Azure Key Vault geliştirici kılavuzu
Azure Key Vault, hassas bilgilere uygulamalarınızdan güvenli bir şekilde erişmenizi sağlar:
- Anahtarlar, gizli diziler ve sertifikalar, kodu kendiniz yazmak zorunda kalmadan korunur ve bunları uygulamalarınızdan kolayca kullanabilirsiniz.
- Müşterilerin kendi anahtarlarına, gizli dizilerine ve sertifikalarına sahip olmalarına ve bunları yönetmelerine izin vererek temel yazılım özelliklerini sağlamaya odaklanabilirsiniz. Bu şekilde, uygulamalarınız müşterilerinizin kiracı anahtarları, gizli dizileri ve sertifikaları için sorumluluk veya olası sorumluluk sahibi olmaz.
- Uygulamanız imzalama ve şifreleme için anahtarları kullanabilir ancak anahtar yönetimini uygulamanız dışında tutun. Daha fazla bilgi için bkz . Anahtarlar hakkında.
- Parolalar, erişim anahtarları ve SAS belirteçleri gibi kimlik bilgilerini Key Vault gizli dizi olarak depolayarak yönetebilirsiniz. Daha fazla bilgi için bkz. Gizli diziler hakkında.
- Sertifikaları yönetme. Daha fazla bilgi için bkz. Sertifikalar hakkında.
Azure Key Vault hakkında genel bilgi için bkz. Azure Key Vault hakkında.
Genel önizlemeler
Düzenli aralıklarla yeni bir Key Vault özelliğinin genel önizlemesini yayınlıyoruz. Genel önizleme özelliklerini deneyin ve geri bildirim e-posta adresimiz aracılığıyla azurekeyvault@microsoft.comdüşüncelerinizi bize bildirin.
Anahtar kasaları oluşturma ve yönetme
Diğer Azure hizmetlerinde olduğu gibi Key Vault de Azure Resource Manager aracılığıyla yönetilir. Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Azure hesabınızdaki kaynakları oluşturmak, güncelleştirmek ve silmek için bunu kullanabilirsiniz.
Azure rol tabanlı erişim denetimi (RBAC), yönetim düzlemi olarak da bilinen yönetim katmanına erişimi denetler. Erişim ilkeleri dahil olmak üzere anahtar kasaları ve bunların özniteliklerini oluşturmak ve yönetmek için Key Vault yönetim düzlemini kullanırsınız. Anahtarları, sertifikaları ve gizli dizileri yönetmek için veri düzlemini kullanırsınız.
Key Vault yönetim erişimi vermek için önceden tanımlanmış Key Vault Katkıda Bulunan rolünü kullanabilirsiniz.
Anahtar kasası yönetimi için API'ler ve SDK'lar
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru | Başvuru Hızlı Başlangıç |
Başvuru | Başvuru | Başvuru | Başvuru |
Yükleme paketleri ve kaynak kodu için bkz . İstemci kitaplıkları.
Koddaki Key Vault için kimlik doğrulaması
Key Vault, erişim vermek için Azure AD güvenlik sorumlusu gerektiren Azure Active Directory (Azure AD) kimlik doğrulamasını kullanır. Azure AD güvenlik sorumlusu bir kullanıcı, uygulama hizmet sorumlusu, Azure kaynakları için yönetilen kimlik veya bu türlerden herhangi biri olabilir.
Kimlik doğrulaması en iyi yöntemleri
Azure'a dağıtılan uygulamalar için yönetilen kimlik kullanmanızı öneririz. Yönetilen kimlikleri desteklemeyen Azure hizmetlerini kullanıyorsanız veya uygulamalar şirket içinde dağıtılıyorsa, sertifikaya sahip bir hizmet sorumlusu olası bir alternatiftir. Bu senaryoda sertifikanın Key Vault depolanması ve sık sık döndürülmesi gerekir.
Geliştirme ve test ortamları için gizli dizi içeren bir hizmet sorumlusu kullanın. Yerel geliştirme ve Azure Cloud Shell için kullanıcı sorumlusu kullanın.
Her ortamda şu güvenlik sorumlularını öneririz:
- Üretim ortamı: Sertifikaya sahip yönetilen kimlik veya hizmet sorumlusu.
- Test ve geliştirme ortamları: Yönetilen kimlik, sertifikalı hizmet sorumlusu veya gizli dizili hizmet sorumlusu.
- Yerel geliştirme: Gizli dizili kullanıcı sorumlusu veya hizmet sorumlusu.
Azure Identity istemci kitaplıkları
Önceki kimlik doğrulama senaryoları Azure Identity istemci kitaplığı tarafından desteklenir ve Key Vault SDK'larla tümleşiktir. Azure Identity istemci kitaplığını, kodunuzu değiştirmeden ortamlar ve platformlar arasında kullanabilirsiniz. Kitaplık, Azure CLI, Visual Studio, Visual Studio Code ve diğer yollarla Azure kullanıcısında oturum açan kullanıcılardan kimlik doğrulama belirteçlerini otomatik olarak alır.
Azure Identity istemci kitaplığı hakkında daha fazla bilgi için bkz:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Kimlik SDK'sı .NET | Azure Kimlik SDK'sı Python | Azure Kimlik SDK'sı Java | Azure Kimlik SDK'sı JavaScript |
Not
Key Vault .NET SDK sürüm 3 için Uygulama Kimlik Doğrulaması kitaplığı önerilir, ancak artık kullanım dışıdır. Key Vault .NET SDK sürüm 4'e geçmek için AppAuthentication to Azure.Identity geçiş kılavuzunu izleyin.
Uygulamalarda Key Vault kimlik doğrulaması hakkında öğreticiler için bkz:
- .NET’te sanal makineyle Azure Key Vault’u kullanma
- Python’da sanal makineyle Azure Key Vault’u kullanma
- .NET'te bir Azure web uygulamasına Key Vault bağlamak için yönetilen kimlik kullanma
Anahtarları, sertifikaları ve gizli dizileri yönetme
Veri düzlemi anahtarlara, sertifikalara ve gizli dizilere erişimi denetler. Veri düzlemi üzerinden erişim denetimi için yerel kasa erişim ilkelerini veya Azure RBAC'yi kullanabilirsiniz.
Anahtarlar için API'ler ve SDK'lar
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru | Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Sertifikalar için API'ler ve SDK'lar
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru | Yok | Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Gizli diziler için API'ler ve SDK'lar
| Azure CLI | PowerShell | REST API | Resource Manager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru | Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Başvuru Hızlı Başlangıç |
Gizli dizilerin kullanımı
Uygulamanızın yalnızca gizli dizilerini depolamak için Azure Key Vault kullanın. Key Vault depolanması gereken gizli dizilere örnek olarak şunlar verilebilir:
- İstemci uygulama gizli dizileri
- Bağlantı dizeleri
- Parolalar
- Paylaşılan erişim anahtarları
- SSH anahtarları
Kullanıcı adları ve uygulama kimlikleri gibi gizli dizilerle ilgili tüm bilgiler gizli dizide etiket olarak depolanabilir. Diğer hassas yapılandırma ayarları için Azure Uygulama Yapılandırması kullanmalısınız.
Başvurular
Yükleme paketleri ve kaynak kodu için bkz . İstemci kitaplıkları.
Key Vault için veri düzlemi güvenliği hakkında bilgi için bkz. Azure Key Vault güvenlik özellikleri.
Uygulamalarda Key Vault kullanma
Key Vault'daki en son özelliklerden yararlanmak için, uygulamanızda gizli dizileri, sertifikaları ve anahtarları kullanmak için kullanılabilir Key Vault SDK'larını kullanmanızı öneririz. Key Vault SDK'ları ve REST API'leri, ürün için yeni özellikler kullanıma sunuldukça güncelleştirilir ve en iyi yöntemleri ve yönergeleri izler.
Temel senaryolar için, Microsoft iş ortakları veya açık kaynak toplulukları tarafından sağlanan destekle birlikte basitleştirilmiş kullanıma yönelik başka kitaplıklar ve tümleştirme çözümleri vardır.
Sertifikalar için şunları kullanabilirsiniz:
- Azure anahtar kasasında depolanan sertifikaların otomatik olarak yenilenmesini sağlayan Key Vault sanal makine (VM) uzantısı. Daha fazla bilgi için bkz.
- Key Vault sertifikalarını içeri aktarabilen ve otomatik olarak yenileyebilen Azure App Service tümleştirme. Daha fazla bilgi için bkz. Key Vault'dan sertifika içeri aktarma.
Gizli diziler için şunları kullanabilirsiniz:
- App Service uygulama ayarlarıyla gizli dizileri Key Vault. Daha fazla bilgi için bkz. App Service ve Azure İşlevleri için Key Vault başvurularını kullanma.
- Azure VM'de barındırılan uygulamalar için Uygulama Yapılandırması hizmetiyle gizli dizileri Key Vault. Daha fazla bilgi için bkz. uygulamaları Uygulama Yapılandırması ve Key Vault ile yapılandırma.
Kod örnekleri
Uygulamalarla Key Vault kullanmanın tam örnekleri için bkz. Azure Key Vault kod örnekleri.
Göreve özgü kılavuz
Aşağıdaki makaleler ve senaryolar, Azure Key Vault ile çalışmaya yönelik göreve özgü yönergeler sağlar:
- Bir anahtar kasasına erişmek için istemci uygulamanızın çeşitli işlevler için birden çok uç noktaya erişebilmesi gerekir. Bkz. Güvenlik duvarının arkasındaki Key Vault erişme.
- Azure VM'de çalışan bir bulut uygulamasının bir sertifikaya ihtiyacı vardır. Bu sertifikayı bu VM'ye nasıl alacaksınız? Bkz. Windows için Key Vault sanal makine uzantısı veya Linux için Key Vault sanal makine uzantısı.
- Azure CLI, PowerShell veya Azure portal kullanarak erişim ilkesi atamak için bkz. Key Vault erişim ilkesi atama.
- Geçici silme özelliği etkinleştirilmiş bir anahtar kasasının ve çeşitli anahtar kasası nesnelerinin kullanımı ve yaşam döngüsü hakkında yönergeler için bkz. Geçici silme ve temizleme koruması ile Azure Key Vault kurtarma yönetimi.
- Dağıtım sırasında parametre olarak güvenli bir değer (parola gibi) geçirmeniz gerektiğinde, bu değeri bir anahtar kasasında gizli dizi olarak depolayabilir ve diğer Resource Manager şablonlarındaki değere başvurabilirsiniz. Bkz. Dağıtım sırasında güvenli parametre değerleri geçirmek için Azure Key Vault kullanma.
Key Vault ile tümleştirme
Aşağıdaki hizmetler ve senaryolar Key Vault kullanır veya bunlarla tümleştirilir:
- Bekleyen verilerin şifrelenmesi , verilerin kalıcı hale getirildiğinde şifrelenmesine (şifrelenmesine) olanak tanır. Veri şifreleme anahtarları genellikle Azure Key Vault'da erişimi daha fazla sınırlamak için anahtar şifreleme anahtarıyla şifrelenir.
- Azure Information Protection kendi kiracı anahtarınızı yönetmenize olanak tanır. Örneğin, kiracı anahtarınızı Microsoft yönetmek yerine (varsayılan), kuruluşunuz için geçerli olan belirli düzenlemelere uymak için kendi kiracı anahtarınızı yönetebilirsiniz. Kendi kiracı anahtarınızı yönetmeye kendi anahtarını getir (KAG) de denir.
- Azure Özel Bağlantı, sanal ağınızdaki özel bir uç nokta üzerinden Azure hizmetlerine (örneğin, Azure Key Vault, Azure Depolama ve Azure Cosmos DB) ve Azure'da barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.
- Azure Event Grid ile Key Vault tümleştirmesi, Key Vault depolanan bir gizli dizinin durumu değiştiğinde kullanıcılara bildirim verilmesini sağlar. Kesintileri önlemek için gizli dizilerin yeni sürümlerini uygulamalara dağıtabilir veya süresi dolmak üzere olan gizli dizileri döndürebilirsiniz.
- Azure DevOps gizli dizilerinizi Key Vault istenmeyen erişimden koruyun.
- Azure Databricks'ten Azure Depolama'ya bağlanmak için Key Vault depolanan gizli dizileri kullanın.
- Kubernetes'te Gizli Dizi Deposu CSI sürücüsü için Azure Key Vault sağlayıcısını yapılandırın ve çalıştırın.
Key Vault genel bakışlar ve kavramlar
Hakkında bilgi edinmek için:
- Silme işleminin yanlışlıkla veya kasıtlı olmasına bakılmaksızın silinen nesnelerin kurtarılmasına olanak tanıyan bir özellik için bkz. Azure Key Vault geçici silmeye genel bakış.
- Azaltmanın temel kavramları ve uygulamanız için bir yaklaşım elde etme, bkz. Azure Key Vault azaltma kılavuzu.
- Bölgeler ve güvenlik alanları arasındaki ilişkiler, bkz. Azure Key Vault güvenlik dünyaları ve coğrafi sınırlar.