Azure Key Vault nedir?
Azure Key Vault bir gizli dizi deposudur: parolalar ve bağlantı dizesi gibi her zaman güvenli kalması gereken yapılandırma değerleri gibi uygulama gizli dizilerini depolamaya yönelik merkezi bir bulut hizmetidir. Key Vault, uygulamalarınızın gizli dizilerini tek bir merkezi konumda tutarak denetlemenize yardımcı olur. Güvenli erişim, izin denetimi ve erişim günlüğü sağlar.
Key Vault kullanmanın başlıca avantajları şunlardır:
- Hassas uygulama bilgilerinin diğer yapılandırma ve koddan ayrılması, yanlışlıkla sızıntı riskini azaltır
- Erişim ilkelerinin onlara ihtiyacı olan uygulamalara ve kişilere uyarlandığı kısıtlı gizli dizi erişimi
- Merkezi gizli dizi depolama, gerekli değişikliklerin yalnızca tek bir yerde yapılması gerektiği anlamına gelir
- Gizli dizilere nasıl ve ne zaman erişildiğini anlamanıza yardımcı olmak için erişim günlüğü ve izlemesi
Gizli diziler, Azure’ın gizli dizileri birlikte gruplandırmak için kullanılan kaynakları olan tek tek kasalarda depolanır. Gizli dizi erişimi ve kasa yönetimi REST API kullanılarak gerçekleştirilir. Birçok popüler dil için kullanılabilen tüm Azure yönetim araçları ve istemci kitaplıkları da bu API'yi destekler. Her kasa, kendi API’sinin barındırıldığı benzersiz bir URL’ye sahiptir.
Önemli
Key Vault, sunucu uygulamalarının yapılandırma gizli dizilerini depolamak için tasarlanmıştır. Uygulamanızın kullanıcılarına ait verileri depolamak için tasarlanmamıştır. Uygulamanın istemci tarafında kullanılmamalıdır. Bu davranış performans özelliklerine, API'ye ve maliyet modeline yansıtılır.
Kullanıcı verileri, Saydam Veri Şifrelemesine sahip Azure SQL veritabanı veya Depolama Hizmeti Şifrelemesine sahip bir depolama hesabı gibi başka bir yerde depolanmalıdır. Uygulamanızın bu veri depolarına erişmek için kullandığı gizli diziler Key Vault'ta tutulabilir.
Key Vault’ta gizli dizi nedir?
Key Vault’ta gizli dizi, dizilerden oluşan bir ad-değer çiftidir. Gizli dizi adları 1-127 karakter uzunluğunda olmalı, yalnızca alfasayısal karakter ve tire içermeli, bir kasanın içinde benzersiz olmalıdır. Gizli dizi değeri, 25 KB boyuta kadar herhangi bir UTF-8 dizesi olabilir.
Bahşiş
Gizli dizi adlarının özellikle gizli olduğu düşünülmemelidir. Kullanımınız gerektirdiği takdirde bunları uygulamanızın yapılandırmasında depolayabilirsiniz. Bu, kasaya adları ve URL’ler için de geçerlidir.
Dekont
Key Vault, dizelerin ötesinde iki ek gizli dizi türünü destekler: anahtarlar ve sertifikalar. Key Vault, kullanım örneklerine özgü kullanışlı işlevler sağlar. Bu modül söz konusu özellikleri kapsamaz, parolalar ve bağlantı dizeleri gibi gizli dizilere odaklanır.
Kasa kimlik doğrulaması ve izinler
Key Vault API'si, kullanıcıların ve uygulamaların kimliğini doğrulamak için Microsoft Entra Id kullanır. Kasa erişim ilkeleri eylemleri temel alır ve kasanın tamamına uygulanır. Örneğin, bir kasada (gizli dizi değerlerini okuma), List (tüm gizli dizilerin adlarını listeleme) ve Set (gizli dizi değerlerini oluşturma veya güncelleştirme) izinlerine sahip Get bir uygulama gizli diziler oluşturabilir, tüm gizli dizi adlarını listeleyebilir ve bu kasadaki tüm gizli dizi değerlerini alabilir ve ayarlayabilir.
Kasada gerçekleştirilen tüm eylemler için kimlik doğrulaması ve yetkilendirme gerekir. Anonim erişim vermenin hiçbir yolu yok.
Bahşiş
Geliştiricilere ve uygulamalara kasa erişimi verdiğinizde, yalnızca gereken en düşük izin kümesini verin. İzin kısıtlamaları, kod hatalarından kaynaklanan kazaları önlemeye ve çalınmış kimlik bilgilerinin veya uygulamanıza eklenen kötü amaçlı kodun etkisini azaltmaya yardımcı olur.
Geliştiriciler genellikle yalnızca geliştirme ortamı kasasına ve List izinlerine ihtiyaç duyarGet. Bazı mühendislerin gerektiğinde gizli dizileri değiştirmek ve eklemek için tam izinlere sahip olması gerekir.
Uygulamalar için genellikle yalnızca Get izinler gereklidir. Bazı uygulamalar, uygulamanın uygulanma şekline bağlı olarak gerekli List olabilir. Bu modülün alıştırmasında yer alan uygulama, kasadan gizli dizileri okumak için kullandığı teknik nedeniyle izin gerektirir List .