Azure Key Vault anahtarlarına, gizli dizilerine ve sertifikalara genel bakış
Azure Key Vault, Microsoft Azure uygulamalarının ve kullanıcılarının çeşitli gizli dizi/anahtar verilerini depolamasına ve kullanmasına olanak tanır: anahtarlar, gizli diziler ve sertifikalar. Anahtarlar, gizli diziler ve sertifikalar topluca "nesneler" olarak adlandırılır.
Nesne tanımlayıcıları
Nesneler Key Vault'ta nesne tanımlayıcısı olarak adlandırılan büyük/küçük harfe duyarlı olmayan bir tanımlayıcı kullanılarak benzersiz olarak tanımlanır. Coğrafi konumdan bağımsız olarak sistemdeki iki nesne aynı tanımlayıcıya sahip değildir. Tanımlayıcı, anahtar kasasını, nesne türünü, kullanıcı tarafından sağlanan nesne adını ve nesne sürümünü tanımlayan bir ön ek içerir. Nesne sürümünü içermeyen tanımlayıcılar "temel tanımlayıcılar" olarak adlandırılır. Key Vault nesne tanımlayıcıları da geçerli URL'lerdir, ancak her zaman büyük/küçük harfe duyarlı olmayan dizeler olarak karşılaştırılmalıdır.
Daha fazla bilgi için bkz. Kimlik doğrulaması, istekler ve yanıtlar
Nesne tanımlayıcısı aşağıdaki genel biçime sahiptir (kapsayıcı türüne bağlı olarak):
Kasalar için:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Yönetilen HSM havuzları için:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Burada:
| Öğe | Tanım |
|---|---|
vault-name veya hsm-name |
Microsoft Azure Key Vault hizmetindeki bir anahtar kasasının veya Yönetilen HSM havuzunun adı. Kasa adları ve Yönetilen HSM havuzu adları kullanıcı tarafından seçilir ve genel olarak benzersizdir. Kasa adı ve Yönetilen HSM havuz adı, yalnızca 0-9, a-z, A-Z içeren ve ardışık olmayan bir 3-24 karakter dizesi olmalıdır. |
object-type |
Nesnenin türü, "anahtarlar", "gizli diziler" veya "sertifikalar". |
object-name |
, object-name için kullanıcı tarafından sağlanan bir addır ve anahtar kasası içinde benzersiz olmalıdır. Ad, harfle başlayan ve yalnızca 0-9, a-z, A-Z ve - içeren 1-127 karakterlik bir dize olmalıdır. |
object-version |
, object-version isteğe bağlı olarak bir nesnenin benzersiz bir sürümünü ele almak için kullanılan, sistem tarafından oluşturulan, 32 karakterlik bir dize tanımlayıcısıdır. |
Nesne tanımlayıcıları için DNS son ekleri
Azure Key Vault kaynak sağlayıcısı iki kaynak türünü destekler: kasalar ve yönetilen HSM'ler. Bu tabloda, çeşitli bulut ortamlarındaki kasalar ve yönetilen HSM havuzları için veri düzlemi uç noktası tarafından kullanılan DNS soneki gösterilmektedir.
| Bulut ortamı | Kasalar için DNS son eki | Yönetilen HSM'ler için DNS son eki |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| 21Vianet Cloud tarafından sağlanan Microsoft Azure | .vault.azure.cn | Desteklenmez |
| Azure ABD Hükümeti | .vault.usgovcloudapi.net | Desteklenmez |
| Azure Alman Bulutu | .vault.microsoftazure.de | Desteklenmez |
Nesne türleri
Bu tablo nesne tanımlayıcısında nesne türlerini ve bunların soneklerini gösterir.
| Object type | Tanımlayıcı Son Eki | Kasalar | Yönetilen HSM Havuzları |
|---|---|---|---|
| HSM ile korunan anahtarlar | /Anahtar | Desteklenir | Desteklenir |
| Yazılım korumalı anahtarlar | /Anahtar | Desteklenir | Desteklenmez |
| Gizli Diziler | /Sır -larını | Desteklenir | Desteklenmez |
| Sertifikalar | /Sertifika | Desteklenir | Desteklenmez |
| Depolama hesabı anahtarları | /Depolama | Desteklenir | Desteklenmez |
- Şifreleme anahtarları: Birden çok anahtar türünü ve algoritmayı destekler ve yazılım korumalı ve HSM korumalı anahtarların kullanılmasını sağlar. Daha fazla bilgi için bkz . Anahtarlar hakkında.
- Gizli Diziler: Parolalar ve veritabanı bağlantı dizesi gibi gizli dizilerin güvenli bir şekilde depolanmasını sağlar. Daha fazla bilgi için bkz . Gizli diziler hakkında.
- Sertifikalar: Anahtarların ve gizli dizilerin üzerine kurulu sertifikaları destekler ve otomatik yenileme özelliği ekler. Bir sertifika oluşturulduğunda aynı adla adreslenebilir bir anahtar ve gizli dizi de oluşturulduğunu unutmayın. Daha fazla bilgi için bkz . Sertifikalar hakkında.
- Azure Depolama hesap anahtarları: Azure Depolama hesabının anahtarlarını sizin için yönetebilir. Key Vault, azure Depolama hesabıyla anahtarları dahili olarak listeleyebilir (eşitleyebilir) ve anahtarları düzenli aralıklarla yeniden oluşturabilir (döndürebilir). Daha fazla bilgi için bkz . Key Vault ile depolama hesabı anahtarlarını yönetme.
Key Vault hakkında daha fazla genel bilgi için bkz . Azure Key Vault hakkında. Yönetilen HSM havuzları hakkında daha fazla bilgi için bkz. Azure Key Vault Yönetilen HSM nedir ?
Veri türleri
Anahtarlar, şifreleme ve imzalama için ilgili veri türleri için JOSE belirtimlerine bakın.
- algoritma - anahtar işlemi için desteklenen bir algoritma, örneğin, RSA1_5
- ciphertext-value - Base64URL kullanılarak kodlanmış şifreleme metin sekizlileri
- digest-value - Base64URL kullanılarak kodlanmış bir karma algoritmasının çıkışı
- key-type - desteklenen anahtar türlerinden biri, örneğin RSA (Rivest-Shamir-Adleman).
- plaintext-value - Base64URL kullanılarak kodlanmış düz metin sekizlileri
- signature-value - Base64URL kullanılarak kodlanmış bir imza algoritmasının çıkışı
- base64URL - Base64URL [RFC4648] kodlanmış ikili değer
- boolean - true veya false
- Kimlik - Microsoft Entra Id'den bir kimlik.
- IntDate - 1970-01-01T0:0:0Z UTC arasındaki saniye sayısını belirtilen UTC tarih/saat değerine kadar gösteren bir JSON ondalık değeri. Genel olarak tarih/saat ve özellikle UTC ile ilgili ayrıntılar için bkz. RFC3339.
Nesneler, tanımlayıcılar ve sürüm oluşturma
Key Vault'ta depolanan nesneler, bir nesnenin yeni bir örneği oluşturulduğunda sürümlenir. Her sürüme benzersiz bir nesne tanımlayıcısı atanır. Bir nesne ilk oluşturulduğunda, benzersiz bir sürüm tanımlayıcısı verilir ve nesnenin geçerli sürümü olarak işaretlenir. Aynı nesne adına sahip yeni bir örneğin oluşturulması, yeni nesneye benzersiz bir sürüm tanımlayıcısı verir ve bu da geçerli sürüm haline gelmesine neden olur.
Key Vault'taki nesneler bir sürüm belirtilerek veya nesnenin en son sürümünü almak için sürümü çıkarılarak alınabilir. Nesneler üzerinde işlem gerçekleştirmek için, nesnenin belirli bir sürümünü kullanmak için sürüm sağlanması gerekir.
Dekont
Azure kaynakları veya nesne kimlikleri için sağladığınız değerler, hizmeti çalıştırmak amacıyla genel olarak kopyalanabilir. Sağlanan değer, kişisel veya hassas bilgileri içermemelidir.