Co to jest usługa Azure Key Vault?

  • 5 min

Usługa Azure Key Vault to magazyn wpisów tajnych: scentralizowana usługa w chmurze do przechowywania wpisów tajnych aplikacji, takich jak wartości konfiguracji, takie jak hasła i parametry połączenia, które muszą pozostać bezpieczne przez cały czas. Usługa Key Vault ułatwia kontrolowanie wpisów tajnych aplikacji przez przechowywanie ich w jednej centralnej lokalizacji. Zapewnia bezpieczny dostęp, kontrolę uprawnień i rejestrowanie dostępu.

Najważniejsze zalety korzystania z usługi Key Vault to:

  • Oddzielenie poufnych informacji o aplikacji od innej konfiguracji i kodu, co zmniejsza ryzyko przypadkowych wycieków
  • Ograniczony dostęp do wpisów tajnych dzięki zasadom dostępu dostosowanym do aplikacji i użytkowników, którzy ich potrzebują
  • Scentralizowany magazyn wpisów tajnych, co oznacza, że wymagane zmiany muszą zostać wprowadzone tylko w jednym miejscu
  • Rejestrowanie i monitorowanie dostępu, co pomaga zrozumieć, jak i kiedy jest uzyskiwany dostęp do wpisów tajnych

Wpisy tajne są przechowywane w oddzielnych magazynach będących zasobami platformy Azure, przy użyciu których wpisy tajne są grupowane. Dostęp do wpisów tajnych i zarządzanie magazynem odbywa się przy użyciu interfejsu API REST. Wszystkie narzędzia do zarządzania platformy Azure i biblioteki klienckie dostępne dla wielu popularnych języków obsługują również ten interfejs API. Każdy magazyn ma unikatowy adres URL, pod którym hostowany jest jego interfejs API.

Ważne

Usługa Key Vault została zaprojektowana do przechowywania wpisów tajnych konfiguracji dla aplikacji serwerowych. Nie jest przeznaczona do przechowywania danych należących do użytkowników aplikacji. Nie należy jej używać w części po stronie klienta aplikacji. To zachowanie jest odzwierciedlane w cechach wydajności, interfejsie API i modelu kosztów.

Dane użytkowników powinny być przechowywane gdzie indziej, na przykład w usłudze Azure SQL Database z funkcją Transparent Data Encryption lub na koncie magazynu z szyfrowaniem usługi Storage. Wpisy tajne używane przez aplikację do uzyskiwania dostępu do tych magazynów danych mogą być przechowywane w usłudze Key Vault.

Co to jest wpis tajny w usłudze Key Vault?

W usłudze Key Vault wpisem tajnym jest para ciągów nazwa-wartość. Nazwy wpisów tajnych muszą składać się z od 1 do 127 znaków, zawierać wyłącznie znaki alfanumeryczne i łączniki oraz być unikatowe w ramach magazynu. Wartość wpisu tajnego może być dowolnym ciągiem UTF-8 o rozmiarze do 25 KB.

Napiwek

Same nazwy wpisów tajnych nie muszą być traktowane jako tajne. Można przechowywać je w konfiguracji aplikacji, jeśli Twoja implementacja będzie je wywoływać. To samo dotyczy nazw i adresów URL magazynów.

Uwaga

Usługa Key Vault obsługuje dwa dodatkowe rodzaje wpisów tajnych poza ciągami: klucze i certyfikaty. Usługa Key Vault udostępnia przydatne funkcje specyficzne dla ich przypadków użycia. Ten moduł nie zawiera omówienia tych funkcji i koncentruje się na ciągach wpisów tajnych, takich jak hasła i parametry połączenia.

Uwierzytelnianie i uprawnienia użytkownika magazynu

Interfejs API usługi Key Vault używa identyfikatora Entra firmy Microsoft do uwierzytelniania użytkowników i aplikacji. Zasady dostępu do magazynu opierają się na akcjach i są stosowane do całego magazynu. Na przykład aplikacja z uprawnieniami Get (odczytywanie wartości wpisów tajnych), List (nazwy list wszystkich wpisów tajnych) i Set (tworzenie lub aktualizowanie wartości wpisów tajnych) do magazynu może tworzyć wpisy tajne, wyświetlać wszystkie nazwy wpisów tajnych i pobierać i ustawiać wszystkie wartości wpisów tajnych w tym magazynie.

Wszystkie akcje wykonywane w magazynie wymagają uwierzytelniania i autoryzacji. Nie ma możliwości udzielenia dostępu anonimowego.

Napiwek

W przypadku udzielania dostępu do magazynu deweloperom i aplikacjom przyznaj tylko minimalny wymagany zestaw uprawnień. Ograniczenia uprawnień pomagają uniknąć wypadków spowodowanych przez błędy kodu i zmniejszyć wpływ skradzionych poświadczeń lub złośliwego kodu wprowadzonego do aplikacji.

Deweloperzy zwykle potrzebują Get tylko uprawnień do magazynu środowiska deweloperskiego.List Niektórzy inżynierowie potrzebują pełnych uprawnień, aby w razie potrzeby zmienić i dodać wpisy tajne.

W przypadku aplikacji często wymagane są tylko Get uprawnienia. Niektóre aplikacje mogą wymagać List w zależności od sposobu implementacji aplikacji. Aplikacja w ćwiczeniu tego modułu wymaga List uprawnienia ze względu na technikę używaną do odczytywania wpisów tajnych z magazynu.