Informace o tajných kódech služby Azure Key Vault
Key Vault poskytuje zabezpečené úložiště obecných tajných kódů, jako jsou hesla a databázové připojovací řetězce.
Z pohledu vývojáře rozhraní API Key Vault tajné hodnoty jako řetězce a vracejí je. Interně Key Vault tajné kódy ukládá a spravuje jako sekvence oktetů (8bitových bajtů), z nichž každá má maximální velikost 25 tis. Služba Key Vault neposkytuje sémantiku tajných kódů. Pouze přijímá data, šifruje je, ukládá a vrací identifikátor tajného kódu ("id"). Identifikátor lze použít k pozdějším načtení tajného kódu.
U vysoce citlivých dat by klienti měli zvážit další vrstvy ochrany dat. Příkladem může být šifrování dat pomocí samostatného ochranného klíče před uložením ve službě Key Vault.
Key Vault také podporuje pole contentType pro tajné kódy. Klienti mohou určit typ obsahu tajného klíče, který vám pomůže při interpretaci tajných dat při jejich načtení. Maximální délka tohoto pole je 255 znaků. Navrhované použití je jako nápověda pro interpretaci tajných dat. Implementace může například ukládat hesla i certifikáty jako tajné kódy a pak toto pole použít k rozlišení. Neexistují žádné předdefinované hodnoty.
Šifrování
Všechny tajné kódy v Key Vault se ukládají zašifrované. Key Vault tajné kódy šifruje pomocí hierarchie šifrovacích klíčů. Všechny klíče v této hierarchii jsou chráněné moduly, které jsou kompatibilní se standardem FIPS 140-2. Toto šifrování je transparentní a nevyžaduje od uživatele žádnou akci. Služba Azure Key Vault tajné kódy při jejich přidání šifruje a při čtení je automaticky dešifruje.
Šifrovací listový klíč hierarchie klíčů je pro každý trezor klíčů jedinečný. Šifrovací kořenový klíč hierarchie klíčů je jedinečný pro svět zabezpečení a jeho úroveň ochrany se v jednotlivých oblastech liší:
- Čína: Kořenový klíč je chráněný modulem, který je ověřený pro FIPS 140-2 Level 1.
- Jiné oblasti: Kořenový klíč je chráněný modulem, který je ověřený pro FIPS 140-2 Level 2 nebo vyšší.
Atributy tajného klíče
Kromě tajných dat mohou být zadány následující atributy:
- exp: IntDate, volitelné, výchozí hodnota je navždy. Atribut exp (čas vypršení platnosti) určuje čas vypršení platnosti, ve kterém by se tajné údaje NEMĚLY načíst, s výjimkou konkrétních situací. Toto pole slouží pouze k informačním účelům, protože informuje uživatele o službě trezoru klíčů o tom, že konkrétní tajný klíč není možné použít. Její hodnota MUSÍ být číslo obsahující hodnotu IntDate.
- nbf: IntDate, volitelné, výchozí hodnota je nyní. Atribut nbf (nikoli dříve) určuje čas, před kterým by se neměla načíst tajná data, s výjimkou konkrétních situací. Toto pole je jenom pro informační účely. Její hodnota MUSÍ být číslo obsahující hodnotu IntDate.
- enabled: logická hodnota, volitelné, výchozí hodnota je true. Tento atribut určuje, jestli je možné načíst tajná data. Atribut enabled se používá ve spojení s nbf a exp, když mezi nbf a exp dojde k operaci , povolí se jenom v případě, že je vlastnost enabled nastavená na true. Operace mimo okno nbf a exp jsou automaticky zakázané, s výjimkou určitých situací.
Existují další atributy jen pro čtení, které jsou zahrnuty v jakékoli odpovědi, která obsahuje atributy tajného klíče:
- vytvořeno: IntDate, volitelné. Vytvořený atribut určuje, kdy byla tato verze tajného klíče vytvořena. Tato hodnota má hodnotu null pro tajné kódy vytvořené před přidáním tohoto atributu. Její hodnota musí být číslo obsahující hodnotu IntDate.
- updated: IntDate, volitelné. Aktualizovaný atribut určuje, kdy byla tato verze tajného klíče aktualizována. Tato hodnota má hodnotu null pro tajné kódy, které byly naposledy aktualizovány před přidáním tohoto atributu. Její hodnota musí být číslo obsahující hodnotu IntDate.
Informace o běžných atributech pro jednotlivé typy objektů trezoru klíčů najdete v Azure Key Vault klíčů, tajných klíčů a certifikátů.
Operace řízené datem a časem
Operace get tajného kódu bude fungovat pro tajné kódy, které ještě nejsou platné a jejichž platnost vypršela, mimo okno nbf / exp. K testovacím účelům je možné použít volání operace get tajného klíče pro neplatnosti tajného klíče. Načtení (získání) tajného klíče, jehož platnost vypršela, se může použít pro operace obnovení.
Řízení přístupu k tajným klíčům
Access Control tajných kódů spravovaných v Key Vault se poskytuje na úrovni Key Vault, která tyto tajné kódy obsahuje. Zásady řízení přístupu pro tajné kódy se liší od zásad řízení přístupu pro klíče ve stejné Key Vault. Uživatelé mohou vytvořit jeden nebo více trezorů pro tajné kódy a jsou potřeba k udržování vhodného scénáře segmentace a správy tajných kódů.
Následující oprávnění je možné použít pro každý objekt zabezpečení v položce řízení přístupu k tajným kódům v trezoru a úzce zrcadlit operace povolené pro objekt tajného klíče:
Oprávnění pro operace správy tajných údajů
- get: Čtení tajného klíče
- list: Zobrazí seznam tajných kódů nebo verzí tajného klíče uloženého v Key Vault
- set: Vytvoření tajného klíče
- delete: Odstranění tajného klíče
- obnovení: Obnovení odstraněné tajného klíče
- backup: Zálohování tajného klíče v trezoru klíčů
- obnovení: Obnovení zálohované tajného klíče do trezoru klíčů
Oprávnění pro privilegované operace
- purge: Vyprázdnit (trvale odstranit) odstraněný tajný klíč
Další informace o práci s tajnými kódy najdete v tématu Operace s tajnými kódy v Key Vault REST API referenčních informacích. Informace o navazování oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace trezorů – Aktualizace zásad přístupu.
Návody pro řízení přístupu v Key Vault:
- Přiřazení zásady Key Vault přístupu pomocí rozhraní příkazového řádku
- Přiřazení zásady Key Vault přístupu pomocí PowerShellu
- Přiřazení zásady Key Vault přístupu pomocí Azure Portal
- Poskytnutí přístupu Key Vault klíčům, certifikátům a tajným klíčům pomocí řízení přístupu na základě role v Azure
Tajné značky
Další metadata specifická pro aplikaci můžete zadat ve formě značek. Key Vault podporuje až 15 značek, z nichž každá může mít název o 256 značek a hodnotu 256 znaků.
Poznámka
Značky jsou čitelné pro volajícího, pokud mají oprávnění k získání nebo seznamu.
Scénáře použití
| Kdy je použít | Příklady |
|---|---|
| Bezpečně ukládejte, spravujte životní cyklus a monitorujte přihlašovací údaje pro komunikaci mezi službou, jako jsou hesla, přístupové klíče, tajné kódy klienta objektu služby. | - Použití Azure Key Vault s virtuálním počítači - Použití Azure Key Vault s webovou aplikací Azure |
Další kroky
- Osvědčené postupy pro správu tajných kódů v Key Vault
- Informace o službě Key Vault
- Informace o klíčích, tajných kódech a certifikátech
- Přiřazení zásady Key Vault přístupu
- Poskytnutí přístupu Key Vault klíčům, certifikátům a tajným klíčům pomocí řízení přístupu na základě role v Azure
- Zabezpečení přístupu k trezoru klíčů
- Průvodce vývojáře pro službu Key Vault