Wat is Azure Key Vault?

  • 5 minuten

Azure Key Vault is een geheimarchief: een gecentraliseerde cloudservice voor het opslaan van app-geheimen, zoals configuratiewaarden zoals wachtwoorden en verbindingsreeks s die altijd veilig moeten blijven. Met Key Vault kunt u de geheimen van uw apps beheren door ze op één centrale locatie te houden. Het biedt beveiligde toegang, machtigingsbeheer en logboekregistratie van toegang.

De belangrijkste voordelen van het gebruik van Key Vault zijn:

  • Scheiding van gevoelige app-informatie uit andere configuratie en code, wat het risico op onbedoelde lekken vermindert
  • Beperkte toegang tot geheimen via toegangsbeleid dat is afgestemd op de apps en personen die ze nodig hebben
  • Gecentraliseerde geheime opslag, wat betekent dat vereiste wijzigingen slechts op één plaats hoeven te worden aangebracht
  • Logboekregistratie en bewaking voor gebruikerstoegang zodat u meer inzicht hebt in hoe en wanneer geheimen worden geopend

Geheimen worden opgeslagen in afzonderlijke kluizen. Dit zijn de Azure-resources die worden gebruikt om geheimen te groeperen. Toegang tot geheimen en kluisbeheer wordt bereikt met behulp van een REST API. Alle Azure-beheerhulpprogramma's en clientbibliotheken die beschikbaar zijn voor veel populaire talen bieden ook ondersteuning voor deze API. Elke kluis heeft een unieke URL waar de API wordt gehost.

Belangrijk

Key Vault is ontworpen voor het opslaan van configuratiegeheimen voor server-apps. Het is niet bedoeld voor het opslaan van gegevens die behoren tot de gebruikers van uw app. Deze mag niet worden gebruikt in het clientgedeelte van een app. Dit gedrag wordt weerspiegeld in de prestatiekenmerken, API en het kostenmodel.

Gebruikersgegevens moeten elders worden opgeslagen, bijvoorbeeld in een Azure SQL-database met Transparent Data Encryption (transparante gegevensversleuteling) of een opslagaccount met Storage Service Encryption (versleuteling voor opslagservice). Geheimen die uw app gebruikt om toegang te krijgen tot deze gegevensarchieven, kunnen worden bewaard in Key Vault.

Wat is een geheim in Key Vault?

Een geheim in Key Vault is een naamwaardepaar van tekenreeksen. Geheimnamen moeten 1 tot 127 tekens lang zijn, mogen alleen alfanumerieke tekens en streepjes bevatten, en moeten uniek zijn binnen een kluis. Een geheimwaarde kan elke willekeurige UTF-8-tekenreeks van maximaal 25 kB zijn.

Tip

Geheimnamen zelf hoeven niet als geheim te worden beschouwd. U kunt ze opslaan in de configuratie van uw app als dat nodig is voor uw implementatie. Hetzelfde geldt voor de namen en URL's van de kluizen.

Notitie

Key Vault ondersteunt twee extra soorten geheimen buiten tekenreeksen: sleutels en certificaten. Key Vault biedt nuttige functionaliteit die specifiek is voor hun gebruiksvoorbeelden. Deze module bevat geen detailinformatie over die functionaliteit, maar gaat vooral over geheime tekenreeksen, zoals wachtwoorden en verbindingsreeksen.

Verificatie en machtigingen voor kluizen

De API van Key Vault maakt gebruik van Microsoft Entra-id om gebruikers en apps te verifiëren. Toegangsbeleid van de kluis is gebaseerd op acties en wordt toegepast op een hele kluis. Een app met Get machtigingen (lees geheime waarden), List (lijstnamen van alle geheimen) en Set machtigingen (geheime waarden maken of bijwerken) voor een kluis kan bijvoorbeeld geheimen maken, alle geheime namen weergeven en alle geheime waarden in die kluis ophalen en instellen.

Voor alle acties die op een kluis worden uitgevoerd, is verificatie en autorisatie vereist. Er is geen manier om anonieme toegang te verlenen.

Tip

Wanneer u kluistoegang verleent aan ontwikkelaars en apps, verleent u alleen de minimale set machtigingen die nodig zijn. Met machtigingsbeperkingen voorkomt u ongevallen die worden veroorzaakt door codefouten en vermindert u de impact van gestolen referenties of schadelijke code die in uw app is geïnjecteerd.

Ontwikkelaars hebben meestal alleen maar machtigingen nodig Get voor List een ontwikkelomgevingskluis. Sommige technici hebben volledige machtigingen nodig om geheimen te wijzigen en toe te voegen, indien nodig.

Voor apps zijn vaak alleen Get machtigingen vereist. Voor sommige apps is mogelijk afhankelijk List van de manier waarop de app wordt geïmplementeerd. Voor de app in de oefening van deze module is de List machtiging vereist vanwege de techniek die wordt gebruikt om geheimen uit de kluis te lezen.