Om Azure Key Vault-hemligheter
Key Vault ger säker lagring av allmänna hemligheter, till exempel lösenord och databas anslutningssträng.
Ur utvecklarperspektiv accepterar och returnerar Key Vault-API:er hemliga värden som strängar. Internt lagrar och hanterar Key Vault hemligheter som sekvenser av oktetter (8-bitars byte), med en maximal storlek på 25 000 byte vardera. Key Vault-tjänsten tillhandahåller inte semantik för hemligheter. Den accepterar bara data, krypterar dem, lagrar dem och returnerar en hemlig identifierare (id). Identifieraren kan användas för att hämta hemligheten vid ett senare tillfälle.
För mycket känsliga data bör klienter överväga extra skyddsnivåer för data. Ett exempel är kryptering av data med hjälp av en separat skyddsnyckel före lagring i Key Vault.
Key Vault stöder också ett contentType-fält för hemligheter. Klienter kan ange innehållstypen för en hemlighet för att tolka hemliga data när de hämtas. Den maximala längden på det här fältet är 255 tecken. Den föreslagna användningen är ett tips för att tolka hemliga data. En implementering kan till exempel lagra både lösenord och certifikat som hemligheter och sedan använda det här fältet för att särskilja. Det finns inga fördefinierade värden.
Kryptering
Alla hemligheter i ditt Key Vault lagras krypterade. Key Vault krypterar hemligheter i vila med en hierarki med krypteringsnycklar, där alla nycklar i hierarkin skyddas av moduler som är FIPS 140-2-kompatibla. Den här krypteringen är transparent och kräver ingen åtgärd från användaren. Azure Key Vault-tjänsten krypterar dina hemligheter när du lägger till dem och dekrypterar dem automatiskt när du läser dem.
Krypteringslövnyckeln i nyckelhierarkin är unik för varje nyckelvalv. Krypteringsrotnyckeln i nyckelhierarkin är unik för säkerhetsvärlden och dess skyddsnivå varierar mellan regioner:
- Kina: rotnyckeln skyddas av en modul som verifieras för FIPS 140-2 Nivå 1.
- Andra regioner: rotnyckeln skyddas av en modul som verifieras för FIPS 140-2 Nivå 2 eller senare.
Hemliga attribut
Förutom hemliga data kan följande attribut anges:
- exp: IntDate, valfritt, standard är för evigt. Attributet exp (förfallotid) identifierar förfallotiden på eller efter vilken hemliga data INTE ska hämtas, förutom i vissa situationer. Det här fältet är endast i informationssyfte eftersom det informerar användare av key vault-tjänsten om att en viss hemlighet kanske inte används. Dess värde MÅSTE vara ett tal som innehåller ett IntDate-värde.
- nbf: IntDate, valfritt, standard är nu. Attributet nbf (inte före) identifierar den tid innan de hemliga data INTE ska hämtas, förutom i vissa situationer. Det här fältet är endast i informationssyfte . Dess värde MÅSTE vara ett tal som innehåller ett IntDate-värde.
- aktiverat: booleskt, valfritt, standardvärdet är sant. Det här attributet anger om hemliga data kan hämtas. Det aktiverade attributet används med nbf och exp när en åtgärd inträffar mellan nbf och exp. Det tillåts endast om aktiverat är inställt på true. Åtgärder utanför fönstret nbf och exp tillåts automatiskt, förutom i vissa situationer.
Det finns fler skrivskyddade attribut som ingår i alla svar som innehåller hemliga attribut:
- skapad: IntDate, valfritt. Det skapade attributet anger när den här versionen av hemligheten skapades. Det här värdet är null för hemligheter som skapats innan det här attributet läggs till. Dess värde måste vara ett tal som innehåller ett IntDate-värde.
- uppdaterad: IntDate, valfritt. Det uppdaterade attributet anger när den här versionen av hemligheten uppdaterades. Det här värdet är null för hemligheter som senast uppdaterades innan attributet lades till. Dess värde måste vara ett tal som innehåller ett IntDate-värde.
Information om vanliga attribut för varje nyckelvalvsobjekttyp finns i Översikt över Azure Key Vault-nycklar, hemligheter och certifikat
Datum-tidskontrollerade åtgärder
En hemlighets get-åtgärd fungerar för icke-giltiga och utgångna hemligheter utanför nbf-exp-fönstret / . Att anropa en hemlighets get-åtgärd , för en ännu inte giltig hemlighet, kan användas i testsyfte. Du kan hämta (hämtating) en hemlighet som har upphört att gälla och kan användas för återställningsåtgärder.
Åtkomstkontroll till hemlighet
Åtkomstkontroll för hemligheter som hanteras i Key Vault tillhandahålls på den nivå av Key Vault som innehåller dessa hemligheter. Åtkomstkontrollprincipen för hemligheter skiljer sig från åtkomstkontrollprincipen för nycklar i samma Nyckelvalv. Användare kan skapa ett eller flera valv för att lagra hemligheter och måste underhålla scenarioanpassad segmentering och hantering av hemligheter.
Följande behörigheter kan användas per huvudnamn i åtkomstkontrollposten för hemligheter i ett valv och noggrant spegla de åtgärder som tillåts för ett hemligt objekt:
Behörigheter för hemliga hanteringsåtgärder
- get: Läs en hemlighet
- lista: Visa en lista över hemligheter eller versioner av en hemlighet som lagras i ett Key Vault
- set: Skapa en hemlighet
- ta bort: Ta bort en hemlighet
- återställ: Återställa en borttagen hemlighet
- säkerhetskopiering: Säkerhetskopiera en hemlighet i ett nyckelvalv
- återställning: Återställa en säkerhetskopierad hemlighet till ett nyckelvalv
Behörigheter för privilegierade åtgärder
- rensa: Rensa (ta bort permanent) en borttagen hemlighet
Mer information om hur du arbetar med hemligheter finns i Hemliga åtgärder i KEY Vault REST API-referensen. Information om hur du upprättar behörigheter finns i Valv – Skapa eller uppdatera och valv – Uppdatera åtkomstprincip.
Instruktioner för att styra åtkomst i Key Vault:
- Tilldela en Key Vault-åtkomstprincip med HJÄLP av CLI
- Tilldela en Key Vault-åtkomstprincip med hjälp av PowerShell
- Tilldela en Key Vault-åtkomstprincip med hjälp av Azure-portalen
- Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure
Hemliga taggar
Du kan ange mer programspecifika metadata i form av taggar. Key Vault stöder upp till 15 taggar, som var och en kan ha ett namn på 512 tecken och ett värde på 512 tecken.
Kommentar
Taggar kan läsas av en uppringare om de har listan eller får behörighet.
Användningsscenarier
| Användningsområde för | Exempel |
|---|---|
| Lagra, hantera livscykeln på ett säkert sätt och övervaka autentiseringsuppgifter för tjänst-till-tjänst-kommunikation som lösenord, åtkomstnycklar, klienthemligheter för tjänstens huvudnamn. | - Använda Azure Key Vault med en virtuell dator - Använda Azure Key Vault med en Azure-webbapp |
Nästa steg
- Nyckelhantering i Azure
- Metodtips för hantering av hemligheter i Key Vault
- Om Key Vault
- Om nycklar, hemligheter och certifikat
- Tilldela en Key Vault-åtkomstprincip
- Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure
- Säker åtkomst till ett nyckelvalv
- Utvecklarguide för Key Vault