Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault
Usługa Azure Key Vault umożliwia aplikacjom i użytkownikom platformy Microsoft Azure przechowywanie i używanie kilku typów danych wpisów tajnych/kluczy: kluczy, wpisów tajnych i certyfikatów. Klucze, wpisy tajne i certyfikaty są określane zbiorczo jako "obiekty".
Identyfikatory obiektów
Obiekty są jednoznacznie identyfikowane w usłudze Key Vault przy użyciu identyfikatora bez uwzględniania wielkości liter nazywanego identyfikatorem obiektu. Żadne dwa obiekty w systemie nie mają tego samego identyfikatora, niezależnie od lokalizacji geograficznej. Identyfikator składa się z prefiksu identyfikującego magazyn kluczy, typ obiektu, nazwę obiektu podaną przez użytkownika i wersję obiektu. Identyfikatory, które nie zawierają wersji obiektu, są określane jako "identyfikatory podstawowe". Identyfikatory obiektów usługi Key Vault są również prawidłowymi adresami URL, ale zawsze powinny być porównywane jako ciągi bez uwzględniania wielkości liter.
Aby uzyskać więcej informacji, zobacz Uwierzytelnianie, żądania i odpowiedzi
Identyfikator obiektu ma następujący format ogólny (w zależności od typu kontenera):
W przypadku magazynów:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}W przypadku zarządzanych pul modułów HSM:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Uwaga
Zobacz Obsługa typów obiektów dla typów obiektów obsługiwanych przez każdy typ kontenera.
Gdzie:
| Element | opis |
|---|---|
vault-name lub hsm-name |
Nazwa magazynu kluczy lub zarządzanej puli HSM w usłudze Microsoft Azure Key Vault. Nazwy magazynów i zarządzane nazwy puli HSM są wybierane przez użytkownika i są globalnie unikatowe. Nazwa magazynu i nazwa zarządzanej puli modułów HSM musi być ciągiem 3–24 znaków zawierającym tylko 0–9, a–z, A–Z, a nie kolejne — . |
object-type |
Typ obiektu, "klucze", "wpisy tajne" lub "certyfikaty". |
object-name |
Jest object-name to nazwa podana przez użytkownika i musi być unikatowa w magazynie kluczy. Nazwa musi być ciągiem znaków 1–127, zawierającym tylko 0–9, a–z, A–Z i -. |
object-version |
Element object-version to generowany przez system, 32-znakowy identyfikator ciągu, który jest opcjonalnie używany do obsługi unikatowej wersji obiektu. |
Sufiksy DNS dla identyfikatorów obiektów
Dostawca zasobów usługi Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. W tej tabeli przedstawiono sufiks DNS używany przez punkt końcowy płaszczyzny danych dla magazynów i zarządzanych pul modułów HSM w różnych środowiskach chmury.
| Środowisko chmury | Sufiks DNS dla magazynów | Sufiks DNS zarządzanych modułów HSM |
|---|---|---|
| Chmura platformy Azure | .vault.azure.net | .managedhsm.azure.net |
| Platforma Microsoft Azure obsługiwana przez firmę 21Vianet Cloud | .vault.azure.cn | Nieobsługiwane |
| Wersja platformy Azure dla administracji USA | .vault.usgovcloudapi.net | Nieobsługiwane |
| Chmura niemiecka platformy Azure | .vault.microsoftazure.de | Nieobsługiwane |
Typy obiektów
W tej tabeli przedstawiono typy obiektów i ich sufiksy w identyfikatorze obiektu.
| Object type | Sufiks identyfikatora | Magazyny | Zarządzane pule modułów HSM |
|---|---|---|---|
| Klucze chronione przez moduł HSM | /Klucze | Obsługiwane | Obsługiwane |
| Klucze chronione programowo | /Klucze | Obsługiwane | Nieobsługiwane |
| Wpisy tajne | /Tajemnice | Obsługiwane | Nieobsługiwane |
| Certyfikaty | /Certyfikaty | Obsługiwane | Nieobsługiwane |
| Klucze kont magazynu | /składowanie | Obsługiwane | Nieobsługiwane |
- Klucze kryptograficzne: obsługuje wiele typów kluczy i algorytmów oraz umożliwia korzystanie z kluczy chronionych przez oprogramowanie i chronionych przez moduł HSM. Aby uzyskać więcej informacji, zobacz About keys (Informacje o kluczach).
- Wpisy tajne: zapewnia bezpieczny magazyn wpisów tajnych, takich jak hasła i parametry połączenia bazy danych. Aby uzyskać więcej informacji, zobacz About secrets (Informacje o wpisach tajnych).
- Certyfikaty: obsługuje certyfikaty, które są oparte na kluczach i wpisach tajnych oraz dodają funkcję automatycznego odnawiania. Pamiętaj, że podczas tworzenia certyfikatu tworzony jest również adresowalny klucz i wpis tajny o tej samej nazwie. Aby uzyskać więcej informacji, zobacz About certificates (Informacje o certyfikatach).
- Klucze konta usługi Azure Storage: może zarządzać kluczami konta usługi Azure Storage. Wewnętrznie usługa Key Vault może wyświetlać listę (synchronizować) klucze przy użyciu konta usługi Azure Storage i okresowo ponownie generować klucze (obracać je). Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami konta magazynu za pomocą usługi Key Vault.
Aby uzyskać więcej ogólnych informacji na temat usługi Key Vault, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault). Aby uzyskać więcej informacji na temat zarządzanych pul modułów HSM, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?
Typy danych
Zapoznaj się ze specyfikacjami JOSE dotyczącymi odpowiednich typów danych dla kluczy, szyfrowania i podpisywania.
- algorithm — obsługiwany algorytm dla operacji klucza, na przykład RSA1_5
- ciphertext-value — oktety tekstu szyfrowania zakodowane przy użyciu biblioteki Base64URL
- digest-value — dane wyjściowe algorytmu skrótu zakodowane przy użyciu biblioteki Base64URL
- key-type — jeden z obsługiwanych typów kluczy, na przykład RSA (Rivest-Shamir-Adleman).
- plaintext-value — oktety zwykłego tekstu zakodowane przy użyciu biblioteki Base64URL
- signature-value — dane wyjściowe algorytmu podpisu zakodowane przy użyciu biblioteki Base64URL
- base64URL — zakodowana wartość binarna Base64URL [RFC4648]
- wartość logiczna — prawda lub fałsz
- Tożsamość — tożsamość z identyfikatora Entra firmy Microsoft.
- IntDate — wartość dziesiętna JSON reprezentująca liczbę sekund od 1970-01-01T0:0:0Z UTC do określonej daty/godziny UTC. Zobacz RFC3339, aby uzyskać szczegółowe informacje dotyczące daty/godziny, ogólnie i UTC w szczególności.
Obiekty, identyfikatory i przechowywanie wersji
Obiekty przechowywane w usłudze Key Vault są wersjonowane za każdym razem, gdy tworzone jest nowe wystąpienie obiektu. Każda wersja ma przypisany unikatowy identyfikator obiektu. Po pierwszym utworzeniu obiektu otrzymuje on unikatowy identyfikator wersji i oznaczony jako bieżąca wersja obiektu. Utworzenie nowego wystąpienia o tej samej nazwie obiektu daje nowemu obiektowi unikatowy identyfikator wersji, co powoduje, że stanie się bieżącą wersją.
Obiekty w usłudze Key Vault można pobrać, określając wersję lub pomijając wersję, aby pobrać najnowszą wersję obiektu. Wykonywanie operacji na obiektach wymaga podania wersji do użycia określonej wersji obiektu.
Uwaga
Wartości podane dla zasobów platformy Azure lub identyfikatorów obiektów mogą być kopiowane globalnie na potrzeby uruchamiania usługi. Podana wartość nie powinna zawierać danych osobowych ani poufnych.