Общие сведения о ключах, секретах и сертификатах Azure Key Vault

Azure Key Vault позволяет пользователям и приложениям Microsoft Azure хранить и использовать несколько типов данных ключей или секретов. Поставщик ресурсов Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM.

DNS-суффиксы для базового URL-адреса

В этой таблице показан базовый DNS-суффикс URL-адресов, используемый конечной точкой плоскости данных для хранилищ и пулов управляемых устройств HSM в различных облачных средах.

Облачная среда DNS-суффикс для хранилищ DNS-суффикс для управляемых устройств HSM
Облако Azure vault.azure.net .managedhsm.azure.net
Облако Azure для Китая .vault.azure.cn Не поддерживается
Azure для государственных организаций США *.vault.usgovcloudapi.net Не поддерживается
Облако Azure для Германии. .vault.microsoftazure.de Не поддерживается

Типы Object

В этой таблице показаны типы объектов и их суффиксы в базовом URL-адресе.

Тип объекта Суффикс URL-адреса Хранилища Пулы управляемых устройств HSM
Ключи, защищенные модулем HSM /keys Поддерживается Поддерживается
Ключи, защищенные программным обеспечением /keys Поддерживается Не поддерживается
Секреты /secrets Поддерживается Не поддерживается
Сертификаты /certificates Поддерживается Не поддерживается
Ключи учетной записи хранения /storage Поддерживается Не поддерживается
  • Криптографические ключи. Поддерживает несколько типов ключей и алгоритмов, позволяет использовать ключи, защищенные с помощью ПО или модуля HSM. См. сведения о ключах.
  • Секреты. Обеспечивает безопасное хранение секретов, таких как пароли и строки подключения к базам данных. См. сведения о секретах.
  • Сертификаты. Поддерживает сертификаты, которые создаются поверх ключей и секретов и добавляют функцию автоматического обновления. Следует помнить, что при создании сертификата адресуемые ключ и секрет также создаются с тем же именем. См. сведения о сертификатах.
  • Ключи учетной записи службы хранилища Azure. Может управлять ключами учетной записи хранения Azure. На внутреннем уровне Key Vault может перечислять (синхронизировать) ключи с учетными записями хранения Azure и периодически повторно создавать (заменять) ключи. См. сведения об управлении ключами учетной записи хранения с помощью Key Vault.

См. сведения об Azure Key Vault. Дополнительные сведения о пулах управляемых устройств HSM см. в статье Что собой представляет управляемое устройство HSM в Azure Key Vault?

Типы данных

Обратитесь к спецификациям JOSE для соответствующих типов данных ключей, шифрования и подписей.

  • algorithm — поддерживаемый алгоритм для операции ключа, например RSA1_5.
  • ciphertext-value — октеты зашифрованного текста, закодированные с помощью Base64URL.
  • digest-value — выходные данные хэш-алгоритма, зашифрованные с помощью Base64URL.
  • key-type — один из поддерживаемых типов ключей, например RSA (Rivest-Shamir-Adleman).
  • plaintext-value — октеты открытого текста, закодированные с помощью Base64URL.
  • signature-value — выходные данные алгоритма подписи, закодированные с помощью Base64URL.
  • base64URL — двоичное значение в кодировке Base64URL [RFC4648].
  • boolean — значение true или false.
  • Удостоверение — удостоверение из Azure Active Directory (Azure AD).
  • IntDate — десятичное значение JSON, представляющее число секунд, начиная с 1970-01-01T0:0:0Z UTC до указанной даты или времени в формате UTC. Дополнительные сведения о дате и времени в общем формате и в UTC в частности см. в [RFC3339].

Объекты, идентификаторы и управление версиями

Объекты, хранящиеся в Azure Key Vault, сохраняют версии всякий раз, когда создается экземпляр объекта. Каждая версия имеет уникальный идентификатор и URL-адрес. Когда объект создается впервые, ему присваивается уникальный идентификатор версии, а также метка с текущей версией. При создании экземпляра с тем же именем объекта новому объекту присваивается уникальный идентификатор версии и эта версия становится текущей.

Объекты в Key Vault можно получить, указав версию или опустив версию, чтобы получить последнюю версию объекта. Для выполнения операций с объектами требуется указать версию для использования определенной версии объекта.

Примечание

Значения, указанные для ресурсов Azure или идентификаторов объектов, могут быть глобально скопированы для запуска службы. Указываемое значение не должно включать личную или конфиденциальную информацию.

Имя хранилища и имя объекта

В Key Vault объекты уникально идентифицированы с использованием URL-адреса. Так что два объекта в системе, независимо от географического местоположения, не могут иметь один и тот же URL-адрес. Полный URL-адрес к объекту называется идентификатором объекта. Он состоит из части префикса, которая идентифицирует Key Vault, типа объекта, указанного пользователем имени объекта и версии объекта. Имя объекта не учитывает регистр и является неизменяемым. Идентификаторы, которые не включают версию объекта, называются базовыми.

Дополнительные сведения см. в статье Authentication, requests and responses (Проверка подлинности, запросы и ответы).

Идентификатор объекта имеет следующий общий формат (в зависимости от типа контейнера):

  • Для хранилищ: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}.

  • Для пулов управляемых устройств HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}.

Примечание

Сведения о типах объектов, поддерживаемых каждым типом контейнера, см. в этом разделе.

Где:

Элемент Описание
vault-name или hsm-name Имя хранилища или управляемого пула HSM в службе microsoft Azure Key Vault.

Имена хранилищ и пулов управляемых устройств HSM выбираются пользователем и являются глобально уникальными.

Имя хранилища или пула управляемых устройств HSM должно быть строкой длиной 3–24 знака, содержащей только цифры (0–9), буквы (a–z, A–Z) и знак "-".
object-type Тип объекта, "ключи", "секреты" или "сертификаты".
object-name object-name — предоставленное пользователем имя, которое должно быть уникальным в Key Vault. Имя должно быть строкой длиной от 1 до 127 символов, начинаться с буквы и содержать только цифры (0–9), буквы (a–z, A–Z) и дефис (-).
object-version object-version — созданный системой 32-знаковый идентификатор строки, который при необходимости используется для обозначения уникальной версии объекта.

Дальнейшие действия