Udostępnij za pośrednictwem


Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault

Usługa Azure Key Vault umożliwia aplikacjom i użytkownikom platformy Microsoft Azure przechowywanie i używanie kilku typów danych wpisów tajnych/kluczy: kluczy, wpisów tajnych i certyfikatów. Klucze, wpisy tajne i certyfikaty są określane zbiorczo jako "obiekty".

Identyfikatory obiektów

Obiekty są jednoznacznie identyfikowane w usłudze Key Vault przy użyciu identyfikatora bez uwzględniania wielkości liter nazywanego identyfikatorem obiektu. Żadne dwa obiekty w systemie nie mają tego samego identyfikatora, niezależnie od lokalizacji geograficznej. Identyfikator składa się z prefiksu identyfikującego magazyn kluczy, typ obiektu, nazwę obiektu podaną przez użytkownika i wersję obiektu. Identyfikatory, które nie zawierają wersji obiektu, są określane jako "identyfikatory podstawowe". Identyfikatory obiektów usługi Key Vault są również prawidłowymi adresami URL, ale zawsze powinny być porównywane jako ciągi bez uwzględniania wielkości liter.

Aby uzyskać więcej informacji, zobacz Uwierzytelnianie, żądania i odpowiedzi

Identyfikator obiektu ma następujący format ogólny (w zależności od typu kontenera):

  • W przypadku magazynów: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • W przypadku zarządzanych pul modułów HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Uwaga

Zobacz Obsługa typów obiektów dla typów obiektów obsługiwanych przez każdy typ kontenera.

Gdzie:

Element opis
vault-name lub hsm-name Nazwa magazynu kluczy lub zarządzanej puli HSM w usłudze Microsoft Azure Key Vault.

Nazwy magazynów i zarządzane nazwy puli HSM są wybierane przez użytkownika i są globalnie unikatowe.

Nazwa magazynu i nazwa zarządzanej puli modułów HSM musi być ciągiem 3–24 znaków zawierającym tylko 0–9, a–z, A–Z, a nie kolejne — .
object-type Typ obiektu, "klucze", "wpisy tajne" lub "certyfikaty".
object-name Jest object-name to nazwa podana przez użytkownika i musi być unikatowa w magazynie kluczy. Nazwa musi być ciągiem znaków 1–127, zawierającym tylko 0–9, a–z, A–Z i -.
object-version Element object-version to generowany przez system, 32-znakowy identyfikator ciągu, który jest opcjonalnie używany do obsługi unikatowej wersji obiektu.

Sufiksy DNS dla identyfikatorów obiektów

Dostawca zasobów usługi Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. W tej tabeli przedstawiono sufiks DNS używany przez punkt końcowy płaszczyzny danych dla magazynów i zarządzanych pul modułów HSM w różnych środowiskach chmury.

Środowisko chmury Sufiks DNS dla magazynów Sufiks DNS zarządzanych modułów HSM
Chmura platformy Azure .vault.azure.net .managedhsm.azure.net
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet Cloud .vault.azure.cn Nieobsługiwane
Wersja platformy Azure dla administracji USA .vault.usgovcloudapi.net Nieobsługiwane
Chmura niemiecka platformy Azure .vault.microsoftazure.de Nieobsługiwane

Typy obiektów

W tej tabeli przedstawiono typy obiektów i ich sufiksy w identyfikatorze obiektu.

Object type Sufiks identyfikatora Magazyny Zarządzane pule modułów HSM
Klucze chronione przez moduł HSM /Klucze Obsługiwane Obsługiwane
Klucze chronione programowo /Klucze Obsługiwane Nieobsługiwane
Wpisy tajne /Tajemnice Obsługiwane Nieobsługiwane
Certyfikaty /Certyfikaty Obsługiwane Nieobsługiwane
Klucze kont magazynu /składowanie Obsługiwane Nieobsługiwane
  • Klucze kryptograficzne: obsługuje wiele typów kluczy i algorytmów oraz umożliwia korzystanie z kluczy chronionych przez oprogramowanie i chronionych przez moduł HSM. Aby uzyskać więcej informacji, zobacz About keys (Informacje o kluczach).
  • Wpisy tajne: zapewnia bezpieczny magazyn wpisów tajnych, takich jak hasła i parametry połączenia bazy danych. Aby uzyskać więcej informacji, zobacz About secrets (Informacje o wpisach tajnych).
  • Certyfikaty: obsługuje certyfikaty, które są oparte na kluczach i wpisach tajnych oraz dodają funkcję automatycznego odnawiania. Pamiętaj, że podczas tworzenia certyfikatu tworzony jest również adresowalny klucz i wpis tajny o tej samej nazwie. Aby uzyskać więcej informacji, zobacz About certificates (Informacje o certyfikatach).
  • Klucze konta usługi Azure Storage: może zarządzać kluczami konta usługi Azure Storage. Wewnętrznie usługa Key Vault może wyświetlać listę (synchronizować) klucze przy użyciu konta usługi Azure Storage i okresowo ponownie generować klucze (obracać je). Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami konta magazynu za pomocą usługi Key Vault.

Aby uzyskać więcej ogólnych informacji na temat usługi Key Vault, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault). Aby uzyskać więcej informacji na temat zarządzanych pul modułów HSM, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?

Typy danych

Zapoznaj się ze specyfikacjami JOSE dotyczącymi odpowiednich typów danych dla kluczy, szyfrowania i podpisywania.

  • algorithm — obsługiwany algorytm dla operacji klucza, na przykład RSA1_5
  • ciphertext-value — oktety tekstu szyfrowania zakodowane przy użyciu biblioteki Base64URL
  • digest-value — dane wyjściowe algorytmu skrótu zakodowane przy użyciu biblioteki Base64URL
  • key-type — jeden z obsługiwanych typów kluczy, na przykład RSA (Rivest-Shamir-Adleman).
  • plaintext-value — oktety zwykłego tekstu zakodowane przy użyciu biblioteki Base64URL
  • signature-value — dane wyjściowe algorytmu podpisu zakodowane przy użyciu biblioteki Base64URL
  • base64URL — zakodowana wartość binarna Base64URL [RFC4648]
  • wartość logiczna — prawda lub fałsz
  • Tożsamość — tożsamość z identyfikatora Entra firmy Microsoft.
  • IntDate — wartość dziesiętna JSON reprezentująca liczbę sekund od 1970-01-01T0:0:0Z UTC do określonej daty/godziny UTC. Zobacz RFC3339, aby uzyskać szczegółowe informacje dotyczące daty/godziny, ogólnie i UTC w szczególności.

Obiekty, identyfikatory i przechowywanie wersji

Obiekty przechowywane w usłudze Key Vault są wersjonowane za każdym razem, gdy tworzone jest nowe wystąpienie obiektu. Każda wersja ma przypisany unikatowy identyfikator obiektu. Po pierwszym utworzeniu obiektu otrzymuje on unikatowy identyfikator wersji i oznaczony jako bieżąca wersja obiektu. Utworzenie nowego wystąpienia o tej samej nazwie obiektu daje nowemu obiektowi unikatowy identyfikator wersji, co powoduje, że stanie się bieżącą wersją.

Obiekty w usłudze Key Vault można pobrać, określając wersję lub pomijając wersję, aby pobrać najnowszą wersję obiektu. Wykonywanie operacji na obiektach wymaga podania wersji do użycia określonej wersji obiektu.

Uwaga

Wartości podane dla zasobów platformy Azure lub identyfikatorów obiektów mogą być kopiowane globalnie na potrzeby uruchamiania usługi. Podana wartość nie powinna zawierać danych osobowych ani poufnych.

Następne kroki