen. Zie kluizen maken of bijwerken en kluizen bijwerken- Toegangsbeleid bijwerken voor meer informatie over het tot stand brengen van machtigingen.
Instructies voor het beheren van toegang in Key Vault:
- Een Key Vault-toegangsbeleid toewijzen met behulp van CLI
- Een Key Vault-toegangsbeleid toewijzen met behulp van PowerShell
- Een Key Vault-toegangsbeleid toewijzen met behulp van Azure Portal
- Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met een op rollen gebaseerd toegangsbeheer van Azure
Geheimtags
U kunt meer toepassingsspecifieke metagegevens opgeven in de vorm van tags. Key Vault ondersteunt maximaal 15 tags, die elk een naam van 512 tekens en een waarde van 512 tekens kunnen hebben.
Opmerking
Tags kunnen worden gelezen door een oproepende functie als ze de machtiging list (weergeven) of get (ophalen) hebben.
Gebruiksscenario's
Wanneer te gebruiken | Voorbeelden |
---|---|
Sla de levenscyclus veilig op, beheer en bewaak referenties voor service-naar-service-communicatie, zoals wachtwoorden, toegangssleutels, clientgeheimen van de service-principal. |
-
Azure Key Vault gebruiken met een virtuele machine - Azure Key Vault gebruiken met een Azure-web-app |
Volgende stappen
- Sleutelbeheer in Azure
- Aanbevolen procedures voor geheimenbeheer in Key Vault
- Informatie over Key Vault
- Over sleutels, geheimen en certificaten
- Toegangsbeleid voor Key Vault toewijzen
- Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met een op rollen gebaseerd toegangsbeheer van Azure
- Beveiligde toegang tot een sleutelkluis
- Gids voor Key Vault-ontwikkelaars