先決條件
- 訂閱包含 Azure Key Vault 服務的供應專案。
- PowerShell 已安裝並 設定為與 Azure Stack Hub搭配使用。
Key Vault 基本概念
Azure Stack Hub 中的 Key Vault 可協助保護雲端應用程式和服務所使用的密碼編譯密鑰和秘密。 藉由使用 Key Vault,您可以加密金鑰和秘密,例如:
- 驗證金鑰
- 儲存帳戶金鑰
- 數據加密金鑰
- .pfx 檔案
- 密碼
Key Vault 可簡化金鑰管理程式,並可讓您控制可存取和加密數據的密鑰。 開發人員可以在幾分鐘內建立開發和測試金鑰,然後順暢地將其遷移至生產密鑰。 安全性管理員可以視需要授與密鑰的許可權(和撤銷)。
任何具有 Azure Stack Hub 訂用帳戶的人都可以建立和使用密鑰保存庫。 雖然 Key Vault 可讓開發人員和安全性系統管理員受益,但管理組織其他 Azure Stack Hub 服務的作員可以實作和管理它。 例如,Azure Stack Hub作員可以使用 Azure Stack Hub 訂用帳戶登入,併為儲存密鑰的組織建立保存庫。 完成後,他們可以:
- 建立或匯入金鑰或秘密。
- 撤銷或刪除金鑰或秘密。
- 授權使用者或應用程式存取金鑰保存庫,以便他們接著管理或使用其密鑰和秘密。
- 設定金鑰使用方式(例如,簽署或加密)。
然後,操作員可以提供開發人員統一資源標識碼(URI),從其應用程式呼叫。
開發人員也可以使用 API 直接管理金鑰。 如需詳細資訊,請參閱 Key Vault 開發人員指南。
場景
下列案例說明 Key Vault 如何協助滿足開發人員和安全性系統管理員的需求。
Azure Stack Hub 應用程式的開發人員
問題: 我想為使用金鑰進行簽署和加密的 Azure Stack Hub 撰寫應用程式。 我希望這些金鑰來自我的應用程式外部,讓解決方案適用於地理位置分散的應用程式。
語句: 金鑰會儲存在保存庫中,並視需要由 URI 叫用。
軟體即服務開發人員 (SaaS)
問題: 我不希望承擔對客戶密鑰與機密的責任或潛在的法律責任。 我希望客戶擁有和管理他們的密鑰,以便我可以專注於盡我最大的努力,這是提供核心軟體功能。
語句: 客戶可以在 Azure Stack Hub 中匯入和管理自己的密鑰。
首席安全官(CSO)
問題: 我想確定我的組織控制密鑰生命週期,而且可以監視密鑰使用量。
聲明: Key Vault 的設計目的是讓 Microsoft 看不到或擷取密鑰。 當應用程式需要使用客戶金鑰來執行密碼編譯作業時,Key Vault 會代表應用程式使用密鑰。 應用程式看不到客戶金鑰。 雖然我們使用多個 Azure Stack Hub 服務和資源,但您可以從 Azure Stack Hub 中的單一位置管理密鑰。 不論您在 Azure Stack Hub 中有多少保存庫、支援哪些區域,以及哪些應用程式都使用這些保存庫,保存庫都會提供單一介面。
後續步驟
- 入口網站管理 Azure Stack Hub 中的 Key Vault
- 使用 PowerShell 管理 Azure Stack Hub 中的 Key Vault