Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Key Vault parolalar ve veritabanı bağlantı dizeleri gibi genel gizli diziler için güvenli depolama sağlar.
Geliştirici açısından Key Vault API'ler gizli değerleri dize olarak kabul eder ve döndürür. dahili olarak, Key Vault her biri en fazla 25 KB boyutunda sekizli diziler (8 bit bayt) olarak gizli dizileri depolar ve yönetir. Key Vault hizmeti gizli bilgiler için semantik sağlamaz. Yalnızca verileri kabul eder, şifreler, depolar ve bir gizli dizi tanımlayıcısı (id ) döndürür. Gizliyi daha sonra almak için tanımlayıcıyı kullanabilirsiniz.
Son derece hassas veriler için ek koruma katmanları eklemeyi göz önünde bulundurun. Örneğin, verileri Key Vault depolamadan önce ayrı bir koruma anahtarı kullanarak şifreleyin.
Key Vault, sırlar için contentType alanını da destekler. İstemciler, gizli bilgiler alındığında, gizli verilerin yorumlanmasına yardımcı olmak için bunların içerik türünü belirtebilir. Bu alanın uzunluk üst sınırı 255 karakterdir. Önerilen kullanım, gizli verileri yorumlamak için bir ipucudur. Örneğin, bir uygulama hem parolaları hem de sertifikaları gizli dizi olarak depolayabilir ve ardından ayırt etmek için bu alanı kullanabilir. Önceden tanımlanmış değer yok.
Şifreleme
Key Vault, gizli bilgileri şifrelenmiş veriler olarak depolar. Key Vault, durağan durumdaki sırları bir şifreleme anahtarları hiyerarşisi kullanarak şifreler ve hiyerarşideki tüm anahtarlar FIPS tarafından doğrulanmış modüller tarafından korunur. Bu şifreleme saydamdır ve sizden hiçbir işlem gerektirmez. Azure Key Vault hizmeti, gizli dizilerinizi eklediğinizde şifreler ve bunları okuduğunuzda bunların şifresini otomatik olarak çözer.
Anahtar hiyerarşisinin şifreleme yaprak anahtarı her anahtar kasası için benzersizdir. Anahtar hiyerarşisinin şifreleme kök anahtarı güvenlik dünyasına özgüdür. Her Key Vault katmanı ve Yönetilen HSM için FIPS doğrulama düzeyleri hakkında bilgi için bkz. Hakkında anahtarlar: Uyumluluk.
Gizli öznitelikler
Gizli verilere ek olarak, aşağıdaki öznitelikleri belirtebilirsiniz:
- exp: IntDate, isteğe bağlı, varsayılan sonsuza kadardır. exp (süre sonu) özniteliği, belirli durumlar dışında gizli verilerin alınmaması gereken veya sonrasındaki süre sonunu ayarlar. Bu alan yalnızca kullanıcılara belirli bir gizli anahtarın kullanılamayabileceğini bildiren bilgi amaçlıdır. Değeri, IntDate değeri içeren bir sayı olmalıdır.
- nbf: IntDate, isteğe bağlı, varsayılan artık. nbf (daha önce değil) özniteliği, belirli durumlar dışında gizli verilerin alınmaması gereken süreyi ayarlar. Bu alan yalnızca bilgilendirme amaçlıdır. Değeri, IntDate değeri içeren bir sayı olmalıdır.
- etkin: boolean, isteğe bağlı, varsayılan true. Bu öznitelik, gizli verilerin alınıp alınamayacağını belirtir. nbf ve exp ile etkin özniteliğini kullanın. nbf ile exp arasında bir işlem gerçekleştiğinde, işleme yalnızca etkin true olarak ayarlandığında izin verilir. Nbf ve exp penceresinin dışındaki işlemlere, belirli durumlar dışında otomatik olarak izin verilmez.
Gizli öznitelikler içeren herhangi bir yanıt, aşağıdaki salt okunur öznitelikleri de içerir:
- created: IntDate, isteğe bağlı. Oluşturulan öznitelik, gizli dizinin bu sürümünün ne zaman oluşturulduğunu gösterir. Bu öznitelik eklenmeden önce oluşturulan gizli bilgiler için bu değer null'dır. Değeri, IntDate değeri içeren bir sayı olmalıdır.
- güncelleştirildi: IntDate, isteğe bağlı. Güncellenmiş öznitelik, sırrın bu sürümünün ne zaman güncellendiğini gösterir. Bu değer, bu özniteliğin eklenmesinden önce en son güncellenmiş olan gizli bilgiler için null'dur. Değeri, IntDate değeri içeren bir sayı olmalıdır.
Her anahtar kasası nesne türünün ortak öznitelikleri hakkında bilgi için bkz. Azure Key Vault anahtarları, gizli diziler ve sertifikalara genel bakış.
Tarih-saat denetimli işlemler
Gizli bilginin alma işlemi, henüz geçerli olmayan ve süresi dolmuş gizli bilgiler için nbf / exp penceresinin dışında çalışır. Henüz geçerli olmayan bir gizli anahtarın alma işlemini çağırmak test amacıyla kullanılabilir. Kurtarma işlemleri için süresi dolmuş bir gizli anahtarı alma (alma) işlemi kullanılabilir.
Gizli erişim denetimi
Key Vault tarafından yönetilen gizli bilgiler için erişim denetimi, bu gizli bilgileri içeren Key Vault düzeyinde sağlanır. Gizliler için erişim denetimi ilkesi, aynı anahtar kasasındaki anahtarlar için erişim denetimi ilkesinden farklıdır. Kullanıcılar gizli bilgileri saklamak için bir veya daha fazla kasa oluşturabilir ve gizli bilgilerin senaryoya uygun olarak bölümlendirilmesi ve yönetimini sağlamakla yükümlüdürler.
Kasadaki gizli veriler için erişim kontrol girişinde, yetkili başına aşağıdaki izinleri kullanın. Bu izinler, gizli nesne üzerindeki izin verilen işlemleri yakından yansıtır.
Gizli yönetimi işlemleri için izinler
- get: Bir sırrı oku
- list: Key Vault'ta depolanan gizli anahtarları veya bir gizli anahtarın sürümlerini listele
- set: Gizli oluştur
- delete: Bir sırrı sil
- kurtarma: Silinen gizliyi kurtarma
- yedekleme: Anahtar kasasında bir sırrı yedekleme
- geri yükleme: Yedeklenen gizli bilgiyi anahtar kasasına geri yükleme
Ayrıcalıklı işlemler için izinler
- purge: Silinen bir gizliyi temizleme (kalıcı olarak silme)
Gizli bilgilerle çalışma hakkında daha fazla bilgi için Key Vault REST API başvuru dokümanındaki Gizli işlemler bölümüne bakın. İzin oluşturma hakkında bilgi için bkz. Kasalar - Oluşturma veya Güncelleştirme ve Kasalar - Erişim İlkesini Güncelleştirme.
Key Vault'ta erişim denetimi için kılavuzlar:
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlara, sertifikalara ve gizli dizilere erişim sağlama (önerilir)
- Bir Key Vault erişim ilkesi atama (eski)
Gizli etiketler
Etiketler biçiminde uygulamaya özgü daha fazla meta veri belirtebilirsiniz. Key Vault, her biri 512 karakterlik bir ada ve 512 karakterlik değere sahip olabilecek en fazla 15 etiketi destekler.
Uyarı
Arayanların listesi varsa veya izin alıyorsa etiketleri okuyabilir.
Kullanım senaryoları
| Ne zaman kullanılır? | Örnekler |
|---|---|
| Parolalar, erişim anahtarları ve hizmet ana müşterisi gizli dizileri gibi hizmetten hizmete iletişim için kimlik bilgilerini güvenli bir şekilde depolayın, izleyin ve yaşam döngüsünü yönetin. |
-
Sanal Makine ile Azure Key Vault kullanma - Azure Web App ile Azure Key Vault kullanın |
Sonraki Adımlar
- Azure'de Anahtar Yönetimi
- Key Vault'ta gizli yönetimi için en iyi uygulamalar
- Key Vault Hakkında
- Anahtarlar, sırlar ve sertifikalar hakkında
- Key Vault erişim ilkesini belirleme
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlara, sertifikalara ve gizli dizilere erişimi sağlama
- Anahtar kasasına güvenli erişim sağlamak
- Key Vault Geliştirici Kılavuzu