Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault
Usługa Azure Key Vault umożliwia aplikacjom i użytkownikom platformy Microsoft Azure przechowywanie i używanie kilku typów danych wpisów tajnych/kluczy. Key Vault dostawca zasobów obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM.
Sufiksy DNS dla podstawowego adresu URL
W tej tabeli przedstawiono podstawowy sufiks DNS adresu URL używany przez punkt końcowy płaszczyzny danych dla magazynów i zarządzanych pul modułów HSM w różnych środowiskach chmury.
| Środowisko chmury | Sufiks DNS dla magazynów | Sufiks DNS zarządzanych modułów HSM |
|---|---|---|
| Chmura platformy Azure | .vault.azure.net | .managedhsm.azure.net |
| Azure — Chiny — chmura | .vault.azure.cn | Nieobsługiwane |
| Wersja platformy Azure dla administracji USA | .vault.usgovcloudapi.net | Nieobsługiwane |
| Chmura niemiecka platformy Azure | .vault.microsoftazure.de | Nieobsługiwane |
Typy obiektów
W tej tabeli przedstawiono typy obiektów i ich sufiksy w podstawowym adresie URL.
| Typ obiektu | Sufiks adresu URL | Magazyny | Zarządzane pule modułów HSM |
|---|---|---|---|
| Klucze chronione przez moduł HSM | /Klucze | Obsługiwane | Obsługiwane |
| Klucze chronione przez oprogramowanie | /Klucze | Obsługiwane | Nieobsługiwane |
| Wpisy tajne | /Tajemnice | Obsługiwane | Nieobsługiwane |
| Certyfikaty | /Certyfikaty | Obsługiwane | Nieobsługiwane |
| Klucze kont magazynu | /Magazynu | Obsługiwane | Nieobsługiwane |
- Klucze kryptograficzne: obsługuje wiele typów kluczy i algorytmów oraz umożliwia korzystanie z kluczy chronionych przez oprogramowanie i chronionych przez moduł HSM. Aby uzyskać więcej informacji, zobacz About keys (Informacje o kluczach).
- Wpisy tajne: zapewnia bezpieczny magazyn wpisów tajnych, takich jak hasła i parametry połączenia bazy danych. Aby uzyskać więcej informacji, zobacz Informacje o wpisach tajnych.
- Certyfikaty: obsługuje certyfikaty, które są oparte na kluczach i wpisach tajnych oraz dodają funkcję automatycznego odnawiania. Pamiętaj, że podczas tworzenia certyfikatu tworzony jest również adresowalny klucz i wpis tajny o tej samej nazwie. Aby uzyskać więcej informacji, zobacz About certificates (Informacje o certyfikatach).
- Klucze konta usługi Azure Storage: może zarządzać kluczami konta usługi Azure Storage. Wewnętrznie Key Vault może wyświetlać listy (synchronizować) klucze przy użyciu konta usługi Azure Storage i okresowo ponownie (obracać) klucze. Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami konta magazynu za pomocą Key Vault.
Aby uzyskać więcej ogólnych informacji na temat Key Vault, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault). Aby uzyskać więcej informacji na temat zarządzanych pul modułów HSM, zobacz Co to jest zarządzany moduł HSM platformy Azure Key Vault?
Typy danych
Zapoznaj się ze specyfikacjami JOSE dotyczącymi odpowiednich typów danych dla kluczy, szyfrowania i podpisywania.
- algorithm — obsługiwany algorytm dla operacji klucza, na przykład RSA1_5
- ciphertext-value — oktety tekstu szyfrowania zakodowane przy użyciu metody Base64URL
- digest-value — dane wyjściowe algorytmu skrótu zakodowane przy użyciu metody Base64URL
- key-type — jeden z obsługiwanych typów kluczy, na przykład RSA (Rivest-Shamir-Adleman).
- plaintext-value — oktety zwykłego tekstu zakodowane przy użyciu metody Base64URL
- signature-value — dane wyjściowe algorytmu podpisu zakodowane przy użyciu biblioteki Base64URL
- base64URL — zakodowana wartość binarna Base64URL [RFC4648]
- wartość logiczna — prawda lub fałsz
- Tożsamość — tożsamość z usługi Azure Active Directory (Azure AD).
- IntDate — wartość dziesiętna JSON reprezentująca liczbę sekund od 1970-01-01T0:0:0Z UTC do określonej daty/godziny UTC. Zobacz RFC3339, aby uzyskać szczegółowe informacje dotyczące daty/godziny, w szczególności i czasu UTC.
Obiekty, identyfikatory i przechowywanie wersji
Obiekty przechowywane w Key Vault są wersjonowane za każdym razem, gdy tworzone jest nowe wystąpienie obiektu. Każda wersja ma przypisany unikatowy identyfikator i adres URL. Po pierwszym utworzeniu obiektu otrzymuje on unikatowy identyfikator wersji i jest oznaczony jako bieżąca wersja obiektu. Utworzenie nowego wystąpienia o tej samej nazwie obiektu daje nowemu obiektowi unikatowy identyfikator wersji, co powoduje, że stanie się bieżącą wersją.
Obiekty w Key Vault można pobrać, określając wersję lub pomijając wersję, aby uzyskać najnowszą wersję obiektu. Wykonywanie operacji na obiektach wymaga podania wersji do korzystania z określonej wersji obiektu.
Uwaga
Wartości podane dla zasobów platformy Azure lub identyfikatorów obiektów mogą być kopiowane globalnie na potrzeby uruchamiania usługi. Podana wartość nie powinna zawierać danych osobowych ani poufnych.
Nazwa magazynu i nazwa obiektu
Obiekty są jednoznacznie identyfikowane w Key Vault przy użyciu adresu URL. Żaden z dwóch obiektów w systemie nie ma tego samego adresu URL, niezależnie od lokalizacji geograficznej. Pełny adres URL obiektu jest nazywany identyfikatorem obiektu. Adres URL składa się z prefiksu, który identyfikuje Key Vault, typ obiektu, podaną przez użytkownika nazwę obiektu i wersję obiektu. Nazwa obiektu jest bez uwzględniania wielkości liter i niezmienna. Identyfikatory, które nie zawierają wersji obiektu, są określane jako identyfikatory podstawowe.
Aby uzyskać więcej informacji, zobacz Uwierzytelnianie, żądania i odpowiedzi
Identyfikator obiektu ma następujący format ogólny (w zależności od typu kontenera):
W przypadku magazynów:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}W przypadku zarządzanych pul modułów HSM:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Uwaga
Zobacz Obsługa typów obiektów dla typów obiektów obsługiwanych przez każdy typ kontenera.
Gdzie:
| Element | Opis |
|---|---|
vault-name lub hsm-name |
Nazwa magazynu lub zarządzanej puli HSM w usłudze Microsoft Azure Key Vault. Nazwy magazynów i zarządzane nazwy puli modułów HSM są wybierane przez użytkownika i są globalnie unikatowe. Nazwa magazynu i nazwa puli zarządzanego modułu HSM muszą być ciągiem 3–24 znaków zawierającym tylko 0–9, a–z, A–Z, a nie kolejną — . |
object-type |
Typ obiektu, "keys", "secrets" lub "certificates". |
object-name |
Jest object-name to nazwa podana przez użytkownika i musi być unikatowa w obrębie Key Vault. Nazwa musi być ciągiem znaków 1–127, zaczynając od litery i zawierającym tylko 0–9, a–z, A–Z i -. |
object-version |
Element object-version to generowany przez system, 32-znakowy identyfikator ciągu, który jest opcjonalnie używany do adresowania unikatowej wersji obiektu. |