Compartilhar via


Visão geral das chaves, dos segredos e dos certificados do Azure Key Vault

O Azure Key Vault permite que aplicativos e usuários do Microsoft Azure armazenem e usem vários tipos de dados de chave/segredo: chaves, segredos e certificados. Chaves, segredos e certificados são chamados coletivamente de “objetos”.

Identificadores de objeto

Os objetos são identificados exclusivamente no Key Vault usando um identificador que não diferencia maiúsculas de minúsculas chamado identificador de objeto. Não há dois objetos no sistema com o mesmo identificador, independentemente da localização geográfica. O identificador consiste em um prefixo que identifica o cofre de chaves, o tipo de objeto, o nome do objeto fornecido pelo usuário e uma versão do objeto. Os identificadores que não incluem a versão do objeto são chamados de “identificadores de base”. Identificadores de objeto do Key Vault também são URLs válidas, mas sempre devem ser comparados como cadeias de caracteres que não diferenciam maiúsculas de minúsculas.

Para mais informações, consulte Autenticação, solicitações e respostas

Um identificador de objeto tem o seguinte formato geral (dependendo do tipo de contêiner):

  • Para Cofres: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Para pools do HSM Gerenciado: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Observação

Confira Suporte de tipo de objeto para tipos de objetos com suporte em cada tipo de contêiner.

Em que:

Elemento Descrição
vault-name ou hsm-name O nome de um cofre de chaves em um pool do HSM gerenciado no serviço do Microsoft Azure Key Vault.

Os nomes do cofre e do pool do HSM Gerenciado são selecionados pelo usuário e são globalmente exclusivos.

O nome do cofre e o nome do pool de HSM gerenciado devem ser uma cadeia de caracteres de três a 24 caracteres, contendo apenas 0-9, a-z, A-Z e - não consecutivos.
object-type O tipo do objeto, “chaves”, “segredos” ou “certificados”.
object-name Um object-name é um nome fornecido pelo usuário e deve ser exclusivo em um cofre de chaves. O nome deve ser uma sequência de 1 a 127 caracteres que contenha somente 0 a 9, a a z, A a Z, e -.
object-version Um object-version é um identificador de cadeia de caracteres de 32 caracteres gerado pelo sistema, que é opcionalmente usado para direcionar uma versão exclusiva de um objeto.

Sufixos DNS para identificadores de objeto

O provedor de recursos do Azure Key Vault dá suporte a dois tipos de recursos: cofres e HSMs gerenciados. Essa tabela mostra o sufixo DNS usado pelo ponto de extremidade do plano de dados para cofres e pools do HSM gerenciado em vários ambientes de nuvem.

Ambiente de nuvem Sufixo DNS para cofres Sufixo DNS para HSMs gerenciados
Nuvem do Azure .vault.azure.net .managedhsm.azure.net
Microsoft Azure operado pela 21Vianet Cloud .vault.azure.cn Sem suporte
Azure US Government .vault.usgovcloudapi.net Sem suporte
Nuvem Alemã do Azure .vault.microsoftazure.de Sem suporte

Tipos de objeto

Essa tabela mostra os tipos de objeto e os sufixos no identificador de objeto.

Tipo de objeto Sufixo do Identificador Cofres Pools HSM gerenciados
Chaves protegidas por HSM /keys Com suporte Com suporte
Chaves protegidas por software /keys Com suporte Sem suporte
Segredos /secrets Com suporte Sem suporte
Certificados /certificates Com suporte Sem suporte
Chaves de conta de armazenamento /storage Com suporte Sem suporte
  • Chaves de criptografia: Dá suporte a vários tipos de chave e algoritmos e habilita o uso de chaves protegidas por HSM e por software. Para obter mais informações, confira Sobre chaves.
  • Segredos: Fornece armazenamento seguro de segredos, como senhas e cadeias de conexão de banco de dados. Para obter mais informações, confira Sobre segredos.
  • Certificados: Oferece suporte a certificados, que são criados sobre chaves e segredos e adicionam um recurso de renovação automática. Lembre-se que quando um certificado é criado, uma chave endereçável e o segredo também são criados com o mesmo nome. Para obter mais informações, confira Sobre certificados.
  • Chaves de conta de Armazenamento do Azure: Pode gerenciar chaves de uma conta de Armazenamento do Microsoft Azure para você. Internamente, o Key Vault pode listar (sincronizar) chaves com uma conta de Armazenamento do Azure e gerar novamente (gira) as chaves periodicamente. Para obter mais informações, confira Gerenciar chaves de acesso da conta de armazenamento com o Key Vault.

Para obter mais informações gerais sobre o Key Vault, confira Sobre o Azure Key Vault. Para obter mais informações sobre os pools do HSM Gerenciado, confira O que é o HSM Gerenciado do Azure Key Vault?

Tipos de dados

Consulte as especificações JOSE para tipos de dados relevantes para as chaves, criptografia e assinatura.

  • algoritmo - um algoritmo com suporte para uma operação de chave, por exemplo, RSA1_5
  • valor de texto cifrado - octetos de texto cifrado, codificado usando Base64URL
  • valor de Digest - a saída de um algoritmo de hash, codificado usando Base64URL
  • tipo de chave - um dos tipos de chave com suporte, por exemplo, RSA (Rivest-Shamir-Adleman).
  • valor de texto sem formatação - octetos de texto sem formatação, codificado usando Base64URL
  • valor de assinatura - a saída de um algoritmo de assinatura, codificado usando Base64URL
  • base64URL - um Base64URL [RFC4648] codificado valor binário
  • boolean - seja true ou false
  • Identity – uma identidade do Microsoft Entra ID.
  • IntDate - um valor decimal de JSON que representa o número de segundos desde 1970-01-01T0:0:0Z UTC até a data/hora de UTC especificada. Consulte RFC3339 para obter detalhes sobre data/hora em geral e o UTC em particular.

Objetos, identificadores e controle de versão

Objetos armazenados no Key Vault são submetidos ao controle de versão sempre que uma nova instância de um objeto é criada. Cada versão recebe um identificador de objeto exclusivo. Quando um objeto é criado pela primeira vez, ele recebe um identificador de versão exclusivo e é marcado como a versão atual do objeto. A criação de uma nova instância com o mesmo nome de objeto fornece ao novo objeto um identificador de versão exclusivo, fazendo com que ele se torne a versão atual.

Os objetos no Key Vault podem ser recuperados especificando ou omitindo uma versão para obter a versão mais recente do objeto. Executar operações em objetos exige fornecer versão para usar uma versão específica do objeto.

Observação

Os valores que você fornece para os IDs de recursos ou objeto do Azure podem ser copiados globalmente com a finalidade de executar o serviço. O valor fornecido não deve incluir informações pessoais identificáveis ou confidenciais.

Próximas etapas