Introducción a las claves, secretos y certificados de Azure Key VaultAzure Key Vault keys, secrets and certificates overview

Azure Key Vault permite a las aplicaciones y los usuarios de Microsoft Azure almacenar y usar varios tipos de datos de secretos y claves.Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data. El proveedor de recursos de Key Vault admite dos tipos de recursos: almacenes y HSM administrados.Key Vault resource provider supports two resource types: vaults and managed HSMs.

Sufijos DNS para la URL baseDNS suffixes for base URL

En la tabla siguiente se muestra el sufijo DNS de la URL base que usa el punto de conexión del plano de datos para los grupos de almacenes y HSM administrados en varios entornos de nube.The table below shows the base URL DNS suffix used by the data-plane endpoint for vaults and managed HSM pools in various cloud environments.

Entorno en la nubeCloud environment Sufijo DNS para almacenesDNS suffix for vaults Sufijo DNS para HSM administradosDNS suffix for managed HSMs
Nube de AzureAzure Cloud .vault.azure.net.vault.azure.net .managedhsm.azure.net.managedhsm.azure.net
Nube de Azure ChinaAzure China Cloud .vault.azure.cn.vault.azure.cn No compatibleNot supported
Azure US GovernmentAzure US Government .vault.usgovcloudapi.net.vault.usgovcloudapi.net No compatibleNot supported
Nube de Azure GermanAzure German Cloud .vault.microsoftazure.de.vault.microsoftazure.de No compatibleNot supported

Tipos de objetoObject types

En la tabla siguiente se muestran los tipos de objeto y sus sufijos en la URL base.The table below shows object types and their suffixes in the base URL.

Tipo de objetoObject type Sufijo de la URLURL Suffix AlmacenesVaults Grupos de HSM administradosManaged HSM Pools
Claves de cifradoCryptographic keys
Claves protegidas con HSMHSM-protected keys /keys/keys CompatibleSupported CompatibleSupported
Claves protegidas con softwareSoftware-protected keys /keys/keys CompatibleSupported No compatibleNot supported
Otros tipos de objetoOther object types
SecretosSecrets /secrets/secrets CompatibleSupported No compatibleNot supported
CertificadosCertificates /certificates/certificates CompatibleSupported No compatibleNot supported
Claves de cuenta de almacenamientoStorage account keys /storage/storage CompatibleSupported No compatibleNot supported
  • Claves criptográficas: Admite varios tipos de claves y algoritmos, y permite el uso de claves protegidas por software y protegidas con HSM.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of software-protected and HSM-protected keys. Para más información, consulte Acerca de las claves.For more information, see About keys.
  • Secretos: proporciona un almacenamiento seguro de secretos, como contraseñas y cadenas de conexión de base de datos.Secrets: Provides secure storage of secrets, such as passwords and database connection strings. Para más información, consulte Acerca de los secretos.For more information, see About secrets.
  • Certificados: admite certificados, que se basan en claves y secretos, y agrega una característica de renovación automática.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. Para más información, consulte Acerca de los certificados.For more information, see About certificates.
  • Claves de cuentas de Azure Storage: puede administrar automáticamente las claves de una cuenta de Azure Storage.Azure Storage account keys: Can manage keys of an Azure Storage account for you. Internamente, Key Vault puede enumerar (sincronizar) las claves con una cuenta de almacenamiento de Azure y volver a generar (rotar) las claves periódicamente.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. Para más información, consulte Administración de claves de cuenta de almacenamiento con Key Vault.For more information, see Manage storage account keys with Key Vault.

Para más información sobre Key Vault, consulte Acerca de Azure Key Vault.For more general information about Key Vault, see About Azure Key Vault. Para más información sobre los grupos de HSM administrados, consulte ¿Qué es HSM administrado de Azure Key Vault?For more information about Managed HSM pools, see What is Azure Key Vault Managed HSM?

Tipos de datosData types

Consulte las especificaciones JOSE para tipos de datos relevantes para claves, cifrado y firma.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorithm: un algoritmo admitido para una operación de clave, por ejemplo, RSA1_5algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • ciphertext-value: octetos de texto cifrado codificados con Base64URLciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value: la salida de un algoritmo de hash codificada con Base64URLdigest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type: uno de los tipos de clave admitidos; por ejemplo, RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • plaintext-value: octetos de texto no cifrado codificados con Base64URLplaintext-value - plaintext octets, encoded using Base64URL
  • signature-value: la salida de un algoritmo de firma codificada con Base64URLsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL: un valor binario codificado con Base64URL [RFC4648]base64URL - a Base64URL [RFC4648] encoded binary value
  • boolean: true o falseboolean - either true or false
  • Identity: una identidad de Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate: un valor decimal JSON que representa el número de segundos desde 1970-01-01T0:0:0Z UTC hasta la fecha y hora UTC especificada.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Consulte RFC3339 para más información acerca de la fecha y hora en general, y la hora UTC en particular.See RFC3339 for details regarding date/times, in general and UTC in particular.

Objetos, identificadores y control de versionesObjects, identifiers, and versioning

Se aplica el control de versiones de los objetos almacenados en Key Vault cuando se crea una instancia de un objeto.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Cada versión tiene asignados un identificador único y una dirección URL.Each version is assigned a unique identifier and URL. Cuando se crea un objeto por primera vez, se le asigna un identificador de versión único y se marca como la versión actual del objeto.When an object is first created, it's given a unique version identifier and marked as the current version of the object. La creación de una instancia con el mismo nombre de objeto proporciona al nuevo objeto un identificador de versión único, que hace que se convierta en la versión actual.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Los objetos de Key Vault se pueden direccionar especificando una versión u omitiendo la versión de las operaciones en la versión actual del objeto.Objects in Key Vault can be addressed by specifying a version or by omitting version for operations on current version of the object. Por ejemplo, dada una clave con el nombre MasterKey, realizar operaciones sin especificar una versión hace que el sistema use la versión más reciente disponible.For example, given a Key with the name MasterKey, performing operations without specifying a version causes the system to use the latest available version. Realizar operaciones con el identificador específico de la versión hace que el sistema use esa versión específica del objeto.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Nombre del almacén y nombre del objetoVault-name and Object-name

Los objetos se identifican de forma única en Key Vault mediante una dirección URL.Objects are uniquely identified within Key Vault using a URL. No hay dos objetos en el sistema que tengan la misma dirección URL, independientemente de la ubicación geográfica.No two objects in the system have the same URL, regardless of geo-location. La dirección URL completa a un objeto se denomina identificador de objeto.The complete URL to an object is called the Object Identifier. La dirección URL consta de un prefijo que identifica la instancia de Key Vault, el tipo de objeto, el nombre de objeto proporcionado por el usuario y la versión de un objeto.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. El nombre del objeto es inmutable y no distingue entre mayúsculas y minúsculas.The Object Name is case-insensitive and immutable. Los identificadores que no incluyen la versión del objeto se conocen como identificadores base.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Para más información, consulte Autenticación, solicitudes y respuestasFor more information, see Authentication, requests, and responses

Un identificador de objeto tiene el formato general siguiente (según el tipo de contenedor):An object identifier has the following general format (depending on container type):

  • Para almacenes: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}For Vaults: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Para grupos de HSM administrados: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}For Managed HSM pools: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Nota

Consulte Compatibilidad con tipos de objeto para conocer los tipos de objetos que admite cada tipo de contenedor.See Object type support for types of objects supported by each container type.

Donde:Where:

ElementoElement DescripciónDescription
vault-name o hsm-namevault-name or hsm-name El nombre de un almacén o un grupo de HSM administrados del servicio Microsoft Azure Key Vault.The name for a vault or an Managed HSM pool in the Microsoft Azure Key Vault service.

Los nombres de los almacenes y los grupos de HSM administrados los selecciona el usuario y son globalmente únicos.Vault names and Managed HSM pool names are selected by the user and are globally unique.

El nombre del almacén y el del grupo de HSM administrados debe ser una cadena con una longitud de 3 a 24 caracteres que solo contenga los caracteres 0-9, a-z, A-Z y -.Vault name and Managed HSM pool name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type El tipo del objeto, "keys", "secrets" o "certificates".The type of the object, "keys", "secrets", or 'certificates'.
object-name object-name es un nombre proporcionado por el usuario y debe ser único dentro de un almacén de claves.An object-name is a user provided name for and must be unique within a Key Vault. El nombre debe ser una cadena de entre 1 y 127 caracteres que solo contenga 0-9, a-z, A-Z y -.The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version object-version es un identificador de cadena de 32 caracteres generada por el sistema que, opcionalmente, se utiliza para referirse a una versión única de un objeto.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Pasos siguientesNext steps