Vad är Azure Key Vault?
Azure Key Vault är ett hemligt arkiv: en centraliserad molntjänst för lagring av apphemligheter, till exempel konfigurationsvärden som lösenord och anslutningssträng som alltid måste vara säkra. Key Vault hjälper dig att kontrollera dina appars hemligheter genom att hålla dem på en enda central plats. Det ger säker åtkomst, behörighetskontroll och åtkomstloggning.
De främsta fördelarna med att använda Key Vault är dessa:
- Separation av känslig appinformation från annan konfiguration och kod, vilket minskar risken för oavsiktliga läckor
- Begränsad åtkomst till hemligheter med åtkomstprinciper som är specialanpassade utifrån de appar och personer som behöver dem
- Centraliserad hemlig lagring, vilket innebär att nödvändiga ändringar bara behöver göras på ett ställe
- Åtkomstloggning och övervakning som hjälper dig att förstå hur och när hemligheterna används
Hemligheter lagras i enskilda valv, vilket är Azure-resurser som används för att gruppera hemligheter. Hantering av hemlig åtkomst och valv utförs med hjälp av ett REST-API. Alla Azure-hanteringsverktyg och klientbibliotek som är tillgängliga för många populära språk stöder också detta API. Varje valv har en unik webbadress där dess API finns.
Viktigt!
Key Vault är utformat för att lagra konfigurationshemligheter för serverappar. Den är inte avsedd för lagring av data som tillhör appens användare. Den bör inte användas i klientdelen av en app. Det här beteendet återspeglas i dess prestandaegenskaper, API och kostnadsmodell.
Användardata ska lagras någon annanstans, som i en Azure SQL-databas med transparent datakryptering eller ett lagringskonto med Storage Service Encryption. Hemligheter som appen använder för att komma åt dessa datalager kan sparas i Key Vault.
Vad är en hemlighet i Key Vault?
I Key Vault är en hemlighet ett namn-värde-par med strängar. Hemliga namn måste vara mellan 1 och 127 tecken långa, får endast innehålla alfanumeriska tecken och streck och måste vara unikt inom ett valv. Ett hemligt värde kan vara valfri UTF-8-sträng upp till 25 KB.
Dricks
Hemliga namn måste inte betraktas som särskilt hemliga i sig. Du kan lagra dem i appens konfiguration om implementationen anropar den. Samma gäller för valvnamn och webbadresser.
Kommentar
Key Vault stöder ytterligare två typer av hemligheter utöver strängar: nycklar och certifikat. Key Vault ger användbara funktioner som är specifika för deras användningsfall. Den här modulen täcker inte dessa funktioner och koncentrerar sig på hemliga strängar som lösenord och anslutningssträngar.
Valvautentisering och behörigheter
Key Vaults API använder Microsoft Entra-ID för att autentisera användare och appar. Principerna för valvåtkomst baseras på åtgärder och tillämpas i hela valvet. En app med Get (läshemliga värden), List (listnamn för alla hemligheter) och Set (skapa eller uppdatera hemliga värden) behörigheter till ett valv kan till exempel skapa hemligheter, lista alla hemliga namn och hämta och ange alla hemliga värden i valvet.
Alla åtgärder som utförs i ett valv kräver autentisering och auktorisering. Det finns inget sätt att bevilja någon form av anonym åtkomst.
Dricks
När du beviljar valvåtkomst till utvecklare och appar beviljar du endast den minsta uppsättning behörigheter som krävs. Behörighetsbegränsningar hjälper till att undvika olyckor som orsakas av kodbuggar och minskar effekten av stulna autentiseringsuppgifter eller skadlig kod som matas in i din app.
Utvecklare behöver Get vanligtvis bara och List behörigheter till ett valv för utvecklingsmiljön. Vissa tekniker behöver fullständig behörighet för att ändra och lägga till hemligheter vid behov.
För appar krävs ofta endast Get behörigheter. Vissa appar kan kräva List beroende på hur appen implementeras. Appen i den här modulens övning kräver behörigheten List på grund av den teknik som används för att läsa hemligheter från valvet.