使用 Azure Key Vault 保护密钥和机密的安全
- 5 分钟
你的组织正在将系统迁移到 Azure。 您需要了解 Azure 如何帮助保护这些系统的凭据。
在这里,你将了解如何使用 Azure Key Vault 来满足存储凭据和机密等信息的安全准则。
使用 Azure Key Vault 分隔代码和凭据
Azure Key Vault 服务可帮助你安全地存储机密和密钥。 需要保护的任何敏感信息都非常适合使用 Azure Key Vault。 敏感信息的范围可以是密码和密钥到连接字符串,例如数据库连接字符串。
证书也需要安全。 例如,用于 HTTPS/SSL 连接的 x509 证书,其中包括私钥和公钥。
使用 Azure Key Vault 时,机密对任何人都不可见。 即使Microsoft也无法查看它们。 Azure Key Vault 使用功能强大的算法和硬件安全模块来帮助保护密钥和机密的安全。 硬件安全模块旨在抵御篡改和其他形式的未经授权的使用。
组织可能会发现,由于版本控制错误,应用程序部分代码已泄漏或处于错误位置。 源代码可能会显示组织的凭据。 如果组织使用 Azure Key Vault 存储其机密,则应用程序代码将无凭据。 在 Key Vault 中,应用程序代码和凭据完全分开。 如果有人访问应用程序代码,则凭据是安全的,在应用程序中不可见。
该组织通过分离这些问题消除了一个严重问题。 如果凭据必须更改,则无需更新应用程序。 组织将更新密钥保管库中的凭据,并且所有应用程序都会自动指向它们。
借助 Azure Key Vault,还可以监视机密和密钥的使用方式和时间。 你可以监视保管库上的活动并启用日志记录。 所有这些日志记录数据都可以存档在 Azure 存储上、流式传输以供实时报告或馈送到 Azure Monitor 日志中。 这样,就可以从机密和密钥的使用情况中获取真正的见解。
许多 Azure 服务都支持 Azure Key Vault,包括数据库服务、存储服务和应用服务。
使用 Azure Key Vault 保护机密
可以使用适用于多种语言的 Azure CLI、PowerShell、Azure 资源管理器模板、Azure 门户和 SDK 与 Azure Key Vault 进行交互。
Azure CLI 中的以下示例演示如何创建密钥保管库来存储机密密码:
# Create a key vault
az keyvault create --name "Your-Vault" --resource-group "YourResourceGroup" --location westus
现在您可以将您的秘密添加到这个保管库:
# Add a secret
az keyvault secret set --vault-name "Your-Vault" --name "YourStoredPassword" --value "KlhOM901BkLx"
验证是否添加了密钥:
# Verify your secret
az keyvault secret show --name "YourStoredPassword" --vault-name "Your-Vault"
现在,你有一个密钥保管库,其中存储了一个机密。