Om Azure Key Vault-hemligheter

Key Vault ger säker lagring av allmänna hemligheter, till exempel lösenord och databasanslutningssträngar.

Från en utvecklares perspektiv accepterar och returnerar Key Vault-API:er hemliga värden som strängar. Internt lagrar och hanterar Key Vault hemligheter som sekvenser av oktetter (8-bitars byte), med en maximal storlek på 25 000 byte vardera. Key Vault-tjänsten tillhandahåller inte semantik för hemligheter. Den accepterar bara data, krypterar dem, lagrar dem och returnerar en hemlig identifierare ("id"). Identifieraren kan användas för att hämta hemligheten vid ett senare tillfälle.

För data som är mycket känsliga bör klienter överväga ytterligare skyddslager för data. Ett exempel är kryptering av data med hjälp av en separat skyddsnyckel före lagring i Key Vault.

Key Vault stöder även ett contentType-fält för hemligheter. Klienter kan ange innehållstypen för en hemlighet för att tolka hemliga data när de hämtas. Den maximala längden för det här fältet är 255 tecken. Den föreslagna användningen är ett tips för att tolka hemliga data. En implementering kan till exempel lagra både lösenord och certifikat som hemligheter och sedan använda det här fältet för att särskilja. Det finns inga fördefinierade värden.

Kryptering

Alla hemligheter i ditt Key Vault lagras krypterade. Key Vault krypterar vilande hemligheter med en hierarki med krypteringsnycklar, där alla nycklar i hierarkin skyddas av moduler som är FIPS 140-2-kompatibla. Den här krypteringen är transparent och kräver ingen åtgärd från användaren. Azure Key Vault-tjänsten krypterar dina hemligheter när du lägger till dem och dekrypterar dem automatiskt när du läser dem.

Krypteringslövnyckeln i nyckelhierarkin är unik för varje nyckelvalv. Krypteringsrotnyckeln i nyckelhierarkin är unik för säkerhetsvärlden och dess skyddsnivå varierar mellan olika regioner:

  • Kina: rotnyckeln skyddas av en modul som verifieras för FIPS 140-2 Level 1.
  • Andra regioner: rotnyckeln skyddas av en modul som har verifierats för FIPS 140-2 Nivå 2 eller högre.

Hemliga attribut

Förutom hemliga data kan följande attribut anges:

  • exp: IntDate, valfritt, standard är forever. Attributet exp (förfallotid) identifierar förfallotiden på eller efter vilken hemliga data INTE ska hämtas, förutom i särskilda situationer. Det här fältet är endast i informationssyfte eftersom det informerar användare om key vault-tjänsten att en viss hemlighet kanske inte används. Värdet MÅSTE vara ett tal som innehåller ett IntDate-värde.
  • nbf: IntDate, valfritt, standard är nu. Attributet nbf (inte före) identifierar den tid innan de hemliga data INTE ska hämtas, förutom i särskilda situationer. Det här fältet är endast i informationssyfte . Värdet MÅSTE vara ett tal som innehåller ett IntDate-värde.
  • aktiverad: boolesk, valfritt, standard är sant. Det här attributet anger om hemliga data kan hämtas. Det aktiverade attributet används tillsammans med nbf och exp när en åtgärd inträffar mellan nbf och exp. Det tillåts endast om aktiverad har angetts till true. Åtgärder utanför nbf - och exp-fönstret tillåts automatiskt, förutom i vissa situationer.

Det finns ytterligare skrivskyddade attribut som ingår i alla svar som innehåller hemliga attribut:

  • skapad: IntDate, valfritt. Det skapade attributet anger när den här versionen av hemligheten skapades. Det här värdet är null för hemligheter som skapats innan attributet läggs till. Värdet måste vara ett tal som innehåller ett IntDate-värde.
  • uppdaterad: IntDate, valfritt. Det uppdaterade attributet anger när den här versionen av hemligheten uppdaterades. Det här värdet är null för hemligheter som senast uppdaterades innan attributet lades till. Värdet måste vara ett tal som innehåller ett IntDate-värde.

Information om vanliga attribut för varje nyckelvalvsobjekttyp finns i Översikt över Azure Key Vault-nycklar, hemligheter och certifikat

Datum/tid-kontrollerade åtgärder

En hemlighets get-åtgärd fungerar för icke-giltiga och utgångna hemligheter utanförnbf-exp-fönstret / . Att anropa en hemlighets get-åtgärd för en ännu inte giltig hemlighet kan användas i testsyfte. Du kan hämta (hämta) en hemlighet som har upphört att gälla och kan användas för återställningsåtgärder.

Åtkomstkontroll till hemlighet

Åtkomstkontroll för hemligheter som hanteras i Key Vault tillhandahålls på nivån för det nyckelvalv som innehåller dessa hemligheter. Åtkomstkontrollprincipen för hemligheter skiljer sig från åtkomstkontrollprincipen för nycklar i samma nyckelvalv. Användare kan skapa ett eller flera valv för att lagra hemligheter och måste underhålla scenarioanpassad segmentering och hantering av hemligheter.

Följande behörigheter kan användas per huvudnamn i åtkomstkontrollposten för hemligheter i ett valv och spegla de åtgärder som tillåts för ett hemligt objekt:

  • Behörigheter för hemliga hanteringsåtgärder

    • get: Läsa en hemlighet
    • lista: Visa en lista över hemligheter eller versioner av en hemlighet som lagras i ett Key Vault
    • set: Skapa en hemlighet
    • ta bort: Ta bort en hemlighet
    • återställa: Återställa en borttagen hemlighet
    • säkerhetskopiering: Säkerhetskopiera en hemlighet i ett nyckelvalv
    • återställ: Återställa en säkerhetskopierad hemlighet till ett nyckelvalv
  • Behörigheter för privilegierade åtgärder

    • rensa: Rensa (ta bort permanent) en borttagen hemlighet

Mer information om hur du arbetar med hemligheter finns i Hemliga åtgärder i Referens för Key Vault REST API. Information om hur du upprättar behörigheter finns i Valv – Skapa eller uppdatera och valv – Uppdatera åtkomstprincip.

Instruktioner för att styra åtkomsten i Key Vault:

Hemliga taggar

Du kan ange ytterligare programspecifika metadata i form av taggar. Key Vault stöder upp till 15 taggar, som var och en kan ha ett namn på 256 tecken och ett värde på 256 tecken.

Anteckning

Taggar kan läsas av en anropare om de har listan eller får behörighet.

Användningsscenarier

När du ska använda detta Exempel
Lagra, hantera livscykeln på ett säkert sätt och övervaka autentiseringsuppgifter för tjänst-till-tjänst-kommunikation som lösenord, åtkomstnycklar, klienthemligheter för tjänstens huvudnamn. - Använda Azure Key Vault med en virtuell dator
- Använda Azure Key Vault med en Azure-webbapp

Nästa steg