Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Key Vault şifreleme anahtarları, gizli diziler ve sertifikalar için güvenli depolama ve yönetim sağlayan bir bulut hizmetidir. Bu kılavuz, geliştiricilerin Key Vault'u uygulamalarına entegre etmelerine yardımcı olur.
Genel Bakış
Azure Key Vault şunları gerçekleştirmenizi sağlar:
- Güvenli depolama: Özel güvenlik kodu yazmadan anahtarları, gizli dizileri ve sertifikaları koruyun.
- Basitleştirilmiş anahtar yönetimi: Şifreleme işlemlerini ve anahtar yaşam döngüsü yönetimini merkezileştirme.
- Müşteriye ait anahtarlar: Siz temel uygulama özelliklerine odaklanırken müşterilerin kendi anahtarlarını yönetmesine izin verin.
- Dış anahtar yönetimi: İmzalama ve şifreleme için anahtarları kullanırken bunları uygulamanızın dışında tutun.
Azure Key Vault hakkında genel bilgi için bkz . Azure Key Vault hakkında.
Geliştirici senaryoları
Key Vault ile ilgili yaygın geliştirici görevleri şunlardır:
- Gizli dizileri depolama ve alma: Bağlantı dizelerini, parolaları, API anahtarlarını ve SAS belirteçlerini güvenli bir şekilde yönetin. Daha fazla bilgi için bkz . Gizli diziler hakkında.
- Şifreleme ve imzalama için anahtarları kullanma: Anahtar malzemesini uygulamanıza göstermeden şifreleme işlemleri gerçekleştirin. Daha fazla bilgi için bkz . Anahtarlar hakkında.
- Sertifikaları yönetme: SSL/TLS için sertifika sağlama, yenileme ve dağıtımı otomatikleştirin. Daha fazla bilgi için bkz . Sertifikalar hakkında.
Genel önizlemeler
Microsoft, yeni Key Vault özelliklerinin genel önizlemelerini düzenli aralıklarla yayınlar. Önizleme özelliklerini denemek ve geri bildirim sağlamak için adresinden azurekeyvault@microsoft.comekiple iletişime geçin. En son özellikler ve güncelleştirmeler hakkında bilgi için bkz. Azure Key Vault'taki yenilikler.
Anahtar kasaları oluşturma ve yönetme
Key Vault iki düzlemli erişim modeli kullanır:
- Denetim düzlemi: Key Vault kaynağının kendisini yönetir (oluşturma, silme, özellikleri güncelleştirme, erişim ilkeleri atama). İşlemler Azure Resource Manager aracılığıyla yönetilir. Erişim denetimi için bkz. Key Vault erişim ilkesi atama.
- Veri düzlemi: Key Vault'ta depolanan verileri (anahtarlar, gizli diziler, sertifikalar) yönetir. Erişim, Key Vault ile Azure RBAC aracılığıyla denetlenir.
Key Vault kaynaklarına yönetim erişimi vermek için önceden tanımlanmış Key Vault Katılımcısı rolünü kullanın. Kimlik doğrulaması ve yetkilendirme hakkında daha fazla bilgi için bkz. Azure Key Vault'ta kimlik doğrulaması.
Ağ güvenliği
Özel uç noktaları, güvenlik duvarlarını veya hizmet uç noktalarını yapılandırarak ağ açıklarını azaltın. En fazladan en az kısıtlayıcıya kadar yapılandırma seçenekleri de dahil olmak üzere kapsamlı ağ güvenliği yönergeleri için bkz . Azure Key Vault'unuzun güvenliğini sağlama: Ağ Güvenliği ve Azure Key Vault ağ ayarlarını yapılandırma.
Anahtar kasası yönetimi için API'ler ve SDK'lar
Aşağıdaki tabloda, Key Vault kaynaklarını (denetim düzlemi işlemleri) yönetmeye yönelik SDK'lar ve hızlı başlangıçlar listeleniyor. En son sürümler ve yükleme yönergeleri için bkz. İstemci kitaplıkları.
| Azure Komut Satırı Arayüzü (Azure CLI) | PowerShell | REST API | Kaynak Yöneticisi | .NET | Piton | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans |
Referans Hızlı Başlangıç |
Referans | Referans | Referans | Referans |
Kodda Key Vault'ta kimlik doğrulaması yapma
Key Vault, erişim izni vermek için bir Microsoft Entra güvenlik sorumlusu gerektiren Microsoft Entra kimlik doğrulamasını kullanır. Microsoft Entra güvenlik sorumlusu bir kullanıcı, uygulama hizmet sorumlusu, Azure kaynakları için yönetilen kimlik veya bu türlerden herhangi biri olabilir.
Kimlik doğrulaması en iyi yöntemleri
Azure'a dağıtılan uygulamalarda, kimlik bilgilerini kodda depolama gereksinimini ortadan kaldırmak için yönetilen kimlikleri kullanın. Farklı ortamlar (üretim, geliştirme, yerel) için ayrıntılı kimlik doğrulama kılavuzu ve güvenlik sorumlusu önerileri için bkz. Azure Key Vault'ta kimlik doğrulaması ve Azure Key Vault'unuzun güvenliğini sağlama.
Azure Identity istemci kitaplıkları
Önceki kimlik doğrulama senaryoları Azure Identity istemci kitaplığı tarafından desteklenir ve Key Vault SDK'larıyla tümleştirilir. Azure Identity istemci kitaplığını, kodunuzu değiştirmeden ortamlar ve platformlar arasında kullanabilirsiniz. Kitaplık, Azure CLI, Visual Studio, Visual Studio Code ve diğer yollarla Azure kullanıcısında oturum açan kullanıcılardan kimlik doğrulama belirteçlerini otomatik olarak alır.
Azure Identity istemci kitaplığı hakkında daha fazla bilgi için bkz:
| .NET | Piton | Java | JavaScript |
|---|---|---|---|
| Azure Kimlik SDK'sı .NET | Azure Kimlik SDK'sı Python | Azure Kimlik SDK'sı Java | Azure Kimlik SDK'sı JavaScript |
Uyarı
Key Vault .NET SDK sürüm 3 için Uygulama Kimlik Doğrulaması kitaplığı önerilir, ancak artık kullanım dışıdır. Key Vault .NET SDK sürüm 4'e geçmek için AppAuthentication to Azure.Identity geçiş kılavuzunu izleyin.
Uygulamalarda Key Vault'ta kimlik doğrulaması yapma öğreticileri için bkz:
- .NET'te sanal makineyle Azure Key Vault kullanma
- Python'da sanal makineyle Azure Key Vault kullanma
- Key Vault'u .NET'teki bir Azure web uygulamasına bağlamak için yönetilen kimlik kullanma
Anahtarları, sertifikaları ve gizli dizileri yönetme
Uyarı
.NET, Python, Java, JavaScript, PowerShell ve Azure CLI sdk'ları, Key Vault hizmet ekibi desteğiyle genel önizleme ve genel kullanılabilirlik aracılığıyla Key Vault özellik yayın sürecinin bir parçasıdır. Key Vault için diğer SDK istemcileri kullanılabilir, ancak GitHub üzerinden tek tek SDK ekipleri tarafından derlenir ve desteklenir ve ekip zamanlamalarında yayınlanır. En son SDK sürümleri ve yükleme paketleri için bkz. İstemci kitaplıkları.
Veri düzlemi anahtarlara, sertifikalara ve gizli dizilere erişimi denetler. Veri düzlemi üzerinden erişim denetimi için Key Vault ile Azure RBAC kullanabilirsiniz.
Anahtarlar için API'ler ve SDK'lar
Aşağıdaki tabloda anahtarlarla çalışmaya yönelik SDK'lar ve hızlı başlangıçlar (veri düzlemi işlemleri) listeilmektedir. Anahtarlar hakkında daha fazla bilgi için bkz. Anahtarlar hakkında.
| Azure Komut Satırı Arayüzü (Azure CLI) | PowerShell | REST API | Kaynak Yöneticisi | .NET | Piton | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Diğer Kitaplıklar
Key Vault ve Yönetilen HSM için şifreleme istemcisi
Bu modül, Go için Azure Key Vault Anahtarları istemci modülü için bir şifreleme istemcisi sağlar.
Uyarı
Bu proje Azure SDK ekibi tarafından desteklenmez, ancak desteklenen diğer dillerdeki şifreleme istemcileriyle uyumlu olur.
| Dil | Kaynak |
|---|---|
| Başlayın | Referans |
Sertifikalar için API'ler ve SDK'lar
Aşağıdaki tabloda, sertifikalarla çalışmaya yönelik SDK'lar ve hızlı başlangıçlar (veri düzlemi işlemleri) listeilmektedir. Sertifikalar hakkında daha fazla bilgi için bkz. Sertifikalar hakkında.
| Azure Komut Satırı Arayüzü (Azure CLI) | PowerShell | REST API | Kaynak Yöneticisi | .NET | Piton | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans | Mevcut Değil |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Gizli diziler için API'ler ve SDK'lar
Aşağıdaki tabloda gizli verilerle çalışmaya yönelik SDK'lar ve hızlı başlangıç kılavuzları (veri düzlemi operasyonları) listelenmektedir. Gizli bilgiler hakkında daha fazla bilgi için bkz. Sırlar hakkında.
| Azure Komut Satırı Arayüzü (Azure CLI) | PowerShell | REST API | Kaynak Yöneticisi | .NET | Piton | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Referans Hızlı Başlangıç |
Gizli dizilerin kullanımı
Uygulamanızın yalnızca gizli dizilerini depolamak için Azure Key Vault'ı kullanın. Key Vault'ta depolanması gereken gizli dizilere örnek olarak şunlar verilebilir:
- İstemci uygulama gizli bilgileri
- Bağlantı stringleri
- Parolalar
- Paylaşılan erişim anahtarları
- SSH anahtarları
Kullanıcı adları ve uygulama kimlikleri gibi gizli dizilerle ilgili tüm bilgiler gizli dizide etiket olarak depolanabilir. Diğer hassas yapılandırma ayarları için Azure Uygulaması Yapılandırma'yı kullanmanız gerekir.
Yükleme paketleri ve kaynak kodu için bkz . İstemci kitaplıkları.
Uygulamalarda Key Vault kullanma
Key Vault'taki en son özelliklerden yararlanmak için, uygulamanızda gizli dizileri, sertifikaları ve anahtarları kullanmak için kullanılabilir Key Vault SDK'larını kullanmanızı öneririz. Key Vault SDK'ları ve REST API'leri, ürün için yeni özellikler kullanıma sunuldukça güncelleştirilir ve en iyi yöntemleri ve yönergeleri izler.
Temel senaryolar için, Microsoft iş ortakları veya açık kaynak topluluklar tarafından sağlanan destekle basitleştirilmiş kullanıma yönelik başka kitaplıklar ve tümleştirme çözümleri vardır.
Sertifikalar için şunları kullanabilirsiniz:
- Bir Azure anahtar kasasında depolanan sertifikaların otomatik olarak yenilenmesini sağlayan Key Vault sanal makinesi (VM) uzantısı. Daha fazla bilgi için bkz:
- Key Vault'tan sertifikaları içeri aktarabilen ve otomatik olarak yenileyebilen Hizmet tümleştirmesini Azure Uygulaması. Daha fazla bilgi için bkz . Key Vault'tan sertifika içeri aktarma.
Gizli diziler için şunları kullanabilirsiniz:
- App Service uygulama ayarlarıyla Key Vault gizli dizileri. Daha fazla bilgi için, App Service ve Azure İşlevleri için Key Vault başvurularını kullanma'ya bakın.
- Key Vault, uygulamanızın yapılandırmaya ve gizli dizilere erişimini kolaylaştırmak için Azure Uygulaması Yapılandırması ile başvurur. Daha fazla bilgi için bkz. Azure Uygulaması Yapılandırmasında Key Vault başvurularını kullanma.
Kod örnekleri
Key Vault'un uygulamalarla birlikte kullanılmasına ilişkin tam örnekler için bkz . Azure Key Vault kod örnekleri.
Göreve özgü kılavuz
Aşağıdaki makaleler ve senaryolar, Azure Key Vault ile çalışmaya yönelik göreve özgü yönergeler sağlar:
- Bir anahtar kasasına erişmek için istemci uygulamanızın çeşitli işlevler için birden çok uç noktaya erişebilmesi gerekir. Bkz . Güvenlik duvarının arkasındaki Key Vault'a erişme.
- Azure VM'de çalışan bir bulut uygulamasının bir sertifikaya ihtiyacı vardır. Bu sertifikayı bu VM'ye nasıl alacaksınız? Bkz . Windows için Key Vault sanal makine uzantısı veya Linux için Key Vault sanal makine uzantısı.
- Azure CLI, PowerShell veya Azure portalını kullanarak erişim ilkesi atamak için bkz . Key Vault erişim ilkesi atama.
- Geçici silme özelliği etkinleştirilmiş bir anahtar kasasının ve çeşitli anahtar kasası nesnelerinin kullanımı ve yaşam döngüsü hakkında yönergeler için bkz . Geçici silme ve temizleme koruması ile Azure Key Vault kurtarma yönetimi.
- Dağıtım sırasında parametre olarak güvenli bir değer (parola gibi) geçirmeniz gerektiğinde, bu değeri bir anahtar kasasında gizli dizi olarak depolayabilir ve diğer Resource Manager şablonlarındaki değere başvurabilirsiniz. Bkz . Dağıtım sırasında güvenli parametre değerlerini geçirmek için Azure Key Vault kullanma.
Key Vault ile tümleştirme
Aşağıdaki hizmetler ve senaryolarda Key Vault kullanılır veya key vault ile tümleştirilir:
- Bekleyen şifreleme, kalıcı hale geldiğinde verilerin kodlamasına (şifrelemeye) olanak tanır. Veri şifreleme anahtarları, erişimi daha fazla sınırlamak için genellikle Azure Key Vault'taki bir anahtar şifreleme anahtarıyla şifrelenir.
- Azure Information Protection , kendi kiracı anahtarınızı yönetmenize olanak tanır. Örneğin, Microsoft kiracı anahtarınızı yönetmek yerine (varsayılan), kuruluşunuz için geçerli olan belirli düzenlemelere uymak için kendi kiracı anahtarınızı yönetebilirsiniz. Kendi kiracı anahtarınızı yönetmeye kendi anahtarınızı getirin (KAG) de denir.
- Azure Özel Bağlantı, sanal ağınızdaki özel bir uç nokta üzerinden Azure hizmetlerine (örneğin Azure Key Vault, Azure Depolama ve Azure Cosmos DB) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.
- Azure Event Grid ile Key Vault tümleştirmesi, Key Vault'ta depolanan bir gizli dizinin durumu değiştiğinde kullanıcılara bildirim verilmesini sağlar. Gizli dizilerin yeni sürümlerini uygulamalara dağıtabilir veya kesintileri önlemek için yakın süre sonu gizli dizilerini döndürebilirsiniz.
- Azure DevOps gizli dizilerinizi Key Vault'ta istenmeyen erişimden koruyun.
- Azure Databricks'ten Azure Depolama'ya bağlanmak için Key Vault'ta depolanan gizli dizileri kullanın.
- Kubernetes'te Gizli Dizi Deposu CSI sürücüsü için Azure Key Vault sağlayıcısını yapılandırın ve çalıştırın.
Olağanüstü durum kurtarma ve iş sürekliliği
Key Vault, otomatik bölgesel çoğaltma ile yerleşik olağanüstü durum kurtarma sağlar. Üretim dağıtımları için geçici silme ve temizleme korumasını etkinleştirin ve düzenli yedeklemeler uygulayın. Daha fazla bilgi için bkz. Azure Key Vault kullanılabilirliği ve yedekliliği, Azure Key Vault kurtarma yönetimi ve Azure Key Vault yedeklemesi.
Performans ve Ölçeklenebilirlik
Key Vault kullanan uygulamalar geliştirirken aşağıdaki performans ve ölçeklenebilirlik en iyi yöntemlerini göz önünde bulundurun:
- Hizmet sınırları: Key Vault'ta, her bir bölgedeki her kasa için işlem sınırlamaları mevcuttur. Bu sınırların aşılması, kısıtlamaya neden olur. Daha fazla bilgi için bkz. Azure Key Vault hizmet sınırları.
- Kısıtlama kılavuzu: Kısıtlama yanıtlarını işlemek için üstel zaman aşımı ile yeniden deneme mantığı uygulayın. Daha fazla bilgi için bkz. Azure Key Vault sınırlama kılavuzu.
- Önbelleğe alma: Key Vault çağrılarını azaltmak ve performansı artırmak için uygulamanızdaki gizli dizileri ve sertifikaları önbelleğe alın.
- Bağlantı yönetimi: Gecikme süresini azaltmak ve performansı geliştirmek için mümkün olduğunda Key Vault'a HTTP bağlantılarını yeniden kullanın.
İzleme ve Kayıt
Güvenlik, uyumluluk ve sorun giderme için günlüğe kaydetmeyi ve izlemeyi etkinleştirin. Kritik olaylar için tanılama ayarlarını, Event Grid bildirimlerini ve uyarıları yapılandırın. Ayrıntılı yönergeler için bkz. Azure Key Vault'un izlenmesi, Azure Key Vault günlüğü, Azure Event Grid ile Key Vault'un izlenmesi ve Azure Key Vault'unuzun güvenliğini sağlama: Günlüğe Kaydetme ve Tehdit Algılama.
Ortak parametreler ve istek desenleri
Key Vault REST API'siyle çalışırken yaygın parametreleri ve istek/yanıt desenlerini anlamak yararlı olur:
- API sürümleri: Key Vault sürümü oluşturulan API'leri kullanır. İsteklerinizde her zaman API sürümünü belirtin.
- Kimlik doğrulama istekleri: Yaygın istek üst bilgileri ve yanıt biçimleri de dahil olmak üzere kimlik doğrulama belirteçlerinin nasıl alınıp kullanıldığını anlayın. Daha fazla bilgi için bkz. Kimlik doğrulaması, istekler ve yanıtlar.
- Hata kodları: Hataları düzgün bir şekilde işlemek için yaygın REST API hata kodları hakkında bilgi sahibi olun. Daha fazla bilgi için bkz. Azure Key Vault REST API hata kodları.
Sorun giderme
Yaygın sorunları çözme konusunda yardım için:
- Erişim reddedildi hataları: Kimlik doğrulama kimlik bilgilerinizi ve güvenlik sorumlunuzun RBAC atamaları aracılığıyla gerekli izinlere sahip olduğunu doğrulayın. Bkz. Key Vault için Azure RBAC veri düzlemi işlemleri.
- Ağ bağlantısı: Key Vault'a güvenlik duvarının arkasından erişiliyorsa, gerekli uç noktaların erişilebilir olduğundan emin olun. Bkz . Güvenlik duvarının arkasındaki Key Vault'a erişme.
- Hız sınırlaması: 429 (Çok Fazla İstek) yanıtı alıyorsanız üstel geri çekilme uygulayın. Bkz. Azure Key Vault kısıtlama kılavuzu.
En iyi güvenlik uygulamaları
Kimlik ve erişim yönetimi, veri koruma, uyumluluk, idare ve yedekleme stratejileri gibi kapsamlı güvenlik yönergeleri için bkz. Azure Key Vault'unuzun güvenliğini sağlama.
Ek kaynaklar
Key Vault kavramları
- Azure Key Vault temel kavramları - Key Vault ile çalışmaya yönelik temel kavramlar.
- Azure Key Vault yumuşak silmeye genel bakış - Silinen nesnelerin kurtarılması.
- Azure Key Vault sınırlama kılavuzu - Uygulamanız için temel kavramlar ve yaklaşım.
- Azure Key Vault güvenlik dünyaları ve coğrafi sınırlar - Bölgesel ve güvenlik ilişkileri.
- Azure Key Vault hizmet sınırları - İşlem sınırları ve diğer hizmet kısıtlamaları.
Yönetim ve işlemler
- Azure Key Vault'un izlenmesi - İzlemeyi ve tanılamayı ayarlayın.
- Azure Key Vault günlüğü - Key Vault günlüklerini etkinleştirin ve analiz edin.
Topluluk ve destek
- Microsoft Soru-Cevap - Soru sorun ve topluluktan yanıtlar alın.
- Key Vault için Stack Overflow - Geliştiricilerden Teknik Soru-Cevap.
- Azure Geri Bildirimi - Özellik istekleri ve geri bildirim gönderin.