Over Azure Key Vault-geheimen
Key Vault biedt beveiligde opslag van algemene geheimen, zoals wachtwoorden en databaseverbindingsreeksen.
Vanuit het oogpunt van een ontwikkelaar worden geheime waarden door Key Vault-API's als tekenreeksen geaccepteerd en geretourneerd. Intern worden geheimen in Key Vault opgeslagen en beheerd als reeksen van octetten (8-bits bytes), met een maximale grootte van 25.000 bytes elk. De Key Vault-service biedt geen semantiek voor geheimen. Het accepteert alleen de gegevens, versleutelt deze, slaat deze op en retourneert een geheime id (id). De id kan worden gebruikt om het geheim op een later tijdstip op te halen.
Voor zeer gevoelige gegevens moeten clients extra beveiligingslagen voor gegevens overwegen. Dit kan bijvoorbeeld door het versleutelen van gegevens met behulp van een afzonderlijke beveiligingssleutel vóór de opslag in Key Vault.
Key Vault biedt ook ondersteuning voor een contentType-veld voor geheimen. Clients kunnen het inhoudstype van een geheim opgeven om de geheime gegevens te interpreteren wanneer deze worden opgehaald. Dit veld mag niet langer zijn dan 255 tekens. Het voorgestelde gebruik is als een soort hint voor het interpreteren van de geheime gegevens. Als bij een implementatie bijvoorbeeld beide wachtwoorden en certificaten als geheimen worden opgeslagen kan dit veld worden gebruikt om onderscheid te maken. Er zijn geen vooraf gedefinieerde waarden.
Versleuteling
Alle geheimen in uw sleutelkluis worden versleuteld opgeslagen. Key Vault versleutelt geheimen in rust met een hiërarchie van versleutelingssleutels, waarbij alle sleutels in die hiërarchie worden beveiligd door modules die compatibel zijn met FIPS 140-2. Deze versleuteling is transparant en vereist geen actie van de gebruiker. De Azure Key Vault-service versleutelt uw geheimen wanneer u ze toevoegt en ontsleutelt ze automatisch wanneer u ze leest.
De versleutelingsbladsleutel van de sleutelhiërarchie is uniek voor elke sleutelkluis. De versleutelingshoofdsleutel van de sleutelhiërarchie is uniek voor de beveiligingswereld en het beveiligingsniveau verschilt per regio:
- China: de hoofdsleutel wordt beveiligd door een module die is gevalideerd voor FIPS 140-2 Level 1.
- Andere regio's: de hoofdsleutel wordt beveiligd door een module die is gevalideerd voor FIPS 140-2 Level 2 of hoger.
Geheime kenmerken
Naast de geheime gegevens kunnen de volgende kenmerken worden opgegeven:
- exp: IntDate, optioneel, standaard is altijd. Met het kenmerk exp (verlooptijd) wordt de verlooptijd aangegeven waarop of waarna de geheime gegevens NIET MOETEN worden opgehaald, behalve in bepaalde situaties. Dit veld is alleen bedoeld als informatiebron, omdat gebruikers van de sleutelkluisservice de informatie krijgen dat een bepaald geheim niet mag worden gebruikt. De waarde MOET een getal zijn dat een IntDate-waarde bevat.
- nbf: IntDate, optioneel, standaard is nu. Het kenmerk nbf (not before; niet voor) geeft het tijdstip aan waarvóór de geheime gegevens NIET MOGEN worden opgehaald, behalve in bepaalde situaties. Dit veld is alleen bedoeld als informatiebron. De waarde MOET een getal zijn dat een IntDate-waarde bevat.
- enabled: boolean, optioneel; standaardwaarde is true. Dit kenmerk geeft aan of de geheime gegevens kunnen worden opgehaald. Het ingeschakelde kenmerk wordt gebruikt met nbf en exp wanneer een bewerking plaatsvindt tussen nbf en exp. Het kenmerk wordt alleen toegestaan als ingeschakeld is ingesteld op true. Bewerkingen buiten het tijdvenster van nbf en exp worden automatisch geweigerd, behalve in bepaalde situaties.
Er zijn meer alleen-lezenkenmerken die zijn opgenomen in een antwoord dat geheime kenmerken bevat:
- gemaakt: IntDate, optioneel. Het kenmerk created geeft aan wanneer deze versie van het geheim is gemaakt. Deze waarde is null voor geheimen die vóór het toevoegen van dit kenmerk zijn gemaakt. De waarde moet een getal zijn dat een IntDate-waarde bevat.
- bijgewerkt: IntDate, optioneel. Het kenmerk updated geeft aan wanneer deze versie van het geheim is bijgewerkt. Deze waarde is null voor geheimen die voor het laatst zijn bijgewerkt vóór het toevoegen van dit kenmerk. De waarde moet een getal zijn dat een IntDate-waarde bevat.
Raadpleeg Overzicht van sleutels, geheimen en certificaten in Azure Key Vault voor informatie over de algemene kenmerken voor elk objecttype voor een sleutelkluis
Bewerkingen met datum-/tijdcontrole
De bewerking get van een geheim werkt voor nog-niet-geldige of verlopen geheimen, buiten het tijdvenster nbf / exp. Het aanroepen van de bewerking get van een geheim voor een nog-niet-geldig geheim, kan voor testdoeleinden worden gebruikt. Het ophalen (getting) van een verlopen geheim kan voor herstelbewerkingen worden gebruikt.
Toegangsbeheer voor geheimen
Toegangsbeheer voor geheimen die in Key Vault worden beheerd, wordt geboden op het niveau van de sleutelkluis die die geheimen bevat. Het toegangsbeheerbeleid voor geheimen verschilt van het toegangsbeheerbeleid voor sleutels in dezelfde Key Vault. Gebruikers kunnen een of meer kluizen maken voor het bewaren van geheimen en moeten geheimen segmenteren en beheren overeenkomstig dat scenario.
De volgende machtigingen kunnen per principal worden gebruikt in de toegangsbeheervermelding voor geheimen in een kluis en komen nauw overeen met de bewerkingen die voor een geheim-object zijn toegestaan:
Machtigingen voor beheerbewerkingen van geheimen
- get: Een geheim lezen
- lijst: De geheimen of versies van een geheim weergeven die zijn opgeslagen in een Key Vault
- set: Een geheim maken
- verwijderen: Een geheim verwijderen
- herstellen: Een verwijderd geheim herstellen
- back-up: een back-up maken van een geheim in een sleutelkluis
- herstellen: een back-up van een geheim herstellen naar een sleutelkluis
Machtigingen voor bevoorrechte bewerkingen
- opschonen: een verwijderd geheim opschonen (permanent verwijderen)
Zie Geheimbewerkingen in de REST API-naslag voor Key Vault voor meer informatie over het werken met geheimen. Raadpleeg Kluizen: maken of bijwerken en Kluizen: toegangsbeleid bijwerken voor meer informatie over het instellen van machtigingen.
Instructiegidsen voor het beheren van de toegang in Key Vault:
- Key Vault-toegangsbeleid toewijzen met behulp van CLI
- Key Vault-toegangsbeleid toewijzen met behulp van PowerShell
- Key Vault-toegangsbeleid toewijzen met behulp van Azure Portal
- Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met een op rollen gebaseerd toegangsbeheer van Azure
Geheimtags
U kunt meer toepassingsspecifieke metagegevens opgeven in de vorm van tags. Key Vault ondersteunt maximaal 15 tags, die elk een naam van 512 tekens en een waarde van 512 tekens kunnen hebben.
Notitie
Tags kunnen worden gelezen door een oproepende functie als ze de machtiging list (weergeven) of get (ophalen) hebben.
Gebruiksscenario's
| Wanneer gebruiken | Voorbeelden |
|---|---|
| Sla de levenscyclus veilig op, beheer en bewaak referenties voor service-naar-service-communicatie, zoals wachtwoorden, toegangssleutels, clientgeheimen van de service-principal. | - Azure Key Vault gebruiken met een virtuele machine - Azure Key Vault gebruiken met een Azure-web-app |
Volgende stappen
- Sleutelbeheer in Azure
- Aanbevolen procedures voor geheimenbeheer in Key Vault
- Informatie over Key Vault
- Informatie over sleutels, geheimen en certificaten
- Een Key Vault-toegangsbeleid toewijzen
- Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met een op rollen gebaseerd toegangsbeheer van Azure
- Veilige toegang tot een sleutelkluis
- Gids voor Key Vault-ontwikkelaars