Azure Key Vault – SicherheitAzure Key Vault security

Der Azure-Schlüsseltresor schützt Verschlüsselungsschlüssel und Geheimnisse (wie Zertifikate, Verbindungszeichenfolgen und Passwörter) in der Cloud.Azure Key Vault protects encryption keys and secrets (such as certificates, connection strings, and passwords) in the cloud. Bei der Speicherung sensibler und geschäftskritischer Daten müssen Sie jedoch Maßnahmen ergreifen, um die Sicherheit Ihrer Tresore und der darin gespeicherten Daten zu maximieren.When storing sensitive and business critical data, however, you must take steps to maximize the security of your vaults and the data stored in them.

Dieser Artikel bietet eine Übersicht über Sicherheitsfeatures und Best Practices für Azure Key Vault.This article provides an overview of security features and best practices for Azure Key Vault.

Hinweis

Eine umfassende Liste mit Sicherheitsempfehlungen für Azure Key Vault finden Sie in der Sicherheitsbaseline für Azure Key Vault.For a comprehensive list of Azure Key Vault security recommendations see the Security baseline for Azure Key Vault.

NetzwerksicherheitNetwork security

Sie können die Angriffsfläche Ihrer Tresore reduzieren, indem Sie angeben, welche IP-Adressen Zugriff darauf haben.You can reduce the exposure of your vaults by specifying which IP addresses have access to them. Die VNET-Dienstendpunkte für Azure Key Vault ermöglichen Ihnen, den Zugriff auf angegebene virtuelle Netzwerke zu beschränken.The virtual network service endpoints for Azure Key Vault allow you to restrict access to a specified virtual network. Die Endpunkte ermöglichen Ihnen außerdem, den Zugriff auf eine Liste von IPv4-Adressbereichen (Internet Protocol, Version 4) zu beschränken.The endpoints also allow you to restrict access to a list of IPv4 (internet protocol version 4) address ranges. Allen Benutzern, die außerhalb dieser Quellen eine Verbindung mit Ihrem Schlüsseltresor herstellen, wird der Zugriff verweigert.Any user connecting to your key vault from outside those sources is denied access. Vollständige Informationen dazu finden Sie unter VNET-Dienstendpunkte für Azure Key Vault.For full details, see Virtual network service endpoints for Azure Key Vault

Wenn Firewallregeln in Kraft sind, können Benutzer nur Daten aus Key Vault lesen, wenn ihre Anforderungen aus zulässigen virtuellen Netzwerken oder IPv4-Adressbereichen stammen.After firewall rules are in effect, users can only read data from Key Vault when their requests originate from allowed virtual networks or IPv4 address ranges. Dies gilt auch für den Zugriff auf den Schlüsseltresor aus dem Azure-Portal.This also applies to accessing Key Vault from the Azure portal. Obwohl Benutzer im Azure-Portal zu einem Schlüsseltresor navigieren können, können sie möglicherweise keine Schlüssel, Geheimnisse oder Zertifikate auflisten, wenn ihr Clientcomputer nicht in der Zulassungsliste enthalten ist.Although users can browse to a key vault from the Azure portal, they might not be able to list keys, secrets, or certificates if their client machine is not in the allowed list. Die Implementierungsschritte finden Sie unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken.For implementation steps, see Configure Azure Key Vault firewalls and virtual networks

Mit dem Azure Private Link-Dienst können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure Key Vault sowie auf in Azure gehostete Kunden-/Partnerdienste zugreifen.Azure Private Link Service enables you to access Azure Key Vault and Azure hosted customer/partner services over a Private Endpoint in your virtual network. Ein privater Endpunkt in Azure ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet.An Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem VNET und bindet den Dienst dadurch in Ihr VNET ein.The private endpoint uses a private IP address from your VNet, effectively bringing the service into your VNet. Der gesamte für den Dienst bestimmte Datenverkehr kann über den privaten Endpunkt geleitet werden. Es sind also keine Gateways, NAT-Geräte, ExpressRoute-/VPN-Verbindungen oder öffentlichen IP-Adressen erforderlich.All traffic to the service can be routed through the private endpoint, so no gateways, NAT devices, ExpressRoute or VPN connections, or public IP addresses are needed. Der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst wird über das Microsoft-Backbone-Netzwerk übertragen und dadurch vom öffentlichen Internet isoliert.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Sie können eine Verbindung mit einer Instanz einer Azure-Ressource herstellen, was ein Höchstmaß an Granularität bei der Zugriffssteuerung ermöglicht.You can connect to an instance of an Azure resource, giving you the highest level of granularity in access control. Die Implementierungsschritte finden Sie unter Integrieren von Key Vault in Azure Private Link.For implementation steps, see Integrate Key Vault with Azure Private Link

TLS und HTTPSTLS and HTTPS

  • Beim Key Vault-Front-End (Datenebene) handelt es sich um einen mehrinstanzenfähigen Server.The Key Vault front end (data plane) is a multi-tenant server. Dies bedeutet, dass die Schlüsseltresore verschiedener Kunden dieselbe öffentliche IP-Adresse gemeinsam nutzen können.This means that key vaults from different customers can share the same public IP address. Für die Gewährleistung von Isolation wird jede HTTP-Anforderung unabhängig von anderen Anforderungen authentifiziert und autorisiert.In order to achieve isolation, each HTTP request is authenticated and authorized independently of other requests.
  • Sie können ältere TLS-Versionen zwar ermitteln, um Sicherheitsrisiken zu melden, da die öffentliche IP-Adresse jedoch von mehreren Kunden gemeinsam genutzt wird, ist es dem Key Vault-Team nicht möglich, ältere TLS-Versionen für einzelne Schlüsseltresore auf Transportebene zu deaktivieren.You may identify older versions of TLS to report vulnerabilities but because the public IP address is shared, it is not possible for key vault service team to disable old versions of TLS for individual key vaults at transport level.
  • Das HTTPS-Protokoll ermöglicht es dem Client, an der TLS-Aushandlung teilzunehmen.The HTTPS protocol allows the client to participate in TLS negotiation. Clients können die neueste TLS-Version erzwingen. Wenn dies der Fall ist, wird für die gesamte Verbindung der entsprechende Ebenenschutz verwendet.Clients can enforce the most recent version of TLS, and whenever a client does so, the entire connection will use the corresponding level protection. Dass Key Vault weiterhin ältere TLS-Versionen unterstützt, stellt keine Beeinträchtigung für die Sicherheit von Verbindungen dar, die neuere TLS-Versionen verwenden.The fact that Key Vault still supports older TLS versions won’t impair the security of connections using newer TLS versions.
  • Trotz bekannter Sicherheitsrisiken im TLS-Protokoll gibt es keinen bekannten Angriff, bei dem ein böswilliger Agent Informationen aus Ihrem Schlüsseltresor extrahieren kann, wenn ein Angreifer eine Verbindung mit einer TLS-Version initiiert, die Sicherheitsrisiken aufweist.Despite known vulnerabilities in TLS protocol, there is no known attack that would allow a malicious agent to extract any information from your key vault when the attacker initiates a connection with a TLS version that has vulnerabilities. Der Angreifer muss sich trotzdem authentifizieren und autorisiert werden, und solange berechtigte Clients Verbindungen immer mit den aktuellen TLS-Versionen herstellen, ist es nicht möglich, dass Anmeldeinformationen aufgrund von Sicherheitsrisiken in älteren TLS-Versionen kompromittiert werden.The attacker would still need to authenticate and authorize itself, and as long as legitimate clients always connect with recent TLS versions, there is no way that credentials could have been leaked from vulnerabilities at old TLS versions.

IdentitätsverwaltungIdentity management

Wenn Sie in einem Azure-Abonnement einen Schlüsseltresor erstellen, wird dieser automatisch mit dem Azure AD-Mandanten des Abonnements verknüpft.When you create a key vault in an Azure subscription, it's automatically associated with the Azure AD tenant of the subscription. Jeder Versuch, Inhalte in einem Tresor zu verwalten oder abzurufen, muss von Azure AD authentifiziert werden.Anyone trying to manage or retrieve content from a vault must be authenticated by Azure AD. In beiden Fällen können Anwendungen auf drei Arten auf den Schlüsseltresor zugreifen:In both cases, applications can access Key Vault in three ways:

  • Nur Anwendungszugriff: Die Anwendung stellt einen Dienstprinzipal oder eine verwaltete Identität dar.Application-only: The application represents a service principal or managed identity. Diese Identität ist das häufigste Szenario für Anwendungen, die in regelmäßigen Abständen auf Zertifikate, Schlüssel oder Geheimnisse aus dem Schlüsseltresor zugreifen müssen.This identity is the most common scenario for applications that periodically need to access certificates, keys, or secrets from the key vault. Damit dieses Szenario funktioniert, muss die objectId der Anwendung in der Zugriffsrichtlinie angegeben werden, und die applicationId darf nicht angegeben werden oder muss null sein.For this scenario to work, the objectId of the application must be specified in the access policy and the applicationId must not be specified or must be null.
  • Nur Benutzerzugriff: Der Benutzer greift auf den Schlüsseltresor aus allen Anwendungen zu, die im Mandanten registriert sind.User-only: The user accesses the key vault from any application registered in the tenant. Beispiele für diese Art von Zugriff wären etwa Azure PowerShell und das Azure-Portal.Examples of this type of access include Azure PowerShell and the Azure portal. Damit dieses Szenario funktioniert, muss die objectId des Benutzers in der Zugriffsrichtlinie angegeben werden, und die applicationId darf nicht angegeben werden oder muss null sein.For this scenario to work, the objectId of the user must be specified in the access policy and the applicationId must not be specified or must be null.
  • Anwendungs- und Benutzerzuriff (manchmal als Verbundidentität bezeichnet): Der Benutzer muss aus einer bestimmten Anwendung auf den Schlüsseltresor zugreifen, und die Anwendung muss den On-Behalf-Of-Authentifizierungsdatenfluss verwenden, um die Identität des Benutzers anzunehmen.Application-plus-user (sometimes referred as compound identity): The user is required to access the key vault from a specific application and the application must use the on-behalf-of authentication (OBO) flow to impersonate the user. Damit dieses Szenario funktioniert, müssen sowohl applicationId als auch objectId in der Zugriffsrichtlinie angegeben werden.For this scenario to work, both applicationId and objectId must be specified in the access policy. applicationId identifiziert die erforderliche Anwendung, und objectId identifiziert den Benutzer.The applicationId identifies the required application and the objectId identifies the user. Diese Option ist derzeit nicht verfügbar für die Azure RBAC-Datenebene.Currently, this option isn't available for data plane Azure RBAC.

Bei allen Arten des Zugriffs wird die Anwendung in Azure AD authentifiziert.In all types of access, the application authenticates with Azure AD. Die Anwendung verwendet eine beliebige unterstützte Authentifizierungsmethode, die auf dem Anwendungstyp basiert.The application uses any supported authentication method based on the application type. Die Anwendung erwirbt ein Token für eine Ressource in der Ebene, um den Zugriff zu gewähren.The application acquires a token for a resource in the plane to grant access. Die Ressource ist ein Endpunkt in der Verwaltungs- oder Datenebene, basierend auf der Azure-Umgebung.The resource is an endpoint in the management or data plane, based on the Azure environment. Anschließend sendet die Anwendung unter Verwendung des Tokens eine REST-API-Anforderung an einen Schlüsseltresor.The application uses the token and sends a REST API request to Key Vault. Weitere Informationen finden Sie in der Gesamtdarstellung des Authentifizierungsablaufs.To learn more, review the whole authentication flow.

Vollständige Informationen finden Sie unter Grundlagen der Key Vault-Authentifizierung.For full details, see Key Vault Authentication Fundamentals

Key Vault-AuthentifizierungsoptionenKey Vault authentication options

Wenn Sie in einem Azure-Abonnement einen Schlüsseltresor erstellen, wird dieser automatisch mit dem Azure AD-Mandanten des Abonnements verknüpft.When you create a key vault in an Azure subscription, it's automatically associated with the Azure AD tenant of the subscription. Alle Aufrufer in beiden Ebenen müssen bei diesem Mandanten registriert sein und sich authentifizieren, um auf den Schlüsseltresor zugreifen zu können.All callers in both planes must register in this tenant and authenticate to access the key vault. In beiden Fällen können Anwendungen auf drei Arten auf den Schlüsseltresor zugreifen:In both cases, applications can access Key Vault in three ways:

  • Nur Anwendungszugriff: Die Anwendung stellt einen Dienstprinzipal oder eine verwaltete Identität dar.Application-only: The application represents a service principal or managed identity. Diese Identität ist das häufigste Szenario für Anwendungen, die in regelmäßigen Abständen auf Zertifikate, Schlüssel oder Geheimnisse aus dem Schlüsseltresor zugreifen müssen.This identity is the most common scenario for applications that periodically need to access certificates, keys, or secrets from the key vault. Damit dieses Szenario funktioniert, muss die objectId der Anwendung in der Zugriffsrichtlinie angegeben werden, und die applicationId darf nicht angegeben werden oder muss null sein.For this scenario to work, the objectId of the application must be specified in the access policy and the applicationId must not be specified or must be null.
  • Nur Benutzerzugriff: Der Benutzer greift auf den Schlüsseltresor aus allen Anwendungen zu, die im Mandanten registriert sind.User-only: The user accesses the key vault from any application registered in the tenant. Beispiele für diese Art von Zugriff wären etwa Azure PowerShell und das Azure-Portal.Examples of this type of access include Azure PowerShell and the Azure portal. Damit dieses Szenario funktioniert, muss die objectId des Benutzers in der Zugriffsrichtlinie angegeben werden, und die applicationId darf nicht angegeben werden oder muss null sein.For this scenario to work, the objectId of the user must be specified in the access policy and the applicationId must not be specified or must be null.
  • Anwendungs- und Benutzerzuriff (manchmal als Verbundidentität bezeichnet): Der Benutzer muss aus einer bestimmten Anwendung auf den Schlüsseltresor zugreifen, und die Anwendung muss den On-Behalf-Of-Authentifizierungsdatenfluss verwenden, um die Identität des Benutzers anzunehmen.Application-plus-user (sometimes referred as compound identity): The user is required to access the key vault from a specific application and the application must use the on-behalf-of authentication (OBO) flow to impersonate the user. Damit dieses Szenario funktioniert, müssen sowohl applicationId als auch objectId in der Zugriffsrichtlinie angegeben werden.For this scenario to work, both applicationId and objectId must be specified in the access policy. applicationId identifiziert die erforderliche Anwendung, und objectId identifiziert den Benutzer.The applicationId identifies the required application and the objectId identifies the user. Diese Option ist derzeit nicht verfügbar für die Azure RBAC-Datenebene (Vorschau).Currently, this option isn't available for data plane Azure RBAC (preview).

Bei allen Arten des Zugriffs wird die Anwendung in Azure AD authentifiziert.In all types of access, the application authenticates with Azure AD. Die Anwendung verwendet eine beliebige unterstützte Authentifizierungsmethode, die auf dem Anwendungstyp basiert.The application uses any supported authentication method based on the application type. Die Anwendung erwirbt ein Token für eine Ressource in der Ebene, um den Zugriff zu gewähren.The application acquires a token for a resource in the plane to grant access. Die Ressource ist ein Endpunkt in der Verwaltungs- oder Datenebene, basierend auf der Azure-Umgebung.The resource is an endpoint in the management or data plane, based on the Azure environment. Anschließend sendet die Anwendung unter Verwendung des Tokens eine REST-API-Anforderung an einen Schlüsseltresor.The application uses the token and sends a REST API request to Key Vault. Weitere Informationen finden Sie in der Gesamtdarstellung des Authentifizierungsablaufs.To learn more, review the whole authentication flow.

Das Modell eines einzelnen Mechanismus für die Authentifizierung für beide Ebenen hat mehrere Vorteile:The model of a single mechanism for authentication to both planes has several benefits:

  • Organisationen können den Zugriff auf alle Schlüsseltresore zentral steuern.Organizations can control access centrally to all key vaults in their organization.
  • Wenn ein Benutzer aus der Organisation ausscheidet, verliert er umgehend den Zugriff auf sämtliche Schlüsseltresore in der Organisation.If a user leaves, they instantly lose access to all key vaults in the organization.
  • Organisationen können die Authentifizierung über die Optionen in Azure AD anpassen und so beispielsweise die mehrstufige Authentifizierung aktivieren, um die Sicherheit zu verbessern.Organizations can customize authentication by using the options in Azure AD, such as to enable multi-factor authentication for added security.

Übersicht über das ZugriffsmodellAccess model overview

Der Zugriff auf einen Schlüsseltresor wird über zwei Schnittstellen gesteuert: die Verwaltungsebene und die Datenebene.Access to a key vault is controlled through two interfaces: the management plane and the data plane. Die Verwaltungsebene dient zum Verwalten des Schlüsseltresors selbst.The management plane is where you manage Key Vault itself. Zu den Vorgängen in dieser Ebene gehören das Erstellen und Löschen von Schlüsseltresoren, das Abrufen von Schlüsseltresor-Eigenschaften und das Aktualisieren von Zugriffsrichtlinien.Operations in this plane include creating and deleting key vaults, retrieving Key Vault properties, and updating access policies. Auf der Datenebene arbeiten Sie mit den in einem Schlüsseltresor gespeicherten Daten.The data plane is where you work with the data stored in a key vault. Sie können Schlüssel, Geheimnisse und Zertifikate hinzufügen, löschen und ändern.You can add, delete, and modify keys, secrets, and certificates.

Für die Authentifizierung verwenden beide Ebenen Azure Active Directory (Azure AD).Both planes use Azure Active Directory (Azure AD) for authentication. Für die Autorisierung wird auf der Verwaltungsebene die rollenbasierte Zugriffssteuerung in Azure (Role-Based Access Control, Azure RBAC) verwendet, während auf der Datenebene eine Key Vault-Zugriffsrichtlinie und Azure RBAC für Key Vault-Vorgänge auf Datenebene zum Einsatz kommen.For authorization, the management plane uses Azure role-based access control (Azure RBAC) and the data plane uses a Key Vault access policy and Azure RBAC for Key Vault data plane operations.

Um auf einen Schlüsseltresor in beiden Ebenen zugreifen zu können, müssen alle Anrufe (Benutzer oder Anwendungen) über eine ordnungsgemäße Authentifizierung und Autorisierung verfügen.To access a key vault in either plane, all callers (users or applications) must have proper authentication and authorization. Die Authentifizierung stellt die Identität des Anrufers fest.Authentication establishes the identity of the caller. Die Autorisierung bestimmt, welche Vorgänge der Aufrufer ausführen darf.Authorization determines which operations the caller can execute. Die Authentifizierung mit Key Vault funktioniert in Verbindung mit Azure Active Directory (Azure AD), was für die Authentifizierung der Identität eines bestimmten Sicherheitsprinzipals zuständig ist.Authentication with Key Vault works in conjunction with Azure Active Directory (Azure AD), which is responsible for authenticating the identity of any given security principal.

Ein Sicherheitsprinzipal ist ein Objekt, das Benutzer, Gruppen, Dienste oder Anwendungen darstellt, die Zugriff auf Azure-Ressourcen anfordern.A security principal is an object that represents a user, group, service, or application that's requesting access to Azure resources. Azure weist jedem Sicherheitsprinzipal eine eindeutige Objekt-ID zu.Azure assigns a unique object ID to every security principal.

  • Ein Benutzer als Sicherheitsprinzipal identifiziert eine Person, die über ein Profil in Azure Active Directory verfügt.A user security principal identifies an individual who has a profile in Azure Active Directory.
  • Eine Gruppe als Sicherheitsprinzipal identifiziert eine Gruppe von Benutzern, die in Azure Active Directory erstellt wurden.A group security principal identifies a set of users created in Azure Active Directory. Alle Rollen oder Berechtigungen, die der Gruppe zugewiesen werden, werden allen Benutzern in der Gruppe erteilt.Any roles or permissions assigned to the group are granted to all of the users within the group.
  • Ein Dienstprinzipal ist ein Typ von Sicherheitsprinzipal, der für eine Anwendung oder einen Dienst steht und sozusagen ein Codeausschnitt anstelle eines Benutzers oder einer Gruppe ist.A service principal is a type of security principal that identifies an application or service, which is to say, a piece of code rather than a user or group. Die Objekt-ID eines Dienstprinzipals wird als dessen Client-ID bezeichnet und verhält sich wie der Benutzername.A service principal's object ID is known as its client ID and acts like its username. Der geheime Clientschlüssel oder das Zertifikat des Dienstprinzipals verhält sich wie sein Kennwort.The service principal's client secret or certificate acts like its password. Viele Azure-Dienste unterstützen das Zuweisen von Verwaltete Identität mit automatisierter Verwaltung von Client-ID und Zertifikat.Many Azure Services supports assigning Managed Identity with automated management of client ID and certificate. „Verwaltete Identität“ ist die sicherste und empfohlene Option zum Authentifizieren in Azure.Managed identity is the most secure and recommended option for authenticating within Azure.

Weitere Informationen zur Authentifizierung bei Key Vault finden Sie unter Authentifizieren bei Azure Key Vault.For more information about authentication to Key Vault, see Authenticate to Azure Key Vault

Privilegierter ZugriffPrivileged access

Die Autorisierung bestimmt, welche Vorgänge der Aufrufer ausführen darf.Authorization determines which operations the caller can perform. Für die Autorisierung wird in Key Vault eine Kombination aus rollenbasierter Zugriffssteuerung in Azure (Azure RBAC) und Azure Key Vault-Zugriffsrichtlinien verwendet.Authorization in Key Vault uses a combination of Azure role-based access control (Azure RBAC) and Azure Key Vault access policies.

Der Zugriff auf Tresore erfolgt über zwei Schnittstellen oder Ebenen.Access to vaults takes place through two interfaces or planes. Die Ebenen lauten Verwaltungsebene und Datenebene.These planes are the management plane and the data plane.

  • Auf Verwaltungsebene verwalten Sie Key Vault selbst. Sie stellt die Schnittstelle zum Erstellen und Löschen von Tresoren dar.The management plane is where you manage Key Vault itself and it is the interface used to create and delete vaults. Sie können auch die Eigenschaften von Schlüsseltresoren lesen und Zugriffsrichtlinien verwalten.You can also read key vault properties and manage access policies.
  • Auf der Datenebene arbeiten Sie mit den in einem Schlüsseltresor gespeicherten Daten.The data plane allows you to work with the data stored in a key vault. Sie können Schlüssel, Geheimnisse und Zertifikate hinzufügen, löschen und ändern.You can add, delete, and modify keys, secrets, and certificates.

Die Anwendungen greifen über Endpunkte auf die Ebenen zu.Applications access the planes through endpoints. Die Zugriffssteuerung für die beiden Ebenen arbeiten voneinander unabhängig.The access controls for the two planes work independently. Um einer Anwendung Zugriff auf die Verwendung von Schlüsseln in einem Schlüsseltresor zu gewähren, müssen Sie den Zugriff auf die Datenebene unter Verwendung einer Key Vault-Zugriffsrichtlinie oder Azure RBAC gewähren.To grant an application access to use keys in a key vault, you grant data plane access by using a Key Vault access policy or Azure RBAC. Um einem Benutzer Lesezugriff auf die Eigenschaften und Tags des Schlüsseltresors zu gewähren, aber nicht auf Daten (Schlüssel, Geheimnisse oder Zertifikate), gewähren Sie mit Azure RBAC den Zugriff auf die Verwaltungsebene.To grant a user read access to Key Vault properties and tags, but not access to data (keys, secrets, or certificates), you grant management plane access with Azure RBAC.

Die folgende Tabelle zeigt die Endpunkte für die Verwaltungs- und Datenebene.The following table shows the endpoints for the management and data planes.

Zugriffs ebeneAccess plane ZugriffsendpunkteAccess endpoints Operationen (Operations)Operations Zugriffs steuerungsmechanismusAccess control mechanism
VerwaltungsebeneManagement plane Global:Global:
management.azure.com:443management.azure.com:443

Azure China 21Vianet:Azure China 21Vianet:
management.chinacloudapi.cn:443management.chinacloudapi.cn:443

Azure US Government:Azure US Government:
management.usgovcloudapi.net:443management.usgovcloudapi.net:443

Azure Deutschland:Azure Germany:
management.microsoftazure.de:443management.microsoftazure.de:443
Erstellen, Lesen, Aktualisieren und Löschen von SchlüsseltresorenCreate, read, update, and delete key vaults

Festlegen von Zugriffsrichtlinien für den SchlüsseltresorSet Key Vault access policies

Festlegen der SchlüsseltresortagsSet Key Vault tags
Azure RBACAzure RBAC
DatenebeneData plane Global:Global:
<Tresorname>.vault.azure.net:443<vault-name>.vault.azure.net:443

Azure China 21Vianet:Azure China 21Vianet:
<Tresorname>.vault.azure.cn:443<vault-name>.vault.azure.cn:443

Azure US Government:Azure US Government:
<Tresorname>.vault.usgovcloudapi.net:443<vault-name>.vault.usgovcloudapi.net:443

Azure Deutschland:Azure Germany:
<Tresorname>.vault.microsoftazure.de:443<vault-name>.vault.microsoftazure.de:443
Schlüssel: encrypt, decrypt, wrapKey, unwrapKey, sign, verify, get, list, create, update, import, delete, recover, backup, restore, purgeKeys: encrypt, decrypt, wrapKey, unwrapKey, sign, verify, get, list, create, update, import, delete, recover, backup, restore, purge

Zertifikate: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, get, list, create, import, update, delete, recover, backup, restore, purgeCertificates: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, get, list, create, import, update, delete, recover, backup, restore, purge

Geheimnisse: get, list, set, delete,recover, backup, restore, purgeSecrets: get, list, set, delete,recover, backup, restore, purge
Key Vault-Zugriffsrichtlinie oder Azure RBACKey Vault access policy or Azure RBAC

Verwalten des Administratorzugriffs auf Key VaultManaging administrative access to Key Vault

Wenn Sie einen Schlüsseltresor in einer Ressourcengruppe erstellen, steuern Sie den Zugriff mithilfe von Azure AD.When you create a key vault in a resource group, you manage access by using Azure AD. So können Sie Benutzern oder einer Gruppe die Verwaltung von Schlüsseltresoren in einer Ressourcengruppe ermöglichen.You grant users or groups the ability to manage the key vaults in a resource group. Sie können den Zugriff auf eine bestimmte Bereichsebene gewähren, indem Sie entsprechende Azure-Rollen zuordnen.You can grant access at a specific scope level by assigning the appropriate Azure roles. Um einem Benutzer Zugriff für die Verwaltung von Schlüsseltresoren zu gewähren, weisen Sie ihm für einen bestimmten Bereich die vordefinierte Rolle key vault Contributor zu.To grant access to a user to manage key vaults, you assign a predefined key vault Contributor role to the user at a specific scope. Die folgenden Bereichsebenen können einer Azure-Rolle zugeordnet werden:The following scopes levels can be assigned to an Azure role:

  • Abonnement: Eine auf Abonnementebene zugewiesene Azure-Rolle gilt für alle Ressourcengruppen und Ressourcen innerhalb des Abonnements.Subscription: An Azure role assigned at the subscription level applies to all resource groups and resources within that subscription.
  • Ressourcengruppe: Eine auf Ressourcengruppenebene zugewiesene Azure-Rolle gilt für alle Ressourcen in der Ressourcengruppe.Resource group: An Azure role assigned at the resource group level applies to all resources in that resource group.
  • Bestimmte Ressourcen: Eine für eine bestimmte Ressource zugewiesene Azure-Rolle gilt für diese Ressource.Specific resource: An Azure role assigned for a specific resource applies to that resource. In diesem Fall ist die Ressource ein bestimmter Schlüsseltresor.In this case, the resource is a specific key vault.

Es gibt verschiedene vordefinierte Rollen.There are several predefined roles. Wenn eine vordefinierte Rolle nicht Ihren Anforderungen entspricht, können Sie Ihre eigene Rolle definieren.If a predefined role doesn't fit your needs, you can define your own role. Weitere Informationen finden Sie unter Azure RBAC: Integrierte Rollen.For more information, see Azure RBAC: Built-in roles.

Wichtig

Falls ein Benutzer für eine Schlüsseltresor-Verwaltungsebene über die Berechtigung Contributor verfügt, kann er sich durch Festlegen einer Zugriffsrichtlinie für den Schlüsseltresor selbst Zugriff auf die Datenebene gewähren.If a user has Contributor permissions to a key vault management plane, the user can grant themselves access to the data plane by setting a Key Vault access policy. Deshalb sollten sie stets kontrollieren, wer als Contributor auf Ihre Schlüsseltresore zugreifen kann.You should tightly control who has Contributor role access to your key vaults. Stellen Sie sicher, dass nur autorisierte Personen auf Ihre Schlüsseltresore, Schlüssel, Geheimnisse und Zertifikate zugreifen und diese verwalten können.Ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.

Steuern des Zugriffs auf Key Vault-DatenControlling access to Key Vault data

Mit Schlüsseltresor-Zugriffsrichtlinien können separate Berechtigungen für Schlüssel, Geheimnisse oder Zertifikate gewährt werden.Key Vault access policies grant permissions separately to keys, secrets, or certificate. Sie können einem Benutzer nur Zugriff auf Schlüssel, nicht auf Geheimnisse gewähren.You can grant a user access only to keys and not to secrets. Zugriffsberechtigungen für Schlüssel, Geheimnisse und Zertifikate werden auf Tresorebene verwaltet.Access permissions for keys, secrets, and certificates are managed at the vault level.

Wichtig

Die Schlüsseltresor-Zugriffsrichtlinie unterstützt keine differenzierten Berechtigungen auf Objektebene, wie z.B. für bestimmte Schlüssel, Geheimnisse oder Zertifikate.Key Vault access policies don't support granular, object-level permissions like a specific key, secret, or certificate. Wenn einem Benutzer die Berechtigung zum Erstellen und Löschen von Schlüsseln gewährt wird, kann er diese Vorgänge für alle Schlüssel in diesem Schlüsseltresor ausführen.When a user is granted permission to create and delete keys, they can perform those operations on all keys in that key vault.

Zum Festlegen von Zugriffsrichtlinien für einen Schlüsseltresor können Sie das Azure-Portal, die Azure CLI, Azure PowerShell oder die REST-APIs für die Schlüsseltresorverwaltung verwenden.You can set access policies for a key vault use the Azure portal, the Azure CLI, Azure PowerShell, or the Key Vault Management REST APIs.

Protokollierung und ÜberwachungLogging and monitoring

Bei der Key Vault-Protokollierung werden Informationen zu den Aktivitäten gespeichert, die für Ihren Tresor ausgeführt werden.Key Vault logging saves information about the activities performed on your vault. Ausführliche Informationen finden Sie unter Key Vault-Protokollierung.For full details, see Key Vault logging.

Sie können Key Vault in Event Grid integrieren, um Benachrichtigungen zu erhalten, wenn sich der Status eines im Schlüsseltresor gespeicherten Schlüssels, Zertifikats oder Geheimnisses geändert hat.You can integrate Key Vault with Event Grid to be notified when the status of a key, certificate, or secret stored in key vault has changed. Informationen dazu finden Sie unter Überwachen von Key Vault mit Azure Event Grid.For details, see Monitoring Key Vault with Azure Event Grid

Es ist auch wichtig, die Integrität Ihres Schlüsseltresors zu überwachen, um sicherzustellen, dass Ihr Dienst wie vorgesehen funktioniert.It is also important to monitor the health of your key vault, to make sure your service operates as intended. Unter Überwachung und Warnungen für Azure Key Vault erfahren Sie, wie Sie dazu vorgehen.To learn how to do so, see Monitoring and alerting for Azure Key Vault.

Sicherung und WiederherstellungBackup and recovery

Mit den Azure Key Vault-Funktionen zum Schutz beim vorläufigen und endgültigen Löschen können Sie gelöschte Tresore und Tresorobjekte wiederherstellen.Azure Key Vault soft-delete and purge protection allows you to recover deleted vaults and vault objects. Vollständige Informationen dazu finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.For full details, see Azure Key Vault soft-delete overview.

Sie sollten beim Aktualisieren, Löschen und Erstellen von Objekten in einem Schlüsseltresor auch regelmäßig Sicherungskopien Ihres Schlüsseltresors erstellen.You should also take regular back ups of your vault on update/delete/create of objects within a Vault.

Nächste SchritteNext Steps