Översikt över Azure Key Vault-nycklar, hemligheter och certifikat
Med Azure Key Vault kan Microsoft Azure-program och -användare lagra och använda flera typer av hemliga/nyckeldata: nycklar, hemligheter och certifikat. Nycklar, hemligheter och certifikat kallas gemensamt för "objekt".
Objektidentifierare
Objekt identifieras unikt i Key Vault med hjälp av en skiftlägesokänslig identifierare som kallas objektidentifierare. Inga två objekt i systemet har samma identifierare, oavsett geo-plats. Identifieraren består av ett prefix som identifierar nyckelvalvet, objekttypen, användarens objektnamn och en objektversion. Identifierare som inte innehåller objektversionen kallas "basidentifierare". Key Vault-objektidentifierare är också giltiga URL:er, men bör alltid jämföras med skiftlägesokänsliga strängar.
Mer information finns i Autentisering, begäranden och svar
En objektidentifierare har följande allmänna format (beroende på containertyp):
För valv:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}För hanterade HSM-pooler:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Kommentar
Se Stöd för objekttyp för typer av objekt som stöds av varje containertyp.
Där:
| Element | Description |
|---|---|
vault-name eller hsm-name |
Namnet på ett nyckelvalv eller en hanterad HSM-pool i Microsoft Azure Key Vault-tjänsten. Valvnamn och hanterade HSM-poolnamn väljs av användaren och är globalt unika. Valvnamn och Hanterat HSM-poolnamn måste vara en sträng på 3–24 tecken som endast innehåller 0–9, a-z, A-Z och inte i följd –. |
object-type |
Typen av objekt, "nycklar", "hemligheter" eller "certifikat". |
object-name |
En object-name är ett angivet användarnamn för och måste vara unikt i ett nyckelvalv. Namnet måste vara en sträng på 1–127 tecken, som börjar med en bokstav och endast innehåller 0–9, a-z, A-Z och -. |
object-version |
En object-version är en systemgenererad strängidentifierare med 32 tecken som kan användas för att hantera en unik version av ett objekt. |
DNS-suffix för objektidentifierare
Azure Key Vault-resursprovidern stöder två resurstyper: valv och hanterade HSM:er. Den här tabellen visar DNS-suffixet som används av dataplanets slutpunkt för valv och hanterade HSM-pooler i olika molnmiljöer.
| Molnmiljö | DNS-suffix för valv | DNS-suffix för hanterade HSM:er |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure drivs av 21Vianet Cloud | .vault.azure.cn | Stöds inte |
| Azure US Government | .vault.usgovcloudapi.net | Stöds inte |
| Azure German Cloud | .vault.microsoftazure.de | Stöds inte |
Objekttyper
Den här tabellen visar objekttyper och deras suffix i objektidentifieraren.
| Object type | Identifierarsuffix | Valv | Hanterade HSM-pooler |
|---|---|---|---|
| HSM-skyddade nycklar | /Nycklar | Stöds | Stöds |
| Programvaruskyddade nycklar | /Nycklar | Stöds | Stöds inte |
| Hemligheter | /Hemligheter | Stöds | Stöds inte |
| Certifikat | /Certifikat | Stöds | Stöds inte |
| Lagringskontonycklar | /Lagring | Stöds | Stöds inte |
- Kryptografiska nycklar: Stöder flera nyckeltyper och algoritmer och möjliggör användning av programvaruskyddade och HSM-skyddade nycklar. Mer information finns i Om nycklar.
- Hemligheter: Ger säker lagring av hemligheter, till exempel lösenord och databas anslutningssträng. Mer information finns i Om hemligheter.
- Certifikat: Stöder certifikat som bygger på nycklar och hemligheter och lägger till en automatisk förnyelsefunktion. Tänk på att när ett certifikat skapas skapas även en adresserbar nyckel och hemlighet med samma namn. Mer information finns i Om certifikat.
- Azure Storage-kontonycklar: Kan hantera nycklar för ett Azure Storage-konto åt dig. Internt kan Key Vault lista (synkronisera) nycklar med ett Azure Storage-konto och återskapa (rotera) nycklarna med jämna mellanrum. Mer information finns i Hantera lagringskontonycklar med Key Vault.
Mer allmän information om Key Vault finns i Om Azure Key Vault. Mer information om hanterade HSM-pooler finns i Vad är Azure Key Vault Managed HSM?
Datatyper
Se JOSE-specifikationerna för relevanta datatyper för nycklar, kryptering och signering.
- algoritm – en algoritm som stöds för en nyckelåtgärd, till exempel RSA1_5
- chiffertextvärde – chiffertextoktets, kodade med Base64URL
- digest-value – utdata från en hash-algoritm, kodad med Base64URL
- key-type – en av de nyckeltyper som stöds, till exempel RSA (Rivest-Shamir-Adleman).
- plaintext-value – oformaterade oktetter, kodade med Base64URL
- signature-value – utdata från en signaturalgoritm som kodas med Base64URL
- base64URL – ett Base64URL [RFC4648] kodat binärt värde
- booleskt värde – antingen sant eller falskt
- Identitet – en identitet från Microsoft Entra-ID.
- IntDate – ett JSON-decimalvärde som representerar antalet sekunder från 1970-01-01T0:0:0Z UTC till det angivna UTC-datumet/tiden. Se RFC3339 för information om datum/tider, i allmänhet och UTC i synnerhet.
Objekt, identifierare och versionshantering
Objekt som lagras i Key Vault versionshanteras när en ny instans av ett objekt skapas. Varje version tilldelas en unik objektidentifierare. När ett objekt först skapas får det en unik versionsidentifierare och markeras som den aktuella versionen av objektet. Skapandet av en ny instans med samma objektnamn ger det nya objektet en unik versionsidentifierare, vilket gör att den blir den aktuella versionen.
Objekt i Key Vault kan hämtas genom att ange en version eller genom att utelämna version för att hämta den senaste versionen av objektet. Om du utför åtgärder på objekt måste du tillhandahålla en version för att använda en viss version av objektet.
Kommentar
De värden som du anger för Azure-resurser eller objekt-ID:t kan kopieras globalt i syfte att köra tjänsten. Det angivna värdet bör inte innehålla personligt identifierbar eller känslig information.