Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Key Vault, parolalar ve veritabanı bağlantı dizesi gibi genel gizli dizilerin güvenli bir şekilde depolanmasını sağlar.
Geliştirici açısından bakıldığında Key Vault API'leri gizli dizi değerlerini dize olarak kabul eder ve döndürür. Key Vault dahili olarak gizli dizileri sekizli diziler (8 bit bayt) olarak depolar ve yönetir ve her biri en fazla 25k bayt boyutundadır. Key Vault hizmeti gizli diziler için semantik sağlamaz. Yalnızca verileri kabul eder, şifreler, depolar ve bir gizli dizi tanımlayıcısı (id ) döndürür. Tanımlayıcı, gizli diziyi daha sonra almak için kullanılabilir.
Son derece hassas veriler için istemciler, veriler için ek koruma katmanlarını dikkate almalıdır. Anahtarı Anahtar Kasasında depolamadan önce ayrı bir koruma anahtarı kullanarak verileri şifrelemek bunun bir örneğidir.
Key Vault, gizli diziler için contentType alanını da destekler. İstemciler, gizli veriler alındığında yorumlanmasına yardımcı olması için gizli verinin içerik türünü belirtebilir. Bu alanın uzunluk üst sınırı 255 karakterdir. Önerilen kullanım, gizli verileri yorumlamak için bir ipucudur. Örneğin, bir uygulama hem parolaları hem de sertifikaları gizli dizi olarak depolayıp ayırt etmek için bu alanı kullanabilir. Önceden tanımlanmış değer yok.
Şifreleme
Key Vault'unuzda yer alan tüm gizli diziler şifrelenmiş olarak depolanır. Key Vault, durağan sırları bir şifreleme anahtarları hiyerarşisiyle şifreler ve bu hiyerarşideki tüm anahtarlar FIPS 140-2 uyumlu modüllerle korunur. Bu şifreleme saydamdır ve kullanıcıdan hiçbir eylem gerektirmez. Azure Key Vault hizmeti, gizli dizilerinizi eklediğinizde şifreler ve bunları okuduğunuzda bunların şifresini otomatik olarak çözer.
Anahtar hiyerarşisinin şifreleme yaprak anahtarı her anahtar kasası için benzersizdir. Anahtar hiyerarşisinin şifreleme kök anahtarı güvenlik dünyasına özgüdür ve FIPS 140-2 Düzey 3 veya üzeri için doğrulanmış bir modül tarafından korunur.
Gizli dizi öznitelikleri
Gizli dizi verilerine ek olarak aşağıdaki öznitelikler belirtilebilir:
- exp: IntDate, isteğe bağlı, varsayılan sonsuza kadardır. exp (süre sonu) özniteliği, belirli durumlar dışında gizli verilerin alınmaması gereken veya sonrasındaki süre sonunu tanımlar. Bu alan yalnızca kullanıcılara belirli bir gizli anahtarın kullanılamayabileceğini bildiren bilgi amaçlıdır. Değeri, IntDate değeri içeren bir sayı OLMALıDıR.
- nbf: IntDate, isteğe bağlı, varsayılan artık. nbf (daha önce değil) özniteliği, belirli durumlar dışında gizli verilerin alınmaması gereken zamanı tanımlar. Bu alan yalnızca bilgilendirme amaçlıdır. Değeri, IntDate değeri içeren bir sayı OLMALıDıR.
- etkin: boole, isteğe bağlı, varsayılan true. Bu öznitelik, gizli verilerin alınıp alınamayacağını belirtir. Etkin öznitelik nbf ve exp arasında bir işlem gerçekleştiğinde nbf ve exp ile birlikte kullanılır; yalnızca etkinleştirildiğinde true olarak ayarlanırsa izin verilir. Nbf ve exp penceresinin dışındaki işlemlere, belirli durumlar dışında otomatik olarak izin verilmez.
Gizli dizi öznitelikleri içeren herhangi bir yanıta dahil edilen daha fazla salt okunur öznitelik vardır:
- created: IntDate, isteğe bağlı. Oluşturulan öznitelik, gizli dizinin bu sürümünün ne zaman oluşturulduğunu gösterir. Bu öznitelik eklenmeden önce oluşturulan gizli diziler için bu değer null olur. Değeri, IntDate değeri içeren bir sayı olmalıdır.
- güncelleştirildi: IntDate, isteğe bağlı. Güncelleştirilmiş özniteliği, gizli dizinin bu sürümünün ne zaman güncelleştirildiğini gösterir. Bu değer, bu özniteliğin eklenmesinden önce en son güncelleştirilen gizli diziler için null değeridir. Değeri, IntDate değeri içeren bir sayı olmalıdır.
Her anahtar kasası nesne türünün ortak öznitelikleri hakkında bilgi için bkz. Azure Key Vault anahtarları, gizli dizileri ve sertifikalara genel bakış
Tarih-saat denetimli işlemler
Gizli bir bilginin alma işlemi, henüz geçerli olmayan ve süresi dolmuş bilgiler için nbf / exp zaman aralığının dışında çalışır. Henüz geçerli olmayan bir gizli için alma işlemini çağırmak, test amacıyla kullanılabilir. Süresi dolmuş bir gizli anahtarı almak, kurtarma işlemleri için kullanılabilir.
Gizli anahtar erişim denetimi
Key Vault'ta yönetilen gizli diziler için Erişim Denetimi, bu gizli dizileri içeren Key Vault düzeyinde sağlanır. Gizli diziler için erişim denetimi ilkesi, aynı Key Vault'taki anahtarlar için erişim denetimi ilkesinden farklıdır. Kullanıcılar gizli dizileri barındırmak için bir veya daha fazla kasa oluşturabilir ve senaryoya uygun kesimleme ve gizli dizi yönetimi sağlamak için gereklidir.
Aşağıdaki izinler, bir kasadaki gizli dizi erişim denetimi girişinde her sorumlu temelinde kullanılabilir ve gizli dizi nesnesinde izin verilen işlemleri yakından yansıtabilir:
Gizli dizi yönetimi işlemleri için izinler
- get: Bir sırrı oku
- list: Key Vault'ta depolanan sırları veya bir sırrın sürümlerini listele
- set: Gizli oluştur
- delete: Bir sırrı sil
- kurtarma: Silinen gizliyi kurtarma
- yedekleme: Anahtar kasasında bir sırrı yedekleme
- geri yükleme: Yedeklenen gizli bilgiyi anahtar kasasına geri yükleme
Ayrıcalıklı işlemler için izinler
- purge: Silinen bir gizliyi temizleme (kalıcı olarak silme)
Gizli verilerle çalışma hakkında daha fazla bilgi için bakınız Key Vault REST API referansında gizli veri işlemleri. İzin oluşturma hakkında bilgi için bkz. Kasalar - Oluşturma veya Güncelleştirme ve Kasalar - Erişim İlkesini Güncelleştirme.
Key Vault'ta erişimi denetlemek için nasıl yapılır kılavuzları:
- CLI kullanarak Key Vault erişim ilkesi atama
- PowerShell kullanarak Key Vault erişim ilkesi atama
- Azure portalını kullanarak Key Vault erişim ilkesi atama
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama
Gizli dizi etiketleri
Etiketler biçiminde uygulamaya özgü daha fazla meta veri belirtebilirsiniz. Key Vault, her biri 512 karakter adına ve 512 karakter değerine sahip olabilecek en fazla 15 etiketi destekler.
Uyarı
Etiketler, listeye sahipse veya izin alıyorsa arayan tarafından okunabilir.
Kullanım Senaryoları
| Ne zaman kullanılır? | Örnekler |
|---|---|
| Parolalar, erişim anahtarları ve hizmet ana müşterisi gizli dizileri gibi hizmetten hizmete iletişim için kimlik bilgilerini güvenli bir şekilde depolayın, izleyin ve yaşam döngüsünü yönetin. |
-
Sanal Makine ile Azure Key Vault kullanma - Azure Web Uygulaması ile Azure Key Vault kullanma |
Sonraki Adımlar
- Azure'da anahtar yönetimi
- Key Vault'ta gizli bilgiler yönetimi için en iyi yöntemler
- Key Vault hakkında
- Anahtarlar, sırlar ve sertifikalar hakkında
- Key Vault erişim ilkesi atama
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama
- Anahtar kasasına güvenli erişim sağlamak
- Key Vault Geliştirici Kılavuzu