Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Key Vault şifreleme anahtarları, gizli diziler ve sertifikalar için güvenli depolama ve yönetim sağlayan bir bulut hizmetidir. Bu kılavuz, geliştiricilerin uygulamalarına Key Vault'u entegre etmelerine yardımcı olur.
Genel Bakış
Azure Key Vault şunları sağlar:
- Güvenli depolama: Özel güvenlik kodu yazmadan anahtarları, gizli dizileri ve sertifikaları koruyun.
- Basitleştirilmiş anahtar yönetimi: Şifreleme işlemlerini ve anahtar yaşam döngüsü yönetimini merkezileştirme.
- Müşteriye ait anahtarlar: Siz temel uygulama özelliklerine odaklanırken müşterilerin kendi anahtarlarını yönetmesine izin verin.
- Dış anahtar yönetimi: İmzalama ve şifreleme için anahtarları kullanırken bunları uygulamanızın dışında tutun.
Azure Key Vault hakkında genel bilgi için bkz. About Azure Key Vault.
Geliştirici senaryoları
Key Vault yaygın geliştirici görevleri şunlardır:
- Gizli dizileri depolama ve alma: Bağlantı dizelerini, parolaları, API anahtarlarını ve SAS belirteçlerini güvenli bir şekilde yönetin. Daha fazla bilgi için Gizli bilgiler hakkında bkz.
- Şifreleme ve imzalama için anahtarları kullanma: Anahtar malzemesini uygulamanıza göstermeden şifreleme işlemleri gerçekleştirin. Daha fazla bilgi için bkz . Anahtarlar hakkında.
- Sertifikaları yönetme: SSL/TLS için sertifika sağlama, yenileme ve dağıtımı otomatikleştirin. Daha fazla bilgi için bkz . Sertifikalar hakkında.
Genel önizlemeler
Microsoft düzenli aralıklarla yeni Key Vault özelliklerinin genel önizlemelerini yayınlar. Önizleme özelliklerini denemek ve geri bildirim sağlamak için adresinden azurekeyvault@microsoft.comekiple iletişime geçin. En son özellikler ve güncelleştirmeler hakkında bilgi için bkz. Azure Key Vault'daki yenilikler.
Anahtar kasaları oluşturma ve yönetme
Key Vault iki düzlemli erişim modeli kullanır:
- Kontrol düzlemi: Key Vault kaynağının kendisini yönetir (oluşturmak, silmek, güncellemek, erişim ilkelerini atamak). İşlemler Azure Resource Manager aracılığıyla yönetilir. Erişim denetimi için bkz. Key Vault erişim ilkesi atama.
- Veri düzlemi: Key Vault depolanan verileri (anahtarlar, gizli diziler, sertifikalar) yönetir. Erişim, Azure RBAC ile Key Vault aracılığıyla denetlenir.
Key Vault kaynaklara yönetim erişimi vermek için önceden tanımlanmış Key Vault Katkıda Bulunan rolünü kullanın. Kimlik doğrulaması ve yetkilendirme hakkında daha fazla bilgi için bkz. Authentication in Azure Key Vault.
Ağ güvenliği
Özel uç noktaları, güvenlik duvarlarını veya hizmet uç noktalarını yapılandırarak ağ açıklarını azaltın. En fazladan en az kısıtlayıcıya kadar yapılandırma seçenekleri de dahil olmak üzere kapsamlı ağ güvenlik yönergeleri için bkz. >Azure Key Vault güvenliğini sağlama: Ağ Güvenliği ve Ağ ayarlarını Azure Key Vault yapılandırma.
Anahtar güvenlik kasası yönetimi için API'ler ve SDK'lar
Aşağıdaki tabloda, Key Vault kaynaklarını (denetim düzlemi işlemleri) yönetmeye yönelik SDK'lar ve hızlı başlangıçlar listeleniyor. En son sürümler ve yükleme yönergeleri için bkz. İstemci kitaplıkları.
| Azure CLI | PowerShell | REST API | Kaynak Yöneticisi | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans |
Referans Hızlı Başlangıç |
Referans | Referans | Referans | Referans |
Kodda Key Vault'a kimlik doğrulama
Key Vault, erişimi sağlamak için bir Microsoft Entra güvenlik ilkesi gerektiren Microsoft Entra kimlik doğrulamasını kullanır. Microsoft Entra güvenlik ilkesel öğesi, bir kullanıcı, uygulama hizmet sorumlusu, Azure kaynakları için yönetilen kimlik veya bu türlerden herhangi birinin oluşturduğu bir grup olabilir.
Kimlik doğrulaması en iyi yöntemleri
Azure dağıtılan uygulamalar için, kimlik bilgilerini kodda depolama gereksinimini ortadan kaldırmak için yönetilen kimlikleri kullanın. Farklı ortamlar (üretim, geliştirme, yerel) için ayrıntılı kimlik doğrulama kılavuzu ve güvenlik ilkesi önerileri için Azure Key Vault'ta Kimlik Doğrulama ve Azure Key Vault'u Güvenceye Alma başlıklarına bakın.
Azure Kimlik istemci kitaplıkları
Önceki kimlik doğrulama senaryoları Azure Identity istemci kitaplığı tarafından desteklenir ve Key Vault SDK'larla tümleştirilir. kodunuzu değiştirmeden Azure Identity istemci kitaplığını ortamlar ve platformlar arasında kullanabilirsiniz. Kitaplık, Azure CLI, Visual Studio, Visual Studio Code ve diğer yollarla Azure kullanıcıda oturum açan kullanıcılardan kimlik doğrulama belirteçlerini otomatik olarak alır.
Azure Identity istemci kitaplığı hakkında daha fazla bilgi için bkz:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Kimlik SDK'sı JavaScript |
Uyarı
Key Vault .NET SDK sürüm 3 için App Authentication library önerilir, ancak artık kullanım dışıdır. Key Vault .NET SDK sürüm 4'e geçmek için AppAuthentication'tan Azure.Identity'e geçiş kılavuzunu izleyin.
Uygulamalarda Key Vault kimlik doğrulaması yapmaya yönelik öğreticiler için bkz:
- .NET'te bir sanal makine ile Azure Key Vault kullanın
- Python'da bir sanal makine ile Azure Key Vault kullanın
- Managed Identity kullanarak Azure web uygulamasında bir Key Vault'a .NET ile bağlanın
Anahtarları, sertifikaları ve sırları yönetme
Uyarı
.NET, Python, Java, JavaScript, PowerShell ve Azure CLI için SDK'lar, Key Vault hizmet ekibi desteğiyle genel önizleme ve genel kullanılabilirlik aracılığıyla Key Vault özellik yayın sürecinin bir parçasıdır. Key Vault için diğer SDK istemcileri kullanılabilir, ancak GitHub üzerinde tek tek SDK ekipleri tarafından derlenir ve desteklenir ve ekip zamanlamalarında yayınlanır. En son SDK sürümleri ve yükleme paketleri için bkz. İstemci kitaplıkları.
Veri düzlemi anahtarlara, sertifikalara ve gizli dizilere erişimi denetler. Veri düzlemi üzerinden erişim denetimi için Key Vault ile
Anahtarlar için API'ler ve SDK'lar
Aşağıdaki tabloda anahtarlarla çalışmaya yönelik SDK'lar ve hızlı başlangıçlar (veri düzlemi işlemleri) listeilmektedir. Anahtarlar hakkında daha fazla bilgi için bkz. Anahtarlar hakkında.
| Azure CLI | PowerShell | REST API | Kaynak Yöneticisi | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Diğer Kitaplıklar
Key Vault ve Yönetilen HSM için şifreleme istemcisi
Bu modül, Go için
Uyarı
Bu proje Azure SDK ekibi tarafından desteklenmez, ancak desteklenen diğer dillerdeki şifreleme istemcileriyle uyumlu olur.
| Dil | Kaynak |
|---|---|
| Başlayın | Referans |
Sertifikalar için API'ler ve SDK'lar
Aşağıdaki tabloda, sertifikalarla çalışmaya yönelik SDK'lar ve hızlı başlangıçlar (veri düzlemi işlemleri) listeilmektedir. Sertifikalar hakkında daha fazla bilgi için bkz. Sertifikalar hakkında.
| Azure CLI | PowerShell | REST API | Kaynak Yöneticisi | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans | Mevcut Değil |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Gizli bilgiler için API'ler ve SDK'lar
Aşağıdaki tabloda gizli verilerle çalışmaya yönelik SDK'lar ve hızlı başlangıç kılavuzları (veri düzlemi operasyonları) listelenmektedir. Gizli bilgiler hakkında daha fazla bilgi için bkz. Sırlar hakkında.
| Azure CLI | PowerShell | REST API | Kaynak Yöneticisi | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Sırların kullanımı
Uygulamanızın yalnızca gizli bilgilerini depolamak için Azure Key Vault'u kullanın. Key Vault'ta depolanması gereken gizli bilgiler şunlardır:
- İstemci uygulama gizli bilgileri
- Bağlantı stringleri
- Parolalar
- Paylaşılan erişim anahtarları
- SSH anahtarları
Kullanıcı adları ve uygulama kimlikleri gibi gizlilikle ilgili bilgiler bir gizlinin içinde etiket olarak depolanabilir. Diğer hassas yapılandırma ayarları için Azure Uygulama Yapılandırması kullanmanız gerekir.
Yükleme paketleri ve kaynak kodu için bkz . İstemci kitaplıkları.
Uygulamalarda Key Vault kullanma
Key Vault'daki en son özelliklerden yararlanmak için, uygulamanızda gizli dizileri, sertifikaları ve anahtarları kullanmak için kullanılabilir Key Vault SDK'larını kullanmanızı öneririz. Key Vault SDK'ları ve REST API'leri, ürün için yeni özellikler kullanıma sunuldukça güncelleştirilir ve en iyi yöntemleri ve yönergeleri izler.
Temel senaryolar için, Microsoft iş ortakları veya açık kaynak topluluklar tarafından sağlanan destekle basitleştirilmiş kullanıma yönelik başka kitaplıklar ve tümleştirme çözümleri vardır.
Sertifikalar için şunları kullanabilirsiniz:
- Azure key vault depolanan sertifikaların otomatik olarak yenilenmesini sağlayan Key Vault sanal makine (VM) uzantısı. Daha fazla bilgi için bkz:
- Windows için Key Vault sanal makine uzantısı
- Linux için Key Vault sanal makine uzantısı
- Azure Arc özellikli sunucular için Key Vault sanal makine uzantısı
- Azure App Service, Key Vault'tan sertifikaları içeri aktarabilen ve otomatik olarak yenileyebilen bir tümleştirme sunar. Daha fazla bilgi için bkz. Key Vault'dan sertifika içeri aktarma.
Gizli bilgileri kullanabilirsiniz:
- Key Vault sırlarıyla App Service uygulama ayarları. Daha fazla bilgi için bkz. App Service ve Azure İşlevleri için Key Vault başvurularını kullanma.
- Key Vault başvuruları, Azure Uygulama Yapılandırması ile uygulamanızın yapılandırma ve gizli bilgilere erişimini kolaylaştırmak için. Daha fazla bilgi için, bkz: Azure Uygulama Yapılandırması'da Key Vault başvurularını kullanma.
Kod örnekleri
Uygulamalarla Key Vault kullanmanın tam örnekleri için bkz. Azure Key Vault kod örnekleri.
Göreve özgü kılavuz
Aşağıdaki makaleler ve senaryolar, Azure Key Vault ile çalışmaya yönelik göreve özgü yönergeler sağlar:
- Bir anahtar kasasına erişmek için istemci uygulamanızın çeşitli işlevler için birden çok uç noktaya erişebilmesi gerekir. Bkz. Güvenlik duvarının arkasındaki Key Vault'a erişim.
- Azure VM'de çalışan bir bulut uygulamasının bir sertifikaya ihtiyacı vardır. Bu sertifikayı bu VM'ye nasıl alacaksınız? Bkz. Windows için Key Vault sanal makine uzantısı veya Linux için Key Vault sanal makine uzantısı.
- Azure CLI, PowerShell veya Azure portalını kullanarak erişim ilkesi atamak için bkz. Key Vault erişim ilkesi atama.
- Geçici silme ve temizleme koruması özellikleri etkinleştirilmiş bir anahtar kasasının ve çeşitli anahtar kasası nesnelerinin kullanımı ve yaşam döngüsü hakkında yönergeler için bkz. Azure Key Vault yumuşak silme ve temizleme koruması ile kurtarma yönetimi.
- Dağıtım sırasında bir parametre olarak güvenli bir değer (parola gibi) geçirmeniz gerektiğinde, bu değeri bir anahtar kasasında gizli olarak depolayabilir ve diğer Resource Manager şablonlarında bu değeri referans alabilirsiniz. Bkz. Dağıtım sırasında güvenli parametre değerlerini geçirmek için Azure Key Vault kullanma.
Key Vault ile tümleştirme
Aşağıdaki hizmetler ve senaryolar Key Vault kullanır veya bunlarla tümleştirilir:
- Bekleyen şifreleme, kalıcı hale geldiğinde verilerin kodlamasına (şifrelemeye) olanak tanır. Veri şifreleme anahtarları genellikle erişimi daha fazla sınırlamak için Azure Key Vault bir anahtar şifreleme anahtarıyla şifrelenir.
- Azure Information Protection kendi kiracı anahtarınızı yönetmenizi sağlar. Örneğin, kiracı anahtarınızı (varsayılan) yönetmek Microsoft yerine, kuruluşunuz için geçerli olan belirli düzenlemelere uymak için kendi kiracı anahtarınızı yönetebilirsiniz. Kendi kiracı anahtarınızı yönetmeye "bring your own key" (BYOK) de denir.
- Azure Özel Bağlantı Azure hizmetlerine (örneğin, Azure Key Vault, Azure Depolama ve Azure Cosmos DB) ve Azure barındırılan müşteri/iş ortağı hizmetlerine sanal makinenizdeki özel bir uç nokta üzerinden erişmenizi sağlar Ağ.
- Azure Event Grid ile Key Vault tümleştirmesi, Key Vault'de depolanan bir gizli dizinin durumu değiştiğinde kullanıcılara bildirim verilmesini sağlar. Uygulamalara sırların yeni sürümlerini dağıtabilir veya kesintileri önlemek için son kullanma tarihi yaklaşan sırları değiştirebilirsiniz.
- Key Vault ile Azure DevOps gizli anahtarlarınızı istenmeyen erişimden koruyun.
- Key Vault'ta saklanan sırları kullanarak Azure Databricks'ten Azure Depolama'a bağlanın.
- Kubernetes'te Secrets Store CSI sürücüsü için Azure Key Vault sağlayıcısını yapılandırın ve çalıştırın.
Olağanüstü durum kurtarma ve iş sürekliliği
Key Vault, otomatik bölgesel çoğaltma ile yerleşik olağanüstü durum kurtarma sağlar. Üretim dağıtımları için geçici silme ve temizleme korumasını etkinleştirin ve düzenli yedeklemeler uygulayın. Daha fazla bilgi için bkz. Azure Key Vault kullanılabilirlik ve yedeklilik, Azure Key Vault kurtarma yönetimi ve Azure Key Vault yedekleme.
Performans ve Ölçeklenebilirlik
Key Vault kullanan uygulamalar geliştirirken aşağıdaki performans ve ölçeklenebilirlik en iyi yöntemlerini göz önünde bulundurun:
- Hizmet sınırları: Key Vault, bölge başına kasa başına işlemler için hizmet sınırlarına sahiptir. Bu sınırların aşılması, kısıtlamaya neden olur. Daha fazla bilgi için bkz. Azure Key Vault hizmet sınırları.
- Kısıtlama kılavuzu: Kısıtlama yanıtlarını işlemek için üstel zaman aşımı ile yeniden deneme mantığı uygulayın. Daha fazla bilgi için bkz. Azure Key Vault kısıtlama kılavuzu.
- Caching: Key Vault çağrılarını azaltmak ve performansı geliştirmek için uygulamanızda gizli dizileri ve sertifikaları önbelleğe alın.
- Bağlantı yönetimi: Gecikme süresini azaltmak ve performansı geliştirmek için mümkün olduğunda http bağlantılarını Key Vault için yeniden kullanın.
İzleme ve Kayıt
Güvenlik, uyumluluk ve sorun giderme için günlüğe kaydetmeyi ve izlemeyi etkinleştirin. Kritik olaylar için tanılama ayarlarını, Event Grid bildirimlerini ve uyarıları yapılandırın. Ayrıntılı yönergeler için bkz. Azure Anahtar Kasası'nı İzleme, Azure Anahtar Kasası günlük kaydı, Azure Olay Kılavuzu ile Anahtar Kasası'nı İzleme ve Azure Anahtar Kasası'nızı Güvenceye Alma: Günlük Kaydı ve Tehdit Algılama.
Ortak parametreler ve istek desenleri
Key Vault REST API'siyle çalışırken yaygın parametreleri ve istek/yanıt desenlerini anlamak yararlı olur:
- API sürümleri: Key Vault sürümü oluşturulan API'leri kullanır. İsteklerinizde her zaman API sürümünü belirtin.
- Kimlik doğrulama istekleri: Yaygın istek üst bilgileri ve yanıt biçimleri de dahil olmak üzere kimlik doğrulama belirteçlerinin nasıl alınıp kullanıldığını anlayın. Daha fazla bilgi için bkz. Kimlik doğrulaması, istekler ve yanıtlar.
- Hata kodları: Hataları düzgün bir şekilde işlemek için yaygın REST API hata kodları hakkında bilgi sahibi olun. Daha fazla bilgi için bkz. Azure Key Vault REST API hata kodları.
Sorun giderme
Yaygın sorunları çözme konusunda yardım için:
- Erişim reddedildi hataları: Kimlik doğrulama kimlik bilgilerinizi ve güvenlik sorumlunuzun RBAC atamaları aracılığıyla gerekli izinlere sahip olduğunu doğrulayın. Key Vault veri düzlemi işlemleri için bkz. Azure RBAC.
- Ağ bağlantısı: Güvenlik duvarının arkasından Key Vault'a erişiliyorsa, gereken uç noktaların erişilebilir olduğundan emin olun. Bkz: Güvenlik duvarının arkasındaki Key Vault'a erişim.
- Hız sınırlaması: 429 (Çok Fazla İstek) yanıtı alıyorsanız üstel geri çekilme uygulayın. Bkz. Azure Key Vault kısıtlama kılavuzu.
En iyi güvenlik uygulamaları
Kimlik ve erişim yönetimi, veri koruma, uyumluluk, idare ve yedekleme stratejileri de dahil olmak üzere kapsamlı güvenlik yönergeleri için bkz. Azure Key Vault güvenliğini sağlama.
Ek kaynaklar
Key Vault kavramları
- Azure Key Vault temel kavramlar - Key Vault ile çalışmaya yönelik temel kavramlar.
- Azure Key Vault yumuşak silmeye genel bakış - Silinen nesnelerin kurtarılması.
- Azure Key Vault kısıtlama kılavuzu - Uygulamanız için temel kavramlar ve yaklaşım.
- Azure Key Vault güvenlik dünyaları ve coğrafi sınırlar - Bölgesel ve güvenlik ilişkileri.
- Azure Key Vault hizmet sınırları - İşlem sınırları ve diğer hizmet kısıtlamaları.
Yönetim ve işlemler
- Monitor Azure Key Vault - İzlemeyi ve tanılamayı ayarlayın.
- Azure Key Vault günlüğe kaydetme - Key Vault günlüklerini etkinleştirin ve analiz edin.
Topluluk ve destek
- Microsoft Soru-Cevap A - Soru sorun ve topluluktan yanıt alın.
- Key Vault için Stack Overflow - Geliştiricilerden Teknik Soru-Cevap Platformu.
- Azure Geri Bildirim - Özellik istekleri ve geri bildirim gönderin.