多租使用者和 Azure 金鑰保存庫

Azure 金鑰保存庫 可用來管理解決方案的安全數據，包括秘密、加密密鑰和憑證。 在本文中，我們會說明 Azure 金鑰保存庫 的一些功能，這些功能對多租用戶解決方案很有用。 然後，我們會提供指引的連結，以協助您，當您規劃如何使用 金鑰保存庫 時。

隔離模型

使用 金鑰保存庫 處理多租用戶系統時，您必須決定您想要使用的隔離等級。 您使用的隔離模型選擇取決於下列因素：

• 您打算擁有多少租使用者？
• 您是否在多個租用戶之間共用應用層、部署單一租使用者應用程式實例，或為每個租使用者部署個別的部署戳記？
• 您的租使用者是否需要管理自己的加密密鑰？
• 您的租使用者是否有合規性需求，要求其秘密會與其他租使用者的秘密分開儲存？

下表摘要說明 金鑰保存庫 的主要租用模型之間的差異：

考量事項	提供者訂用帳戶中的每個租使用者保存庫	租用戶訂用帳戶中的每個租使用者保存庫	共用保存庫
資料隔離	高	非常高	低
效能隔離	一般。 高輸送量可能會受到限制，即使有許多保存庫	高	低
部署複雜度	低中，視租用戶數目而定	高。 租用戶必須正確授與提供者的存取權	低
作業複雜度	高	提供者低，租使用者較高	最低
範例案例	每個租用戶的個別應用程式實例	使用客戶自控的加密金鑰	具有共用應用層的大型多租用戶解決方案

提供者訂用帳戶中的每個租使用者保存庫

您可以考慮為 Azure 訂用帳戶內的每個租使用者部署保存庫。 此方法提供每個租用戶數據之間的強式數據隔離，但當您增加租用戶數目時，需要部署和管理越來越多的保存庫。

您可以部署到 Azure 訂用帳戶的保存庫數目沒有限制。 不過，您應該考慮下列限制：

• 一段時間內的要求數目有整個訂用帳戶的限制 。 無論訂用帳戶中的保存庫數目為何，這些限制都適用。 因此，即使您有租使用者特定的保存庫，也請務必遵循節 流指引。
• 您可以在訂用帳戶內建立的 Azure 角色指派數目有限制。 當您在訂用帳戶中部署和設定大量保存庫時，可能會接近這些限制。

租用戶訂用帳戶中的每個租使用者保存庫

在某些情況下，您的租使用者可能會在自己的 Azure 訂用帳戶中建立保存庫，而他們可能想要將存取權授與您的應用程式，以使用秘密、憑證或密鑰。 當您允許 客戶管理的密鑰 （CMK） 在您的解決方案內加密時，這個方法就很合適。

若要存取租使用者保存庫中的數據，租用戶必須提供應用程式對其保存庫的存取權。 此程式需要您的應用程式透過其 Microsoft Entra 實例進行驗證。 其中一種方法是發佈 多租使用者 Microsoft Entra 應用程式。 您的租用戶必須執行一次性同意程式。 他們會先在自己的 Microsoft Entra 租用戶中註冊多租使用者 Microsoft Entra 應用程式。 然後，他們會將您的多租使用者 Microsoft Entra 應用程式授與其保存庫的適當存取層級。 他們也需要提供您建立之保存庫的完整資源識別碼。 然後，您的應用程式程式代碼可以使用與您自己的 Microsoft Entra 識別碼中多租使用者 Microsoft Entra 應用程式相關聯的服務主體來存取每個租使用者的保存庫。

或者，您可以要求每個租使用者建立服務主體以供服務使用，並提供其認證。 不過，此方法會要求您安全地儲存和管理每個租用戶的認證，這是潛在的安全性責任。

如果您的租使用者在其保存庫上設定網路訪問控制，請確定您可以存取保存庫。

共用保存庫

您可以選擇在單一保存庫中共用租使用者的秘密。 保存庫會部署在您的 （解決方案提供者） Azure 訂用帳戶中，而您負責管理保存庫。 這種方法最簡單的方式，但它提供最少的數據隔離和效能隔離。

您也可以選擇部署多個共用保存庫。 例如，如果您遵循 部署戳記模式，您可能會在每個戳記內部署共用保存庫。 同樣地，如果您部署多區域解決方案，您應該基於下列原因將保存庫部署到每個區域：

• 若要避免在保存庫中處理數據時發生跨區域流量延遲。
• 支持數據落地需求。
• 若要在需要相同區域部署的其他服務內啟用區域保存庫的使用。

當您使用共用保存庫時，請務必考慮針對保存庫執行的作業數目。 作業包括讀取秘密，以及執行加密或解密作業。 金鑰保存庫 會對單一保存庫和 Azure 訂用帳戶內所有保存庫的要求數目施加限制。 請確定您遵循 節流指引。 請務必遵循建議的做法，包括安全地快取您擷取和使用信封加密的秘密，以避免將每個加密作業傳送至 金鑰保存庫。 當您遵循這些最佳做法時，您可以針對單一保存庫執行大規模的解決方案。

如果您需要儲存租使用者特定的秘密、金鑰或憑證，請考慮使用命名慣例，例如命名前置詞。 例如，您可以將租使用者識別碼前面加上每個秘密的名稱。 然後，您的應用程式程式代碼可以輕鬆地載入特定租使用者的特定秘密值。

支援多租使用者的 Azure 金鑰保存庫 功能

標籤

金鑰保存庫 支援使用自定義元數據標記秘密、憑證和密鑰，因此您可以使用標記來追蹤每個租使用者特定秘密的租使用者識別碼。 不過，金鑰保存庫 不支援依卷標進行查詢，因此這項功能最適合用於管理用途，而不是在應用程式邏輯中使用。

其他資訊：

• 秘密標籤
• 憑證標籤卷標
• 索引鍵標記

Azure 原則 支援

如果您決定部署大量的保存庫，請務必確保它們遵循一致的網路存取設定、記錄和訪問控制標準。 請考慮使用 Azure 原則 來確認保存庫已根據您的需求進行設定。

其他資訊：

• 整合 Azure Key Vault 與 Azure 原則
• Azure 原則 金鑰保存庫的內建定義

受控 HSM 和專用 HSM

如果您需要每秒執行大量作業，且 金鑰保存庫 作業限制不足，請考慮使用受控 HSM 或專用 HSM。 這兩種產品都為您提供保留容量，但通常比 金鑰保存庫 高。 此外，請注意您可以部署到每個區域之這些服務的實例數目限制。

其他資訊：

• 如何? 決定是否要使用 Azure 金鑰保存庫 或 Azure 專用 HSM？
• Azure 專用 HSM 是否適合您？

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者：

• John Downs |適用於 Azure 的主要客戶工程師 FastTrack

其他投稿人：

• Jack Lichwa |主要產品管理員、Azure 金鑰保存庫
• 阿森·弗拉基米爾斯基 | 適用於 Azure 的主要客戶工程師 FastTrack

若要查看非公用LinkedIn配置檔，請登入LinkedIn。

下一步

檢閱 多租使用者的部署和設定方法。