Přehled klíčů, tajných klíčů a certifikátů ve službě Azure Key Vault

Článek
01/30/2024

Azure Key Vault umožňuje aplikacím a uživatelům Microsoft Azure ukládat a používat několik typů tajných kódů a dat klíčů: klíče, tajné klíče a certifikáty. Klíče, tajné kódy a certifikáty se souhrnně označují jako "objekty".

Identifikátory objektů

Objekty jsou jednoznačně identifikovány ve službě Key Vault pomocí identifikátoru nerozlišujícího velká a malá písmena, který se nazývá identifikátor objektu. Žádné dva objekty v systému nemají stejný identifikátor bez ohledu na geografické umístění. Identifikátor se skládá z předpony, která identifikuje trezor klíčů, typ objektu, uživatelské jméno objektu a verzi objektu. Identifikátory, které nezahrnují verzi objektu, se označují jako "základní identifikátory". Identifikátory objektů služby Key Vault jsou také platné adresy URL, ale měly by se vždy porovnávat jako řetězce bez rozlišování malých a velkých písmen.

Další informace najdete v tématu Ověřování, požadavky a odpovědi.

Identifikátor objektu má následující obecný formát (v závislosti na typu kontejneru):

Trezory: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Pro spravované fondy HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Poznámka:

Viz Podpora typu objektu pro typy objektů podporovaných každým typem kontejneru.

Kde:

Element (Prvek)	Popis
`vault-name` nebo `hsm-name`	Název trezoru klíčů nebo spravovaného fondu HSM ve službě Microsoft Azure Key Vault. Názvy trezorů a názvy spravovaných fondů HSM jsou vybrány uživatelem a jsou globálně jedinečné. Název trezoru a název spravovaného fondu HSM musí být řetězec 3–24 znaků, který obsahuje pouze 0-9, a-z, A-Z a ne po sobě jdoucí -.
`object-type`	Typ objektu, klíče, tajné kódy nebo certifikáty.
`object-name`	Je `object-name` uživatelské jméno zadané a musí být jedinečné v rámci trezoru klíčů. Název musí být řetězec 1–127 znaků, počínaje písmenem a musí obsahovat pouze 0-9, a-z, A-Z a -.
`object-version`	Jedná `object-version` se o systémový 32znakový identifikátor řetězce, který se volitelně používá k adresování jedinečné verze objektu.

Přípony DNS pro identifikátory objektů

Poskytovatel prostředků azure Key Vault podporuje dva typy prostředků: trezory a spravované HSM. Tato tabulka ukazuje příponu DNS používanou koncovým bodem roviny dat pro trezory a spravované fondy HSM v různých cloudových prostředích.

Cloudové prostředí	Přípona DNS pro trezory	Přípona DNS pro spravované HSM
Azure Cloud	.vault.azure.net	.managedhsm.azure.net
Microsoft Azure provozovaný společností 21Vianet Cloud	.vault.azure.cn	Nepodporováno
Azure pro vládu USA	.vault.usgovcloudapi.net	Nepodporováno
Německý cloud Azure	.vault.microsoftazure.de	Nepodporováno

Typy objektů

Tato tabulka zobrazuje typy objektů a jejich přípony v identifikátoru objektu.

Object type	Přípona identifikátoru	Trezory	Spravované fondy HSM

Klíče chráněné pomocí HSM	/Klíče	Podporováno	Podporováno
Softwarově chráněné klíče	/Klíče	Podporováno	Nepodporováno

Tajné kódy	/Tajemství	Podporováno	Nepodporováno
Certifikáty	/Certifikáty	Podporováno	Nepodporováno
Klíče účtu úložiště	/Úložiště	Podporováno	Nepodporováno

Kryptografické klíče: Podporuje více typů klíčů a algoritmů a umožňuje používat klíče chráněné softwarem a klíče chráněné HSM. Další informace najdete v tématu O klíčích.
Tajné kódy: Poskytuje zabezpečené úložiště tajných kódů, jako jsou hesla a databáze připojovací řetězec. Další informace najdete v tématu O tajných kódech.
Certifikáty: Podporuje certifikáty, které jsou založené na klíčích a tajných klíčích a přidávají funkci automatizovaného obnovení. Mějte na paměti, že při vytvoření certifikátu se vytvoří také adresovatelný klíč a tajný klíč se stejným názvem. Další informace naleznete v tématu O certifikátech.
Klíče účtu Azure Storage: Můžete spravovat klíče účtu Azure Storage za vás. Key Vault může interně vypsat (synchronizovat) klíče s účtem služby Azure Storage a pravidelně ho znovu vygenerovat (otočit). Další informace najdete v tématu Správa klíčů účtu úložiště pomocí služby Key Vault.

Další obecné informace o službě Key Vault najdete v tématu o službě Azure Key Vault. Další informace o spravovaných fondech HSM najdete v tématu Co je spravovaný HSM služby Azure Key Vault?

Datové typy

Informace o příslušných datových typech pro klíče, šifrování a podepisování najdete ve specifikacích JOSE.

algoritmus – podporovaný algoritmus pro operaci klíče, například RSA1_5
ciphertext-value – šifrovaný text oktety zakódovaný pomocí base64URL
digest-value – výstup hashového algoritmu zakódovaného pomocí base64URL
key-type – jeden z podporovaných typů klíčů, například RSA (Rivest-Shamir-Adleman).
plaintext-value - plaintext octets, encoded using Base64URL
signature-value – výstup algoritmu podpisu zakódovaný pomocí base64URL
base64URL – binární hodnota s kódováním Base64URL [RFC4648]
logická hodnota – pravda nebo nepravda
Identita – identita z Microsoft Entra ID.
IntDate – desetinná hodnota JSON představující počet sekund od 1970-01-01T0:0:0Z UTC do zadaného data a času UTC. Podrobnosti o datu a čase najdete v RFC3339, zejména v obecném čase a v UTC.

Objekty, identifikátory a správa verzí

Objekty uložené ve službě Key Vault jsou verzí vždy, když se vytvoří nová instance objektu. Každá verze má přiřazen jedinečný identifikátor objektu. Při prvním vytvoření objektu se mu přidělí jedinečný identifikátor verze a označí se jako aktuální verze objektu. Vytvoření nové instance se stejným názvem objektu dává novému objektu jedinečný identifikátor verze, což způsobí, že se stane aktuální verzí.

Objekty ve službě Key Vault je možné načíst zadáním verze nebo vynecháním verze pro získání nejnovější verze objektu. Provádění operací s objekty vyžaduje poskytnutí verze pro použití konkrétní verze objektu.