Guia do desenvolvedor do Azure Key Vault
O Azure Key Vault permite-lhe aceder com segurança a informações confidenciais a partir das suas aplicações:
- Chaves, segredos e certificados são protegidos sem que você precise escrever o código sozinho, e você pode usá-los facilmente de seus aplicativos.
- Você permite que os clientes possuam e gerenciem suas próprias chaves, segredos e certificados para que você possa se concentrar em fornecer os principais recursos de software. Dessa forma, seus aplicativos não terão a responsabilidade ou responsabilidade potencial pelas chaves, segredos e certificados de locatário de seus clientes.
- Seu aplicativo pode usar chaves para assinatura e criptografia, mas manter o gerenciamento de chaves externo do seu aplicativo. Para obter mais informações, consulte Sobre chaves.
- Você pode gerenciar credenciais como senhas, chaves de acesso e tokens SAS armazenando-os no Cofre de Chaves como segredos. Para obter mais informações, consulte Sobre segredos.
- Gerenciar certificados. Para obter mais informações, consulte Sobre certificados.
Para obter informações gerais sobre o Azure Key Vault, consulte Sobre o Azure Key Vault.
Pré-visualizações públicas
Periodicamente, lançamos uma prévia pública de um novo recurso do Cofre de Chaves. Experimente as funcionalidades de pré-visualização pública e diga-nos o que pensa através do azurekeyvault@microsoft.comnosso endereço de e-mail de comentários.
Criar e gerenciar cofres de chaves
Tal como acontece com outros serviços do Azure, o Cofre da Chave é gerido através do Azure Resource Manager. O Azure Resource Manager é o serviço de implementação e gestão do Azure. Você pode usá-lo para criar, atualizar e excluir recursos em sua conta do Azure.
O RBAC (controle de acesso baseado em função) do Azure controla o acesso à camada de gerenciamento, também conhecido como plano de gerenciamento. Use o plano de gerenciamento no Cofre de Chaves para criar e gerenciar cofres de chaves e seus atributos, incluindo políticas de acesso. Use o plano de dados para gerenciar chaves, certificados e segredos.
Você pode usar a função predefinida de Colaborador do Cofre de Chaves para conceder acesso de gerenciamento ao Cofre de Chaves.
APIs e SDKs para gerenciamento de cofres de chaves
| CLI do Azure | PowerShell | API REST | Gestor de Recursos | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referência Início rápido |
Referência Início rápido |
Referência | Referência Início rápido |
Referência | Referência | Referência | Referência |
Para pacotes de instalação e código-fonte, consulte Bibliotecas de cliente.
Autenticar no Cofre da Chave em código
O Cofre da Chave usa a autenticação do Microsoft Entra, que requer uma entidade de segurança do Microsoft Entra para conceder acesso. Uma entidade de segurança do Microsoft Entra pode ser um usuário, uma entidade de serviço de aplicativo, uma identidade gerenciada para recursos do Azure ou um grupo de qualquer um desses tipos.
Práticas recomendadas de autenticação
Recomendamos que você use uma identidade gerenciada para aplicativos implantados no Azure. Se você usar serviços do Azure que não oferecem suporte a identidades gerenciadas ou se os aplicativos forem implantados localmente, uma entidade de serviço com um certificado é uma alternativa possível. Nesse cenário, o certificado deve ser armazenado no Cofre da Chave e frequentemente alternado.
Use uma entidade de serviço com um segredo para ambientes de desenvolvimento e teste. Use uma entidade de usuário para desenvolvimento local e o Azure Cloud Shell.
Recomendamos estas entidades de segurança em cada ambiente:
- Ambiente de produção: identidade gerenciada ou entidade de serviço com um certificado.
- Ambientes de teste e desenvolvimento: identidade gerenciada, entidade de serviço com certificado ou entidade de serviço com segredo.
- Desenvolvimento local: entidade de utilizador ou entidade de serviço com um segredo.
Bibliotecas de cliente do Azure Identity
Os cenários de autenticação anteriores são suportados pela biblioteca de cliente do Azure Identity e integrados com SDKs do Cofre da Chave. Você pode usar a biblioteca de cliente do Azure Identity entre ambientes e plataformas sem alterar seu código. A biblioteca recupera automaticamente tokens de autenticação de usuários que estão conectados ao usuário do Azure por meio da CLI do Azure, Visual Studio, Visual Studio Code e outros meios.
Para obter mais informações sobre a biblioteca de cliente do Azure Identity, consulte:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Nota
Recomendamos a biblioteca de Autenticação de Aplicativo para o Key Vault .NET SDK versão 3, mas agora ela foi preterida. Para migrar para o Key Vault .NET SDK versão 4, siga as diretrizes de migração AppAuthentication to Azure.Identity.
Para obter tutoriais sobre como autenticar no Cofre da Chave em aplicativos, consulte:
- Usar o Azure Key Vault com uma máquina virtual no .NET
- Usar o Azure Key Vault com uma máquina virtual em Python
- Usar uma identidade gerenciada para conectar o Cofre da Chave a um aplicativo Web do Azure no .NET
Gerenciar chaves, certificados e segredos
Nota
SDKs para .NET, Python, Java, JavaScript, PowerShell e a CLI do Azure fazem parte do processo de liberação do recurso Key Vault por meio de visualização pública e disponibilidade geral com suporte à equipe de serviço do Key Vault. Outros clientes SDK para Key Vault estão disponíveis, mas eles são criados e suportados por equipes SDK individuais no GitHub e lançados em sua agenda de equipes.
O plano de dados controla o acesso a chaves, certificados e segredos. Você pode usar políticas de acesso ao cofre local ou o RBAC do Azure para controle de acesso por meio do plano de dados.
APIs e SDKs para chaves
| CLI do Azure | PowerShell | API REST | Gestor de Recursos | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referência Início rápido |
Referência Início rápido |
Referência | Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Outras Bibliotecas
Cliente de criptografia para Key Vault e HSM gerenciado
Este módulo fornece um cliente de criptografia para o módulo de cliente Azure Key Vault Keys for Go.
Nota
Este projeto não é suportado pela equipa do SDK do Azure, mas alinha-se com os clientes de criptografia noutros idiomas suportados.
| Linguagem | Referência |
|---|---|
| Go | Referência |
APIs e SDKs para certificados
| CLI do Azure | PowerShell | API REST | Gestor de Recursos | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referência Início rápido |
Referência Início rápido |
Referência | N/A | Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
APIs e SDKs para segredos
| CLI do Azure | PowerShell | API REST | Gestor de Recursos | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Referência Início rápido |
Referência Início rápido |
Referência | Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Referência Início rápido |
Uso de segredos
Use o Azure Key Vault para armazenar apenas segredos para seu aplicativo. Exemplos de segredos que devem ser armazenados no Cofre da Chave incluem:
- Segredos do aplicativo cliente
- Cadeias de ligação
- Palavras-chave
- Chaves de acesso partilhado
- Chaves SSH
Qualquer informação relacionada a segredos, como nomes de usuário e IDs de aplicativos, pode ser armazenada como uma tag em um segredo. Para quaisquer outras definições de configuração confidenciais, você deve usar a Configuração do Aplicativo do Azure.
Referências
Para pacotes de instalação e código-fonte, consulte Bibliotecas de cliente.
Para obter informações sobre a segurança do plano de dados para o Cofre da Chave, consulte Recursos de segurança do Cofre de Chaves do Azure.
Usar o Cofre da Chave em aplicativos
Para aproveitar os recursos mais recentes do Cofre da Chave, recomendamos que você use os SDKs do Cofre da Chave disponíveis para usar segredos, certificados e chaves em seu aplicativo. Os SDKs do Key Vault e a API REST são atualizados à medida que novos recursos são lançados para o produto e seguem as práticas recomendadas e as diretrizes.
Para cenários básicos, existem outras bibliotecas e soluções de integração para uso simplificado, com suporte fornecido por parceiros da Microsoft ou comunidades de código aberto.
Para certificados, você pode usar:
- A extensão de máquina virtual (VM) do Cofre da Chave, que fornece atualização automática de certificados armazenados em um cofre de chaves do Azure. Para mais informações, consulte:
- Integração do Serviço de Aplicativo do Azure, que pode importar e atualizar automaticamente certificados do Cofre da Chave. Para obter mais informações, consulte Importar um certificado do Cofre da Chave.
Para segredos, você pode usar:
- Segredos do Cofre da Chave com as configurações do aplicativo do Serviço de Aplicativo. Para obter mais informações, consulte Usar referências do Cofre da Chave para o Serviço de Aplicativo e o Azure Functions.
- Referências do Cofre de Chaves com a Configuração de Aplicativo do Azure para simplificar o acesso do seu aplicativo à configuração e aos segredos. Para obter mais informações, consulte Usar referências do Cofre da Chave na Configuração do Aplicativo do Azure.
Exemplos de código
Para obter exemplos completos de como usar o Cofre da Chave com aplicativos, consulte Exemplos de código do Cofre de Chaves do Azure.
Orientação específica da tarefa
Os seguintes artigos e cenários fornecem orientações específicas para tarefas para trabalhar com o Azure Key Vault:
- Para acessar um cofre de chaves, seu aplicativo cliente precisa ser capaz de acessar vários pontos de extremidade para várias funcionalidades. Consulte Acesso ao Cofre da Chave atrás de um firewall.
- Um aplicativo de nuvem em execução em uma VM do Azure precisa de um certificado. Como você obtém esse certificado nesta VM? Consulte Extensão de máquina virtual Key Vault para Windows ou Extensão de máquina virtual Key Vault para Linux.
- Para atribuir uma política de acesso usando a CLI do Azure, o PowerShell ou o portal do Azure, consulte Atribuir uma política de acesso ao Cofre da Chave.
- Para obter orientação sobre o uso e o ciclo de vida de um cofre de chaves e de vários objetos do cofre de chaves com exclusão suave habilitada, consulte Gerenciamento de recuperação do Cofre de Chaves do Azure com proteção de exclusão e limpeza suave.
- Quando precisar passar um valor seguro (como uma senha) como parâmetro durante a implantação, você poderá armazenar esse valor como um segredo em um cofre de chaves e fazer referência ao valor em outros modelos do Gerenciador de Recursos. Consulte Usar o Azure Key Vault para passar valores de parâmetros seguros durante a implantação.
Integração com Key Vault
Os seguintes serviços e cenários usam ou integram-se ao Key Vault:
- A criptografia em repouso permite a codificação (criptografia) de dados quando eles são persistentes. As chaves de criptografia de dados geralmente são criptografadas com uma chave de criptografia de chave no Cofre de Chaves do Azure para limitar ainda mais o acesso.
- A Proteção de Informações do Azure permite que você gerencie sua própria chave de locatário. Por exemplo, em vez de a Microsoft gerir a sua chave de inquilino (a predefinição), pode gerir a sua própria chave de inquilino para cumprir regulamentos específicos que se aplicam à sua organização. Gerenciar sua própria chave de locatário também é chamado de traga sua própria chave (BYOK).
- O Azure Private Link permite que você acesse os serviços do Azure (por exemplo, Azure Key Vault, Armazenamento do Azure e Azure Cosmos DB) e serviços de cliente/parceiro hospedados pelo Azure em um ponto de extremidade privado em sua rede virtual.
- A integração do Cofre da Chave com a Grade de Eventos do Azure permite que os usuários sejam notificados quando o status de um segredo armazenado no Cofre da Chave for alterado. Você pode distribuir novas versões de segredos para aplicativos ou alternar segredos de quase expiração para evitar interrupções.
- Proteja seus segredos do Azure DevOps contra acesso indesejado no Cofre da Chave.
- Use segredos armazenados no Cofre da Chave para se conectar ao Armazenamento do Azure a partir do Azure Databricks.
- Configure e execute o provedor do Azure Key Vault para o driver CSI do Secrets Store no Kubernetes.
Visão geral e conceitos do Key Vault
Para saber mais sobre:
- Um recurso que permite a recuperação de objetos excluídos, independentemente de a exclusão ter sido acidental ou intencional, consulte Visão geral de exclusão suave do Azure Key Vault.
- Os conceitos básicos de limitação e obter uma abordagem para seu aplicativo, consulte Diretrizes de limitação do Cofre de Chaves do Azure.
- As relações entre regiões e áreas de segurança, consulte Mundos de segurança e limites geográficos do Azure Key Vault.