你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Key Vault 的新增功能

项目
01/30/2024

下面是 Azure Key Vault 的新增功能。新增功能和改进也在 Azure 更新 Key Vault 频道上进行了公布。

2023 年 7 月

用于在 Azure Key Vault 中管理密钥轮换配置的内置策略。使用此策略，可以审核密钥保管库中的现有密钥，以确保所有密钥都配置进行轮换并符合组织的标准。

2023 年 6 月

Key Vault 强制实施 TLS 1.2 或更高版本以增强安全性。如果仍在使用较旧的 TLS 版本，请参阅在环境中启用对 TLS 1.2 的支持，以更新客户端并确保不间断地访问 Key Vault 服务。可以通过使用此处的示例 Kusto 查询监视 Key Vault 日志来监视客户端使用的 TLS 版本。

2023 年 5 月

Azure RBAC 现在是 Azure Key Vault 数据平面的推荐授权系统。 Azure RBAC 是在 Azure 资源管理器基础上构建的，针对 Azure 资源提供精细的访问权限管理。使用 Azure RBAC，你可以通过创建角色分配来控制对资源的访问，这些角色分配由三个元素组成：安全主体、角色定义（预定义的权限集）和范围（资源组或单个资源）。

有关详细信息，请访问 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略 | Microsoft Learn

2023 年 2 月

用于管理向 Azure 基于角色的访问控制 (RBAC) 进行迁移的内置策略现以预览版提供。通过内置策略，可以审核现有密钥保管库，并强制所有新密钥保管库使用 Azure RBAC 权限模型。请参阅 RBAC 迁移治理，了解如何强制实施新的内置策略。

2022 年 4 月

密钥保管库中的自动加密密钥轮换现已推出。

有关详细信息，请参阅在密钥保管库中配置密钥自动轮换

2022 年 1 月

Azure Key Vault 服务吞吐量限制已提高，为每个保管库提供的配额增加一倍，这有助于确保应用程序的高性能。也就是说，对于机密 GET 和 RSA 2,048 位软件密钥，你每 10 秒会收到 4,000 个 GET 事务，而之前是每 10 秒会收到 2,000 个 GET 事务。服务配额特定于操作类型，你可以在 Azure Key Vault 服务限制中访问整个列表。

有关 Azure 更新公告，请参阅[正式发布：Azure Key Vault 已提高所有客户的服务限制] (https://azure.microsoft.com/updates/azurekeyvaultincreasedservicelimits/)

2021 年 12 月

密钥保管库中的自动加密密钥轮换现已推出预览版。可以针对密钥设置轮换策略以计划自动轮换，并通过事件网格集成配置过期通知。

有关详细信息，请参阅在密钥保管库中配置密钥自动轮换

2021 年 10 月

Azure 密钥保管库与 Azure Policy 的集成现已推出正式版，随时可用于生产。此功能是我们为了履行在 Azure 中简化安全机密管理，同时增强可对密钥保管库、密钥、机密和证书定义的策略实施方案所做的承诺而迈出的一步。 Azure Policy 允许你对密钥保管库及其对象实施保护，确保它们符合组织的安全建议和法规管制要求。它允许对 Azure 环境中的现有机密执行基于策略的实时强制实施措施和按需合规性评估。策略执行的审核的结果将显示在合规性仪表板中，可在其中深入查看合规和不合规的资源与组件。适用于密钥保管库的 Azure Policy 将提供一整套内置策略用于治理密钥、机密和证书。

可以详细了解如何将 Azure 密钥保管库与 Azure Policy 集成并分配新策略。单击此链接可查看公告。

2021 年 6 月

Azure 密钥保管库托管 HSM 已推出正式版。托管 HSM 提供完全托管、高度可用、高吞吐量、符合标准的单租户云服务，可以使用 FIPS 140-2 级别 3 验证的 HSM 来保护云应用程序的加密密钥。

有关详细信息，请参阅 Azure 密钥保管库托管 HSM 概述

2021 年 2 月

用于 Azure 密钥保管库数据平面授权的 Azure 基于角色的访问控制 (RBAC) 现已推出正式版。现在，借助此功能，可以管理从管理组中可用角色分配范围到单个密钥、证书和机密范围的密钥保管库密钥、证书和机密的 RBAC。

有关详细信息，请参阅使用 Azure 基于角色的访问控制提供对密钥保管库密钥、证书和机密的访问权限

2020 年 10 月

警告

这些更新可能影响 Azure Key Vault 实现。

为了支持现在默认情况下启用软删除，已对 Azure Key Vault PowerShell cmdlet 进行了两次更改：

已将 Update-AzKeyVault 的 DisableSoftDelete 和 EnableSoftDelete parameters 参数弃用。
Get-AzKeyVaultSecret cmdlet 的输出不再具有 SecretValueText 属性。

2020 年 7 月

警告

这两个更新可能影响 Azure Key Vault 实现。

Key Vault 软删除在默认情况下开启

需要为所有密钥保管库（新的和预先存在的）启用软删除。在接下来的几个月里，即将弃用选择退出软删除的功能。若要了解此可能的中断性变更的完整详细信息，以及查找受影响的 Key Vault 并预先更新它们的步骤，请参阅对所有 Key Vault 启用软删除。

Azure TLS 证书更改

Microsoft 在将 Azure 服务更新为使用来自一组不同的根证书颁发机构 (CA) 的 TLS 证书。此更改正在进行中，因为当前 CA 证书不符合某个 CA/浏览器论坛基线要求。有关完整详细信息，请参阅 Azure TLS 证书更改。

2020 年 6 月

Azure Monitor for Key Vault 现在为预览版。 Azure Monitor 提供 Key Vault 请求、性能、失败和延迟的统一视图，在其中可以全面监视密钥保管库。有关详细信息，请参阅 Azure Monitor for Key Vault（预览版）。

2020 年 5 月

Key Vault“创建自己的密钥”(BYOK) 现已正式发布。请参阅 Azure Key Vault BYOK 规范，并了解如何将 HSM 保护的密钥导入 Key Vault (BYOK)。

2020 年 3 月

专用终结点现在提供预览版。使用 Azure 专用链接服务，可以通过虚拟网络中的专用终结点访问 Azure Key Vault 和 Azure 托管的客户服务/合作伙伴服务。了解如何将 Key Vault 与 Azure 专用链接集成。

2019

发布下一代 Azure Key Vault SDK。有关其用法的示例，请参阅适用于 Python、.NET、Java 和 Node.js 的 Azure Key Vault 机密快速入门
用于管理 Key Vault 证书的新 Azure 策略。请参阅 Key Vault 的 Azure Policy 内置定义。
Azure Key Vault 虚拟机扩展现已正式发布。请参阅适用于 Linux 的 Key Vault 虚拟机扩展和适用于 Windows 的 Key Vault 虚拟机扩展。
Azure 事件网格中现在提供适用于 Azure Key Vault 的事件驱动机密管理。有关详细信息，请参阅 Azure Key Vault 中用于事件的事件网格架构，并了解如何通过 Azure 事件网格接收和响应 Key Vault 通知。

2018

本年度发布的新功能和集成：

与 Azure Functions 集成。有关利用 Azure Functions 进行 Key Vault 操作的示例方案，请参阅自动轮换机密。
与 Azure Databricks 集成。借助此功能，Azure Databricks 现在支持两种类型的机密范围：Azure Key Vault 支持和 Databricks 支持。有关详细信息，请参阅创建 Azure Key Vault 支持的机密范围
Azure Key Vault 的虚拟网络服务终结点。

2016

本年度发布的新功能：

托管存储帐户密钥。新增了存储帐户密钥功能，可更轻松地与 Azure 存储集成。有关详细信息，请参阅托管存储帐户密钥概述。
软删除。软删除功能增强了 Key Vault 和 Key Vault 对象的数据保护。有关详细信息，请参阅软删除概述。

2015