你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于 Azure Key Vault

Azure Key Vault是 Azure 中几个关键管理解决方案之一,可帮助解决以下问题:

  • 机密管理 - Azure Key Vault 可以用来安全地存储令牌、密码、证书、API 密钥和其他机密,并对其访问进行严格控制
  • 密钥管理 - Azure Key Vault 可用作密钥管理解决方案。 可以通过 Azure Key Vault 轻松创建和控制用于加密数据的加密密钥。
  • 证书管理 - Azure Key Vault 可用来轻松预配、管理和部署公用和专用传输层安全性/安全套接字层 (TLS/SSL) 证书,以用于 Azure 以及内部连接资源。

Azure Key Vault 具有两个服务层级:标准层(使用软件密钥加密)和高级层(包含受硬件安全模块 [HSM] 保护的密钥)。 若要查看标准层和高级层之间的比较,请参阅 Azure Key Vault 定价页

注意

零信任是一种安全策略,由三个原则组成:“显式验证”、“使用最低特权访问”和“假定数据泄露”。 数据保护(包括密钥管理)支持“使用最低特权访问”原则。 有关详细信息,请参阅什么是零信任?

为何使用 Azure Key Vault?

集中管理应用程序机密

在 Azure Key Vault 中集中存储应用程序机密就可以控制其分发。 Key Vault 可以大大减少机密意外泄露的可能性。 当应用程序开发人员使用 Key Vault 时,他们将不再需要将安全信息存储在其应用程序中。 无需将安全信息存储在应用程序中,因此也无需将此信息作为代码的一部分。 例如,如果某个应用程序需要连接到数据库, 则可将连接字符串安全地存储在 Key Vault 中,而不是存储在应用代码中。

应用程序可以使用 URI 安全访问其所需的信息。 这些 URI 允许应用程序检索特定版本的机密。 无需编写自定义代码即可保护 Key Vault 中存储的任何机密信息。

安全地存储机密和密钥

访问密钥保管库需要适当的身份验证和授权,否则调用方(用户或应用程序)无法进行访问。 身份验证用于确定调用方的身份,而授权则决定了调用方能够执行的操作。

身份验证是通过 Microsoft Entra ID 执行的。 授权可以通过 Azure 基于角色的访问控制 (Azure RBAC) 或 Key Vault 访问策略来完成。 Azure RBAC 可用于管理保管库和访问存储在该保管库中的数据,而密钥保管库访问策略只能用于尝试访问存储在保管库中的数据。

Azure 密钥保管库使用存储在硬件安全模块 (HSM) 中的密钥进行静态加密。 Azure 使用行业标准算法、密钥长度和软件加密模块来保护密钥、机密和证书。 为了增加保证,您可以在永不离开 HSM 边界的 HSM(类型 RSA-HSM、EC-HSM 或 OCT-HSM)中生成或导入密钥。 Azure Key Vault 使用经过联邦信息处理标准 140 验证的软件加密模块和 HSM

最后,根据 Azure Key Vault 的设计,Microsoft 将无法看到或提取你的数据。

监视访问和使用情况

创建几个密钥保管库后,你需要监视密钥和机密被访问的方式和时间。 可以通过启用保管库的日志记录来监视活动。 可以将 Azure Key Vault 配置为执行以下操作:

  • 存档到存储帐户。
  • 流式传输到事件中心。
  • 将日志发送到 Azure Monitor 日志。

可以控制自己的日志,可以通过限制访问权限来确保日志的安全,还可以删除不再需要的日志。

简化应用程序机密的管理

存储有价值的数据时,必须执行多项步骤。 安全信息必须受到保护,必须遵循某个生命周期,并必须高度可用。 Azure Key Vault 可通过以下操作简化满足这些要求的过程:

  • 无需了解硬件安全模块的内部知识。
  • 收到通知后很快就可以进行纵向扩展,满足组织的使用高峰需求。
  • 在某个区域内复制 Key Vault 的内容,并将其复制到次要区域。 数据复制可确保高可用性,不需管理员操作即可触发故障转移。
  • 通过门户、Azure CLI 和 PowerShell 提供标准的 Azure 管理选项。
  • 针对从公共 CA 购买的证书自动执行某些任务,如注册和续订。

另外,还可以通过 Azure Key Vault 来隔离应用程序机密。 应用程序只能访问其有权访问的保管库,并且只能执行特定的操作。 可以为每个应用程序创建一个 Azure Key Vault,仅限特定的应用程序和开发人员团队访问存储在 Key Vault 中的机密。

与其他 Azure 服务集成

作为 Azure 中的安全存储,Key Vault 已用于简化如下方案:

Key Vault 本身可以与存储帐户、事件中心和 Log Analytics 集成。

后续步骤