Сведения об ключах управляемой учетной записи хранения Azure Key Vault (устаревшая версия)
Внимание
Мы рекомендуем использовать служба хранилища Azure интеграцию с идентификатором Microsoft Entra ID, облачной службой управления удостоверениями и доступом Майкрософт. Интеграция Microsoft Entra доступна для больших двоичных объектов Azure и очередей, а также предоставляет доступ на основе маркеров OAuth2 к служба хранилища Azure (так же, как Azure Key Vault). Идентификатор Microsoft Entra позволяет выполнять проверку подлинности клиентского приложения с помощью приложения или удостоверения пользователя, а не учетных данных учетной записи хранения. Управляемое удостоверение Microsoft Entra можно использовать при запуске в Azure. Управляемые удостоверения устраняют необходимость проверки подлинности клиента и хранения учетных данных в приложении или вместе с ним. Используйте следующее решение, только если проверка подлинности Microsoft Entra невозможна.
Учетная запись хранения Azure использует учетные данные, состоящие из имени учетной записи и ключа. Ключ генерируется автоматически и служит скорее паролем, чем криптографическим ключом. Key Vault управляет ключами учетной записи хранения, периодически создавая их заново в учетной записи хранения, и предоставляет маркеры подписанного URL-адреса в случае делегированного доступа к ресурсам в учетной записи хранения.
С помощью функции ключа управляемой учетной записи хранения Key Vault можно перечислять (синхронизировать) ключи с учетными записями хранения Azure и периодически повторно создавать (заменять) ключи. Вы можете управлять ключами как для учетных записей хранения, так и для классических учетных записей хранения.
Управление ключами учетных записей хранения Azure
Key Vault может управлять ключами учетных записей хранения Azure:
- На внутреннем уровне Key Vault может выводить (синхронизировать) список ключей для учетной записи хранения Azure.
- Key Vault периодически сменяет (повторно создает) ключи.
- Значения ключей никогда не передаются вызывающей стороне.
- Key Vault управляет ключами и для современных, и для классических учетных записей хранения.
Дополнительные сведения см. в разделе:
- Ключи доступа к учетной записи хранения
- Управление ключами учетных записей хранения в Azure Key Vault
Управление доступом к учетной записи хранения
При авторизации пользователя или субъекта приложения для выполнения операций с управляемой учетной записью хранения можно использовать следующие разрешения:
Разрешения для управляемой учетной записи хранения и операции определения SaS
- get. Получение сведений об учетной записи хранения.
- list. Список учетных записей хранения, управляемых Key Vault.
- update. Обновление учетной записи хранения.
- delete. Удаление учетной записи хранения.
- recover. Восстановление удаленной учетной записи хранения.
- backup. Резервное копирование учетной записи хранения.
- restore. Восстановление заархивированной учетной записи хранения в Key Vault.
- set. Обновление или создание учетной записи хранения.
- regeneratekey. Повторное создание заданного значения ключа для учетной записи хранения.
- getsas. Получение сведений об определении SAS для учетной записи хранения.
- listsas. Вывод списка определений SAS хранилища для учетной записи хранения.
- deletesas. Удаление определения SAS из учетной записи хранения.
- setsas. Создание или обновление нового определения или атрибутов SAS для учетной записи хранения.
Разрешения для привилегированных операций
- purge. Очистка (удаление без возможности восстановления) управляемой учетной записи хранения.
Дополнительные сведения о работе с сертификатами см. в статье Azure Key Vault REST API reference (Справочник по REST API для Azure Key Vault). Сведения об установке разрешений см. в статьях Vaults — Create Or Update (Хранилища. Создание или обновление) и Vaults — Update Access Policy (Хранилища. Обновление политики доступа).