分享方式:


關於 Azure Key Vault 受控儲存體帳戶金鑰 (舊版)

重要

建議使用 Azure 儲存體與 Microsoft Entra ID 整合,這是 Microsoft 的雲端式身分識別與存取管理服務。 Microsoft Entra 整合適用於 Azure Blob 和佇列,並提供對 Azure 儲存體的 OAuth2 權杖型存取 (如同 Azure Key Vault)。 Microsoft Entra ID 可讓您使用應用程式或使用者身分識別來驗證用戶端應用程式,而非使用儲存體帳戶認證。 在 Azure 上執行時,可以使用 Microsoft Entra 受控識別。 受控識別能移除用戶端驗證,以及使用應用程式儲存認證或將認證儲存於應用程式中的需求。 只有在無法進行 Microsoft Entra 驗證時,才使用下列解決方案。

Azure 儲存體帳戶會使用由帳戶名稱和金鑰組成的認證。 該金鑰是由系統自動產生,並作為密碼使用,比單純的密碼編譯金鑰具有更多功能。 Key Vault 會在儲存體帳戶中定期重新產生儲存體帳戶金鑰,並提供共用存取簽章權杖,以便委派存取您儲存體帳戶中的資源。

您可以使用 Key Vault 受控儲存體帳戶金鑰功能列出 (同步) 金鑰與 Azure 儲存體帳戶,以及定期重新產生 (輪替) 金鑰。 您可以管理儲存體帳戶和傳統儲存體帳戶的金鑰。

Azure 儲存體帳戶金鑰管理

Key Vault 可管理 Azure 儲存體帳戶金鑰:

  • 就內部而言,Key Vault 可以使用 Azure 儲存體帳戶列出 (同步) 金鑰。
  • Key Vault 會定期重新產生 (輪替) 金鑰。
  • 金鑰值不會在回應呼叫者時傳回。
  • Key Vault 管理儲存體帳戶和傳統儲存體帳戶的金鑰。

如需詳細資訊,請參閱

儲存體帳戶存取控制

授權使用者或應用程式主體在受控儲存體帳戶上執行作業時,即可使用下列權限:

  • 受控儲存體帳戶和 SaS 定義作業的權限

    • 取得:取得儲存體帳戶的相關資訊
    • 列出:列出由 Key Vault 管理的儲存體帳戶
    • 更新:更新儲存體帳戶
    • 刪除:刪除儲存體帳戶
    • 復原:復原已刪除的儲存體帳戶
    • 備份:備份儲存體帳戶
    • 還原:將備份的儲存體帳戶還原至 Key Vault
    • 設定:建立或更新儲存體帳戶
    • regeneratekey:為儲存體帳戶重新產生指定的金鑰值
    • getsas:取得與儲存體帳戶的 SAS 定義有關的資訊
    • listsas:列出儲存體帳戶的儲存體 SAS 定義
    • deletesas:從儲存體帳戶中刪除 SAS 定義
    • setsas:為儲存體帳戶建立或更新新的 SAS 定義/屬性
  • 特殊權限作業的權限

    • 清除:清除 (永久刪除) 受控儲存體帳戶

如需詳細資訊,請參閱 Key Vault REST API 參考中的儲存體帳戶作業。 如需建立權限的相關資訊,請參閱保存庫 - 建立或更新保存庫 - 更新存取原則

下一步