À propos des clés, des secrets et des certificatsAbout keys, secrets, and certificates

Azure Key Vault permet aux utilisateurs et aux applications Microsoft Azure de stocker et d’utiliser plusieurs types de données de secret/clé :Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data:

  • Clés de chiffrement : Prend en charge plusieurs types de clés et algorithmes, et permet d’utiliser des modules de sécurité matériels (HSM) pour les clés ayant une valeur importante.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of Hardware Security Modules (HSM) for high value keys.
  • Secrets : Fournit un stockage sécurisé des secrets, comme les mots de passe et les chaînes de connexion de base de données.Secrets: Provides secure storage of secrets, such as passwords and database connection strings.
  • Certificats : Prend en charge les certificats, qui sont basés sur des clés et des secrets, et ajoute une fonctionnalité de renouvellement automatique.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature.
  • Stockage Azure : Peut gérer pour vous les clés d’un compte Stockage Azure.Azure Storage: Can manage keys of an Azure Storage account for you. En interne, Key Vault peut lister (synchroniser) les clés avec un compte Stockage Azure et regénérer (faire tourner) régulièrement les clés.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically.

Pour plus d’informations générales sur Key Vault, consultez Présentation d’Azure Key Vault.For more general information about Key Vault, see What is Azure Key Vault?

Azure Key VaultAzure Key Vault

Les sections suivantes fournissent des informations générales applicables à l’implémentation du service Key Vault.The following sections offer general information applicable across the implementation of the Key Vault service.

Prise en charge des standardsSupporting standards

Les spécifications JSON (JavaScript Object Notation) et JOSE (JavaScript Object Signing and Encryption) sont des informations d’arrière-plan importantes.The JavaScript Object Notation (JSON) and JavaScript Object Signing and Encryption (JOSE) specifications are important background information.

Types de donnéesData types

Reportez-vous aux spécifications JOSE pour les types de données appropriés pour les clés, le chiffrement et la signature.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorithm : algorithme pris en charge pour une opération sur les clés, RSA1_5 par exemplealgorithm - a supported algorithm for a key operation, for example, RSA1_5
  • ciphertext-value : octets de texte de chiffrement, codés avec Base64URLciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value : sortie d’un algorithme de hachage, codée avec Base64URLdigest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type : un des types de clés pris en charge, par exemple RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • plaintext-value : octets de texte en clair, codés avec Base64URLplaintext-value - plaintext octets, encoded using Base64URL
  • signature-value : sortie d’un algorithme de signature, codée avec Base64URLsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL : valeur binaire codée Base64URL [RFC4648]base64URL - a Base64URL [RFC4648] encoded binary value
  • boolean : true (vrai) ou false (faux)boolean - either true or false
  • Identity : identité d’Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate : valeur décimale JSON représentant le nombre de secondes entre 1970-01-01T0:0:0Z UTC et la date/heure UTC spécifiée.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Consultez la RFC3339 pour plus d’informations sur les dates/heures en général, et sur UTC en particulier.See RFC3339 for details regarding date/times, in general and UTC in particular.

Objets, identificateurs et gestion de versionsObjects, identifiers, and versioning

Les objets stockés dans Key Vault sont versionnés chaque fois qu’une nouvelle instance d’un objet est créée.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Chaque version se voit assigner un identificateur unique et une URL.Each version is assigned a unique identifier and URL. Quand un objet est créé, il se voit attribuer un identificateur de version unique et est marqué comme version actuelle de l’objet.When an object is first created, it's given a unique version identifier and marked as the current version of the object. La création d’une nouvelle instance portant le même nom d’objet attribue au nouvel objet un identificateur de version unique, ce qui en fait la version actuelle.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Les objets dans Key Vault peuvent être reconnus à l’aide de l’identificateur actuel ou d’un identificateur spécifique à la version.Objects in Key Vault can be addressed using the current identifier or a version-specific identifier. Par exemple, pour une clé nommée MasterKey, l’exécution d’opérations avec l’identificateur actuel amène le système à utiliser la dernière version disponible.For example, given a Key with the name MasterKey, performing operations with the current identifier causes the system to use the latest available version. L’exécution d’opérations avec l’identificateur spécifique à la version amène le système à utiliser cette version spécifique de l’objet.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Les objets sont identifiés de façon unique dans Key Vault avec une URL.Objects are uniquely identified within Key Vault using a URL. Il n’y a pas deux objets avec la même URL dans le système, quel que soit l’emplacement géographique.No two objects in the system have the same URL, regardless of geo-location. L’URL complète d’un objet est appelée identificateur d’objet.The complete URL to an object is called the Object Identifier. L’URL est constituée d’un préfixe qui identifie le coffre de clés, du type d’objet, du nom d’objet fourni par l’utilisateur et d’une version d’objet.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Le nom d’objet n’est pas sensible à la casse et est non modifiable.The Object Name is case-insensitive and immutable. Les identificateurs qui n’incluent pas la version d’objet sont appelés des identificateurs de base.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Pour plus d’informations, consultez Authentification, requêtes et réponsesFor more information, see Authentication, requests, and responses

Un identificateur d’objet a le format général suivant :An object identifier has the following general format:

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

Où :Where:

keyvault-name Le nom d’un coffre de clés dans le service Microsoft Azure Key Vault.The name for a key vault in the Microsoft Azure Key Vault service.

Les noms de coffre de clés sont choisis par l’utilisateur et sont globalement uniques.Key Vault names are selected by the user and are globally unique.

Le nom d’un coffre de clés doit être une chaîne comprise entre 3 et 24 caractères qui doit contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).Key Vault name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Le type de l’objet, « clés » ou « secrets ».The type of the object, either "keys" or "secrets".
object-name Un object-name est un nom fourni par l’utilisateur et doit être unique dans un coffre de clés.An object-name is a user provided name for and must be unique within a Key Vault. Le nom doit être une chaîne comprise entre 1 et 127 caractères qui doit contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).The name must be a 1-127 character string, containing only 0-9, a-z, A-Z, and -.
object-version Un object-version est un identificateur de chaîne de 32 caractères généré par le système qui peut être utilisé pour une version unique d’un objet.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Clés Key VaultKey Vault keys

Clés et types de clésKeys and key types

Les clés de chiffrement dans Key Vault sont représentées en tant qu’objets de clé web JSON [JWK].Cryptographic keys in Key Vault are represented as JSON Web Key [JWK] objects. Les spécifications JWK/JWA de base sont également étendues pour rendre les types de clés uniques lors de l’implémentation du coffre de clés.The base JWK/JWA specifications are also extended to enable key types unique to the Key Vault implementation. Par exemple, l’importation de clés avec l’empaquetage spécifique au fournisseur HSM permet de sécuriser le transport des clés susceptibles d’être utilisées uniquement dans les modules HSM Key Vault.For example, importing keys using HSM vendor-specific packaging, enables secure transportation of keys that may only be used in Key Vault HSMs.

  • Clés « logicielles »  : clé traitée dans le logiciel par Key Vault, mais qui est chiffrée au repos avec une clé système qui se trouve dans un HSM."Soft" keys: A key processed in software by Key Vault, but is encrypted at rest using a system key that is in an HSM. Les clients peuvent importer une clé RSA ou EC (Elliptic Curve) existante ou demander à Key Vault d’en générer une.Clients may import an existing RSA or EC (Elliptic Curve) key, or request that Key Vault generate one.

  • Clés « matérielles »  : clé traitée dans un module de sécurité matériel (HSM)."Hard" keys: A key processed in an HSM (Hardware Security Module). Ces clés sont protégées dans un des mondes de sécurité HSM Key Vault (il existe un monde de sécurité par emplacement géographique afin de garantir l’isolation).These keys are protected in one of the Key Vault HSM Security Worlds (there's one Security World per geography to maintain isolation). Les clients peuvent importer une clé RSA ou EC, sous forme logicielle ou en exportant depuis un appareil HSM compatible.Clients may import an RSA or EC key, in soft form or by exporting from a compatible HSM device. Les clients peuvent également demander à Key Vault de générer une clé.Clients may also request Key Vault to generate a key. Ce type de clé ajoute l’attribut T à la JWK pour le transport du matériel de clé HSM.This key type adds the T attribute to the JWK obtain to carry the HSM key material.

    Pour plus d’informations sur les frontières géographiques, consultez Centre de gestion de la confidentialité Microsoft AzureFor more information on geographical boundaries, see Microsoft Azure Trust Center

Key Vault prend en charge les clés RSA et Elliptic Curve uniquement.Key Vault supports RSA and Elliptic Curve keys only.

  • EC : clé « logicielle » à courbe elliptique.EC: "Soft" Elliptic Curve key.
  • EC-HSM : clé « matérielle » à courbe elliptique.EC-HSM: "Hard" Elliptic Curve key.
  • RSA : clé « logicielle » RSA.RSA: "Soft" RSA key.
  • RSA-HSM : clé « matérielle » RSA.RSA-HSM: "Hard" RSA key.

Key Vault prend en charge les clés RSA de taille 2 048, 3 072 et 4 096.Key Vault supports RSA keys of sizes 2048, 3072 and 4096. Key Vault prend en charge les clés Elliptic Curve de type P-256, P-384, P-521 et P-256K (SECP256K1).Key Vault supports Elliptic Curve key types P-256, P-384, P-521, and P-256K (SECP256K1).

Protection par chiffrementCryptographic protection

Les modules de chiffrement qu’utilise Key Vault, HSM ou logiciel, sont conformes aux standards FIPS (Federal Information Processing Standards).The cryptographic modules that Key Vault uses, whether HSM or software, are FIPS (Federal Information Processing Standards) validated. Aucune action spéciale ne doit être effectuée pour l’exécution en mode FIPS.You don’t need to do anything special to run in FIPS mode. Les clés créées ou importées comme clés protégées par HSM sont traitées dans un module HSM, et sont conformes à FIPS 140-2 niveau 2.Keys created or imported as HSM-protected are processed inside an HSM, validated to FIPS 140-2 Level 2. Les clés créées ou importées comme clés protégées par logiciel sont traitées dans des module de chiffrement conformes à FIPS 140-2 niveau 1.Keys created or imported as software-protected, are processed inside cryptographic modules validated to FIPS 140-2 Level 1. Pour plus d’informations, consultez Clés et types de clés.For more information, see Keys and key types.

Algorithmes ECEC algorithms

Les identificateurs d’algorithme suivants sont pris en charge avec les clés EC et EC-HSM dans Key Vault.The following algorithm identifiers are supported with EC and EC-HSM keys in Key Vault.

Types de courbeCurve Types

SIGN/VERIFYSIGN/VERIFY

  • ES256 : ECDSA pour codes de hachage SHA-256 et clés créées avec la courbe P-256.ES256 - ECDSA for SHA-256 digests and keys created with curve P-256. Cet algorithme est décrit dans RFC7518.This algorithm is described at RFC7518.
  • ES256K : ECDSA pour codes de hachage SHA-256 et clés créées avec la courbe P-256K.ES256K - ECDSA for SHA-256 digests and keys created with curve P-256K. Cet algorithme est en attente de normalisation.This algorithm is pending standardization.
  • ES384 : ECDSA pour codes de hachage SHA-384 et clés créées avec la courbe P-384.ES384 - ECDSA for SHA-384 digests and keys created with curve P-384. Cet algorithme est décrit dans RFC7518.This algorithm is described at RFC7518.
  • ES512 : ECDSA pour codes de hachage SHA-512 et clés créées avec la courbe P-521.ES512 - ECDSA for SHA-512 digests and keys created with curve P-521. Cet algorithme est décrit dans RFC7518.This algorithm is described at RFC7518.

Algorithmes RSARSA algorithms

Les identificateurs d’algorithme suivants sont pris en charge avec les clés RSA et RSA-HSM dans Key Vault.The following algorithm identifiers are supported with RSA and RSA-HSM keys in Key Vault.

WRAPKEY/UNWRAPKEY, ENCRYPT/DECRYPTWRAPKEY/UNWRAPKEY, ENCRYPT/DECRYPT

  • RSA1_5 : chiffrement à clé RSAES-PKCS1-V1_5 [RFC3447]RSA1_5 - RSAES-PKCS1-V1_5 [RFC3447] key encryption
  • RSA-OAEP : RSAES utilisant OAEP (Optimal Asymmetric Encryption Padding) [RFC3447], avec les paramètres par défaut spécifiés par RFC 3447, section A.2.1.RSA-OAEP - RSAES using Optimal Asymmetric Encryption Padding (OAEP) [RFC3447], with the default parameters specified by RFC 3447 in Section A.2.1. Ces paramètres par défaut utilisent une fonction de hachage de SHA-1 et une fonction de génération de masque de MGF1 avec SHA-1.Those default parameters are using a hash function of SHA-1 and a mask generation function of MGF1 with SHA-1.

SIGN/VERIFYSIGN/VERIFY

  • RS256 : RSASSA-PKCS-v1_5 utilisant SHA-256.RS256 - RSASSA-PKCS-v1_5 using SHA-256. La valeur de synthèse fournie par l’application doit être calculée à l’aide de SHA-256 et doit être d’une longueur de 32 octets.The application supplied digest value must be computed using SHA-256 and must be 32 bytes in length.
  • RS384 : RSASSA-PKCS-v1_5 utilisant SHA-384.RS384 - RSASSA-PKCS-v1_5 using SHA-384. La valeur de synthèse fournie par l’application doit être calculée à l’aide de SHA-384 et doit être d’une longueur de 48 octets.The application supplied digest value must be computed using SHA-384 and must be 48 bytes in length.
  • RS512 : RSASSA-PKCS-v1_5 utilisant SHA-512.RS512 - RSASSA-PKCS-v1_5 using SHA-512. La valeur de synthèse fournie par l’application doit être calculée à l’aide de SHA-512 et doit être d’une longueur de 64 octets.The application supplied digest value must be computed using SHA-512 and must be 64 bytes in length.
  • RSNULL : consultez [RFC2437], un cas d’utilisation spécial permettant certains scénarios TLS.RSNULL - See [RFC2437], a specialized use-case to enable certain TLS scenarios.

Opérations sur les clésKey operations

Key Vault prend en charge les opérations sur les objets de clés suivantes :Key Vault supports the following operations on key objects:

  • Créer : permet à un client de créer une clé dans Key Vault.Create: Allows a client to create a key in Key Vault. La valeur de la clé est générée par le coffre de clés et stockée, mais n’est pas communiquée au client.The value of the key is generated by Key Vault and stored, and isn't released to the client. Les clés asymétriques peuvent être créées dans un coffre de clés.Asymmetric keys may be created in Key Vault.
  • Importer : permet à un client d’importer une clé existante dans Key Vault.Import: Allows a client to import an existing key to Key Vault. Des clés asymétriques peuvent être importées dans un coffre de clés selon diverses méthodes d’empaquetage dans un construct JWK.Asymmetric keys may be imported to Key Vault using a number of different packaging methods within a JWK construct.
  • Mettre à jour : permet à un client disposant des autorisations suffisantes de modifier les métadonnées (attributs de clé) associées à une clé précédemment stockée dans Key Vault.Update: Allows a client with sufficient permissions to modify the metadata (key attributes) associated with a key previously stored within Key Vault.
  • Supprimer : permet à un client disposant des autorisations suffisantes de supprimer une clé dans Key Vault.Delete: Allows a client with sufficient permissions to delete a key from Key Vault.
  • Lister : permet à un client de lister toutes les clés d’un coffre de clés donné.List: Allows a client to list all keys in a given Key Vault.
  • Lister les versions : permet à un client de lister toutes les versions d’une clé donnée dans un coffre de clés donné.List versions: Allows a client to list all versions of a given key in a given Key Vault.
  • Obtenir : permet à un client de récupérer les parties publiques d’une clé donnée dans un coffre de clés.Get: Allows a client to retrieve the public parts of a given key in a Key Vault.
  • Sauvegarder : permet d’exporter une clé sous une forme protégée.Backup: Exports a key in a protected form.
  • Restaurer : permet d’importer une clé précédemment sauvegardée.Restore: Imports a previously backed up key.

Pour plus d’informations, voir Informations de référence sur les opérations liées aux clés dans l’API REST Key Vault.For more information, see Key operations in the Key Vault REST API reference.

Lorsqu’une clé a été créée dans un coffre de clés, les opérations de chiffrement suivantes peuvent être exécutées à l’aide de la clé :Once a key has been created in Key Vault, the following cryptographic operations may be performed using the key:

  • Signer et vérifier : cette opération vise à « signer le hachage » ou à « vérifier le hachage », car Key Vault ne prend pas en charge le hachage du contenu lors la création de la signature.Sign and Verify: Strictly, this operation is "sign hash" or "verify hash", as Key Vault doesn't support hashing of content as part of signature creation. Les applications doivent hacher les données à signer localement puis demander à Key Vault de signer le hachage.Applications should hash the data to be signed locally, then request that Key Vault sign the hash. La vérification des hachages signés est prise en charge par souci pratique pour les applications qui n’ont peut-être pas accès au matériel de clé [publique].Verification of signed hashes is supported as a convenience operation for applications that may not have access to [public] key material. Pour optimiser les performances des applications, vérifiez que les opérations sont effectuées localement.For best application performance, verify that operations are performed locally.
  • Chiffrement / encapsulation de clé : une clé stockée dans Key Vault peut être utilisée pour protéger une autre clé, généralement une clé de chiffrement symétrique de contenu (CEK).Key Encryption / Wrapping: A key stored in Key Vault may be used to protect another key, typically a symmetric content encryption key (CEK). Lorsque la clé dans Key Vault est asymétrique, le chiffrement de clé est utilisé.When the key in Key Vault is asymmetric, key encryption is used. Par exemple, les opérations WRAPKEY/UNWRAPKEY et RSA-OAEP sont équivalentes à ENCRYPT/DECRYPT.For example, RSA-OAEP and the WRAPKEY/UNWRAPKEY operations are equivalent to ENCRYPT/DECRYPT. Lorsque la clé dans Key Vault est symétrique, le wrapping de clé est utilisé.When the key in Key Vault is symmetric, key wrapping is used. Par exemple, AES-KW.For example, AES-KW. L’opération WRAPKEY est prise en charge par souci pratique pour les applications qui n’ont peut-être pas accès au matériel de clé [publique].The WRAPKEY operation is supported as a convenience for applications that may not have access to [public] key material. Pour optimiser les performances des applications, les opérations WRAPKEY doivent être effectuées localement.For best application performance, WRAPKEY operations should be performed locally.
  • Chiffrer et déchiffrer : une clé stockée dans Key Vault peut être utilisée pour chiffrer ou déchiffrer un bloc de données.Encrypt and Decrypt: A key stored in Key Vault may be used to encrypt or decrypt a single block of data. La taille du bloc est déterminée par le type de clé et l’algorithme de chiffrement sélectionné.The size of the block is determined by the key type and selected encryption algorithm. L’opération Encrypt est fournie par souci pratique pour les applications qui n’ont peut-être pas accès au matériel de clé [publique].The Encrypt operation is provided for convenience, for applications that may not have access to [public] key material. Pour optimiser les performances des applications, les opérations de chiffrement doivent être effectuées localement.For best application performance, encrypt operations should be performed locally.

Alors que les opérations WRAPKEY/UNWRAPKEY utilisant des clés asymétriques peuvent sembler superflues (car elles sont équivalentes à ENCRYPT/DECRYPT), l’utilisation d’opérations distinctes est importante.While WRAPKEY/UNWRAPKEY using asymmetric keys may seem superfluous (as the operation is equivalent to ENCRYPT/DECRYPT), the use of distinct operations is important. La distinction fournit une séparation de la sémantique et des autorisations de ces opérations, ainsi qu’une cohérence quand d’autres types de clés sont pris en charge par le service.The distinction provides semantic and authorization separation of these operations, and consistency when other key types are supported by the service.

Key Vault ne prend pas en charge les opérations EXPORT.Key Vault doesn't support EXPORT operations. Lorsqu’une clé est provisionnée dans le système, elle ne peut pas être extraite et son matériel de clé ne peut pas être modifié.Once a key is provisioned in the system, it cannot be extracted or its key material modified. Toutefois, les utilisateurs de Key Vault peuvent avoir besoin de leur clé pour d’autres utilisations, par exemple après sa suppression.However, users of Key Vault may require their key for other use cases, such as after it has been deleted. Dans ce cas, ils peuvent utiliser les opérations BACKUP et RESTORE pour exporter/importer la clé dans un formulaire protégé.In this case, they may use the BACKUP and RESTORE operations to export/import the key in a protected form. Les clés créées par l’opération BACKUP ne peuvent pas être utilisées en dehors de Key Vault.Keys created by the BACKUP operation are not usable outside Key Vault. L’opération IMPORT peut également être utilisée sur plusieurs instances de Key Vault.Alternatively, the IMPORT operation may be used against multiple Key Vault instances.

Les utilisateurs peuvent limiter les opérations de chiffrement prises en charge par Key Vault, par clé, à l’aide de la propriété key_ops de l’objet JWK.Users may restrict any of the cryptographic operations that Key Vault supports on a per-key basis using the key_ops property of the JWK object.

Pour plus d’informations sur les objets JWK, consultez Clé web JSON (JWK).For more information on JWK objects, see JSON Web Key (JWK).

Attributs de cléKey attributes

Les attributs suivants peuvent être spécifiés en plus du matériel de clé.In addition to the key material, the following attributes may be specified. Dans une requête JSON, le mot clé attributes et les accolades, {}, sont requis même si aucun attribut n’est spécifié.In a JSON Request, the attributes keyword and braces, ‘{‘ ‘}’, are required even if there are no attributes specified.

  • enabled : booléen, facultatif, true par défaut.enabled: boolean, optional, default is true. Spécifie si la clé est activée et peut être utilisée pour des opérations de chiffrement.Specifies whether the key is enabled and useable for cryptographic operations. L’attribut enabled est utilisé avec nbf et exp. Lorsqu’une opération se produit entre nbf et exp, elle n’est autorisée que si enabled est défini sur true.The enabled attribute is used in conjunction with nbf and exp. When an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Les opérations en dehors de la fenêtre nbf / exp sont automatiquement interdites, à l’exception de certains types d’opérations dans des conditions particulières.Operations outside the nbf / exp window are automatically disallowed, except for certain operation types under particular conditions.
  • nbf : IntDate, facultatif, « now » par défaut.nbf: IntDate, optional, default is now. L’attribut nbf (not before ou pas avant) identifie l’heure avant laquelle la clé NE DOIT PAS être utilisée pour des opérations de chiffrement, à l’exception de certains types d’opérations dans des conditions particulières.The nbf (not before) attribute identifies the time before which the key MUST NOT be used for cryptographic operations, except for certain operation types under particular conditions. Le traitement de l’attribut nbf requiert que la date/heure actuelle SOIT postérieure ou égale à la date/heure « not-before » (pas avant) indiquée dans l’attribut nbf.The processing of the nbf attribute requires that the current date/time MUST be after or equal to the not-before date/time listed in the nbf attribute. Key Vault PEUT prévoir une légère marge, normalement pas plus de quelques minutes, pour prendre en compte la variation d’horloge.Key Vault MAY provide for some small leeway, normally no more than a few minutes, to account for clock skew. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.
  • exp : IntDate, facultatif, « forever » par défaut.exp: IntDate, optional, default is "forever". L’attribut exp (heure d’expiration) identifie l’heure à ou après laquelle la clé NE DOIT PAS être utilisée pour une opération de chiffrement, à l’exception de certains types d’opérations dans des conditions particulières.The exp (expiration time) attribute identifies the expiration time on or after which the key MUST NOT be used for cryptographic operation, except for certain operation types under particular conditions. Le traitement de l’attribut exp requiert que la date/heure actuelle SOIT antérieure à la date/heure d’expiration indiquée dans l’attribut exp.The processing of the exp attribute requires that the current date/time MUST be before the expiration date/time listed in the exp attribute. Key Vault PEUT prévoir une légère marge, normalement pas plus de quelques minutes, pour prendre en compte la variation d’horloge.Key Vault MAY provide for some small leeway, typically no more than a few minutes, to account for clock skew. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.

Des attributs supplémentaires en lecture seule sont inclus dans toute réponse contenant des attributs de clé :There are additional read-only attributes that are included in any response that includes key attributes:

  • created : IntDate, facultatif.created: IntDate, optional. L’attribut created indique quand cette version de la clé a été créée.The created attribute indicates when this version of the key was created. La valeur est null pour les clés créées avant l’ajout de cet attribut.The value is null for keys created prior to the addition of this attribute. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.
  • updated : IntDate, facultatif.updated: IntDate, optional. L’attribut updated indique quand cette version de la clé a été mise à jour.The updated attribute indicates when this version of the key was updated. La valeur est null pour les clés qui ont été mises à jour pour la dernière fois avant l’ajout de cet attribut.The value is null for keys that were last updated prior to the addition of this attribute. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.

Pour plus d’informations sur IntDate et d’autres types de données, consultez Types de donnéesFor more information on IntDate and other data types, see Data types

Opérations contrôlées par date/heureDate-time controlled operations

Les clés pas encore valides ou expirées, en dehors de la fenêtre nbf / exp, s’appliquent pour les opérations decrypt, unwrap et verify (elles ne retournent pas d’erreur 403, Forbidden).Not-yet-valid and expired keys, outside the nbf / exp window, will work for decrypt, unwrap, and verify operations (won’t return 403, Forbidden). La logique d’attribution d’utilisation de l’état « not-yet-valid » (pas encore valide) consiste à autoriser le test de la clé avant son utilisation en production.The rationale for using the not-yet-valid state is to allow a key to be tested before production use. La logique d’attribution d’utilisation de l’état « expired » (expiré) consiste à autoriser des opérations de récupération sur des données qui ont été créées alors que la clé était valide.The rationale for using the expired state is to allow recovery operations on data that was created when the key was valid. Vous pouvez également désactiver l’accès à une clé à l’aide de stratégies de Key Vault, ou en définissant l’attribut de clé enabled sur false.Also, you can disable access to a key using Key Vault policies, or by updating the enabled key attribute to false.

Pour plus d’informations sur les types de données, consultez Types de données.For more information on data types, see Data types.

Pour plus d’informations sur les autres attributs possibles, consultez Clé web JSON (JWK).For more information on other possible attributes, see the JSON Web Key (JWK).

Balises de cléKey tags

Vous pouvez spécifier des métadonnées spécifiques à l’application supplémentaires sous la forme de balises.You can specify additional application-specific metadata in the form of tags. Key Vault prend en charge jusqu’à 15 balises, chacune d’entre elles pouvant avoir un nom de 256 caractères et une valeur de 256 caractères.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Notes

Les balises peuvent être lues par un appelant s’il dispose de l’autorisation list ou get sur ce type d’objet (clés, secrets ou certificats).Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Contrôle d’accès aux clésKey access control

Le contrôle d’accès pour les clés gérées par Key Vault est fourni au niveau d’un coffre de clés qui fait office de conteneur de clés.Access control for keys managed by Key Vault is provided at the level of a Key Vault that acts as the container of keys. La stratégie de contrôle d’accès pour les clés est différente de la stratégie de contrôle d’accès pour les secrets dans un même coffre de clés.The access control policy for keys, is distinct from the access control policy for secrets in the same Key Vault. Les utilisateurs peuvent créer un ou plusieurs coffres pour stocker les clés et doivent maintenir une segmentation et une gestion des clés appropriées au scénario.Users may create one or more vaults to hold keys, and are required to maintain scenario appropriate segmentation and management of keys. Le contrôle d’accès pour les clés est indépendant du contrôle d’accès pour les secrets.Access control for keys is independent of access control for secrets.

Les autorisations suivantes peuvent être accordées, par utilisateur/principal du service, dans l’entrée du contrôle d’accès aux clés sur un coffre.The following permissions can be granted, on a per user / service principal basis, in the keys access control entry on a vault. Ces autorisations reflètent précisément les opérations autorisées sur un objet clé :These permissions closely mirror the operations allowed on a key object:

  • Autorisations pour les opérations de gestion de clésPermissions for key management operations

    • get : lire la partie publique d’une clé, ainsi que ses attributsget: Read the public part of a key, plus its attributes
    • list : lister les clés ou les versions d’une clé stockée dans un coffre de cléslist: List the keys or versions of a key stored in a key vault
    • update : mettre à jour les attributs d’une cléupdate: Update the attributes for a key
    • create : créer des cléscreate: Create new keys
    • import : importer une clé dans un coffre de clésimport: Import a key to a key vault
    • delete : supprimer l’objet clédelete: Delete the key object
    • recover : récupérer une clé suppriméerecover: Recover a deleted key
    • backup : sauvegarder une clé dans un coffre de clésbackup: Back up a key in a key vault
    • restore : restaurer une clé sauvegardée dans un coffre de clésrestore: Restore a backed up key to a key vault
  • Autorisations pour les opérations de chiffrementPermissions for cryptographic operations

    • decrypt : utiliser la clé pour déprotéger une séquence d’octetsdecrypt: Use the key to unprotect a sequence of bytes
    • encrypt : utiliser la clé pour protéger une séquence arbitraire d’octetsencrypt: Use the key to protect an arbitrary sequence of bytes
    • unwrapKey : utiliser la clé pour déprotéger des clés symétriques wrappéesunwrapKey: Use the key to unprotect wrapped symmetric keys
    • wrapKey : utiliser la clé pour protéger une clé symétriquewrapKey: Use the key to protect a symmetric key
    • verify : utiliser la clé pour vérifier des synthèsesverify: Use the key to verify digests
    • sign : utiliser la clé pour signer des synthèsessign: Use the key to sign digests
  • Autorisations pour les opérations privilégiéesPermissions for privileged operations

    • purge : effacer (supprimer définitivement) une clé suppriméepurge: Purge (permanently delete) a deleted key

Pour plus d’informations sur l’utilisation des clés, consultez Informations de référence sur les opérations de clé dans l’API REST Key Vault.For more information on working with keys, see Key operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Secrets Key VaultKey Vault secrets

Utilisation de secretsWorking with secrets

Pour les développeurs, les API Key Vault acceptent et retournent des valeurs de secret sous forme de chaînes.From a developer's perspective, Key Vault APIs accept and return secret values as strings. En interne, Key Vault stocke et gère les secrets par séquence d’octets (8 bits), avec une taille maximale de 25 Ko chacune.Internally, Key Vault stores and manages secrets as sequences of octets (8-bit bytes), with a maximum size of 25k bytes each. Le service Key Vault ne fournit pas la sémantique pour les secrets.The Key Vault service doesn't provide semantics for secrets. Il accepte simplement les données, les chiffre, les stocke et retourne un identificateur de secret (« id »).It merely accepts the data, encrypts it, stores it, and returns a secret identifier ("id"). L’identificateur peut être utilisé pour récupérer le secret ultérieurement.The identifier can be used to retrieve the secret at a later time.

Pour les données extrêmement sensibles, les clients doivent envisager des couches supplémentaires de protection des données.For highly sensitive data, clients should consider additional layers of protection for data. Un exemple serait de chiffrer les données à l’aide d’une clé de protection distincte avant le stockage dans Key Vault.Encrypting data using a separate protection key prior to storage in Key Vault is one example.

Key Vault prend également en charge un champ contentType pour les secrets.Key Vault also supports a contentType field for secrets. Les clients peuvent spécifier le type de contenu d’un secret pour simplifier l’interprétation des données du secret lors de leur récupération.Clients may specify the content type of a secret to assist in interpreting the secret data when it's retrieved. La longueur maximale de ce champ est de 255 caractères.The maximum length of this field is 255 characters. Il n’existe aucune valeur prédéfinie.There are no pre-defined values. L’utilisation suggérée est donnée à titre de conseil pour interpréter les données du secret.The suggested usage is as a hint for interpreting the secret data. Par exemple, une implémentation peut stocker des mots de passe et des certificats en tant que secret. Ensuite, utilisez ce champ pour les différencier.For instance, an implementation may store both passwords and certificates as secrets, then use this field to differentiate. Il n’existe aucune valeur prédéfinie.There are no predefined values.

Attributs de secretSecret attributes

Les attributs suivants peuvent être spécifiés en plus des données du secret :In addition to the secret data, the following attributes may be specified:

  • exp : IntDate, facultatif, la valeur par défaut est forever.exp: IntDate, optional, default is forever. L’attribut exp (heure d’expiration) identifie l’heure d’expiration à ou après laquelle les données du secret NE DOIVENT PAS être récupérées, sauf dans des conditions particulières.The exp (expiration time) attribute identifies the expiration time on or after which the secret data SHOULD NOT be retrieved, except in particular situations. Ce champ n’est fourni qu’à titre d’information, il informe uniquement les utilisateurs du service de coffre de clés qu’un secret particulier ne peut pas être utilisé.This field is for informational purposes only as it informs users of key vault service that a particular secret may not be used. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.
  • nbf : IntDate, facultatif, la valeur par défaut est now.nbf: IntDate, optional, default is now. L’attribut nbf (pas avant) identifie l’heure avant laquelle les données du secret NE DOIVENT PAS être récupérées, sauf dans des conditions particulières.The nbf (not before) attribute identifies the time before which the secret data SHOULD NOT be retrieved, except in particular situations. Ce champ est fourni à titre d’information uniquement.This field is for informational purposes only. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.
  • enabled : booléen, facultatif, true par défaut.enabled: boolean, optional, default is true. Cet attribut spécifie si les données du secret peuvent être récupérées.This attribute specifies whether the secret data can be retrieved. L’attribut enabled est utilisé avec nbf et nbf lorsqu’une opération se produit entre nbf et exp, elle ne sera autorisée que si enabled est défini sur true.The enabled attribute is used in conjunction with nbf and exp when an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Les opérations en dehors de la fenêtre nbf et exp sont automatiquement interdites, sauf dans des conditions particulières.Operations outside the nbf and exp window are automatically disallowed, except in particular situations.

Des attributs supplémentaires en lecture seule sont inclus dans toute réponse contenant des attributs de secret :There are additional read-only attributes that are included in any response that includes secret attributes:

  • created : IntDate, facultatif.created: IntDate, optional. L’attribut created indique quand cette version du secret a été créée.The created attribute indicates when this version of the secret was created. Cette valeur est null pour les secrets créés avant l’ajout de cet attribut.This value is null for secrets created prior to the addition of this attribute. Sa valeur doit être un nombre contenant une valeur IntDate.Its value must be a number containing an IntDate value.
  • updated : IntDate, facultatif.updated: IntDate, optional. L’attribut updated indique quand cette version du secret a été mise à jour.The updated attribute indicates when this version of the secret was updated. Cette valeur est null pour les secrets qui ont été mis à jour pour la dernière fois avant l’ajout de cet attribut.This value is null for secrets that were last updated prior to the addition of this attribute. Sa valeur doit être un nombre contenant une valeur IntDate.Its value must be a number containing an IntDate value.

Opérations contrôlées par date/heureDate-time controlled operations

L’opération get d’un secret s’appliquera aux secrets pas encore valides ou ayant expiré, en dehors de la fenêtre nbf / exp.A secret's get operation will work for not-yet-valid and expired secrets, outside the nbf / exp window. L’appel de l’opération get d’un secret, pour un secret pas encore valide, peut être utilisé à des fins de test.Calling a secret's get operation, for a not-yet-valid secret, can be used for test purposes. La récupération (opération getting) d’un secret expiré peut être utilisée pour des opérations de récupération.Retrieving (getting) an expired secret, can be used for recovery operations.

Pour plus d’informations sur les types de données, consultez Types de données.For more information on data types, see Data types.

Contrôle d’accès aux secretsSecret access control

Le contrôle d’accès pour les secrets géré dans Key Vault est fourni au niveau du coffre de clés qui contient ces secrets.Access Control for secrets managed in Key Vault, is provided at the level of the Key Vault that contains those secrets. La stratégie de contrôle d’accès pour les secrets est différente de la stratégie de contrôle d’accès pour les clés dans un même coffre de clés.The access control policy for secrets, is distinct from the access control policy for keys in the same Key Vault. Les utilisateurs peuvent créer un ou plusieurs coffres pour stocker les secrets et doivent maintenir une segmentation et une gestion des secrets appropriées au scénario.Users may create one or more vaults to hold secrets, and are required to maintain scenario appropriate segmentation and management of secrets.

Les autorisations suivantes peuvent être utilisées, par principal, dans l’entrée de contrôle d’accès aux secrets sur un coffre, et reflètent précisément les opérations autorisées sur un objet secret :The following permissions can be used, on a per-principal basis, in the secrets access control entry on a vault, and closely mirror the operations allowed on a secret object:

  • Autorisations pour les opérations de gestion de secretsPermissions for secret management operations

    • get : lire un secretget: Read a secret
    • list : lister les secrets ou les versions d’un secret stockés dans un coffre de cléslist: List the secrets or versions of a secret stored in a Key Vault
    • set : Créer un secretset: Create a secret
    • delete : supprimer un secretdelete: Delete a secret
    • recover : récupérer un secret supprimérecover: Recover a deleted secret
    • backup : sauvegarder un secret dans un coffre de clésbackup: Back up a secret in a key vault
    • restore : restaurer un secret sauvegardé sur un coffre de clésrestore: Restore a backed up secret to a key vault
  • Autorisations pour les opérations privilégiéesPermissions for privileged operations

    • purge : effacer (supprimer définitivement) un secret supprimépurge: Purge (permanently delete) a deleted secret

Pour plus d’informations sur l’utilisation des secrets, voir Informations de référence sur les opérations liées aux secrets dans l’API REST Key Vault.For more information on working with secrets, see Secret operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Balises de secretSecret tags

Vous pouvez spécifier des métadonnées spécifiques à l’application supplémentaires sous la forme de balises.You can specify additional application-specific metadata in the form of tags. Key Vault prend en charge jusqu’à 15 balises, chacune d’entre elles pouvant avoir un nom de 256 caractères et une valeur de 256 caractères.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Notes

Les balises peuvent être lues par un appelant s’il dispose de l’autorisation list ou get sur ce type d’objet (clés, secrets ou certificats).Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Certificats Key VaultKey Vault Certificates

La prise en charge des certificats Key Vault permet de gérer vos certificats x509 et les comportements suivants :Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Permet à un propriétaire de certificat de créer un certificat via un processus de création de Key Vault ou l’importation d’un certificat existant.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Concerne à la fois les certificats auto-signés et ceux générés par une autorité de certification.Includes both self-signed and Certificate Authority generated certificates.
  • Permet à un propriétaire de certificat Key Vault d’implémenter le stockage sécurisé et la gestion des certificats X509 sans interaction avec des éléments de clé privée.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Permet à un propriétaire de certificat de créer une stratégie qui ordonne à Key Vault de gérer le cycle de vie d’un certificat.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Permet aux propriétaires de certificat de fournir des informations de contact pour les notifications concernant des événements d’expiration du cycle de vie et le renouvellement de certificat.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Prend en charge le renouvellement automatique avec des émetteurs sélectionnés : fournisseurs de certificats X509 de partenaire Key Vault/autorités de certification.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Notes

Les fournisseurs/autorités non partenaires sont également autorisés, mais ils ne prendront pas en charge la fonctionnalité de renouvellement automatique.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Composition d’un certificatComposition of a Certificate

Lorsqu’un certificat Key Vault est créé, une clé et un secret adressables sont également créés avec le même nom.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. La clé Key Vault permet d’exécuter des opérations sur les clés et le secret Key Vault permet de récupérer la valeur du certificat en tant que secret.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Un certificat Key Vault contient également des métadonnées de certificat x509 publiques.A Key Vault certificate also contains public x509 certificate metadata.

L’identificateur et la version de certificats sont similaires à ceux de clés et de secrets.The identifier and version of certificates is similar to that of keys and secrets. Une version spécifique d’une clé et d’un secret adressables créés avec la version du certificat Key Vault est disponible dans la réponse de certificat Key Vault.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Les certificats sont des objets complexes

Clé exportable ou non exportableExportable or Non-exportable key

Lorsqu’un certificat Key Vault est créé, il peut être récupéré dans le secret adressable avec la clé privée au format PFX ou PEM.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. La stratégie utilisée pour créer le certificat doit indiquer que la clé est exportable.The policy used to create the certificate must indicate that the key is exportable. Si la stratégie indique qu’elle n’est pas exportable, la clé privée ne fait pas partie de la valeur quand elle est récupérée en tant que secret.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

La clé adressable est plus pertinente avec des certificats KV non exportables.The addressable key becomes more relevant with non-exportable KV certificates. Les opérations de la clé KV adressable sont mappées à partir du champ keyusage de la stratégie de certificat KV utilisée pour créer le certificat KV.The addressable KV key’s operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

Deux types de clés sont pris en charge, RSA ou RSA HSM, avec les certificats.Two types of key are supported – RSA or RSA HSM with certificates. Exportable est autorisé avec RSA uniquement, il n’est pas pris en charge par RSA HSM.Exportable is only allowed with RSA, not supported by RSA HSM.

Attributs et balises de certificatCertificate Attributes and Tags

En plus des métadonnées de certificat, une clé adressable, un secret adressable et un certificat Key Vault contiennent également des attributs et des balises.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

AttributsAttributes

Les attributs de certificat sont reproduits dans des attributs de la clé et du secret adressables créés lors de la création du certificat KV.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Un certificat Key Vault comprend les attributs suivants :A Key Vault certificate has the following attributes:

  • enabled : booléen, facultatif, true par défaut.enabled: boolean, optional, default is true. Peut être spécifié pour indiquer si les données du certificat peuvent être récupérées en tant que secret ou utilisables en tant que clé.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Également utilisé avec nbf et exp. Quand une opération se produit entre nbf et exp, elle est autorisée seulement si enabled a la valeur true.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp, and will only be permitted if enabled is set to true. Les opérations en dehors de la fenêtre nbf et exp sont automatiquement interdites.Operations outside the nbf and exp window are automatically disallowed.

Des attributs supplémentaires en lecture seule sont inclus dans la réponse :There are additional read-only attributes that are included in response:

  • created : IntDate, indique quand cette version du certificat a été créée.created: IntDate: indicates when this version of the certificate was created.
  • updated : IntDate, indique quand cette version du certificat a été mise à jour.updated: IntDate: indicates when this version of the certificate was updated.
  • exp : IntDate, contient la valeur de la date d’expiration du certificat X.509.exp: IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf : IntDate, contient la valeur de la date du certificat X.509.nbf: IntDate: contains the value of the date of the x509 certificate.

Notes

Si un certificat Key Vault expire, sa clé et son secret adressables ne sont plus utilisables.If a Key Vault certificate expires, it’s addressable key and secret become inoperable.

BalisesTags

Dictionnaire de paires clé/valeur spécifié par le client, similaire aux balises dans les clés et les secrets.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Notes

Les balises peuvent être lues par un appelant s’il dispose de l’autorisation list ou get sur ce type d’objet (clés, secrets ou certificats).Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Stratégie de certificatCertificate policy

Une stratégie de certificat contient des informations sur la création et la gestion du cycle de vie d’un certificat Key Vault.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. Lorsqu’un certificat avec une clé privée est importé dans le coffre de clés, une stratégie par défaut est créée en lisant le certificat x509.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

Quand un certificat Key Vault est créé de zéro, une stratégie doit être fournie.When a Key Vault certificate is created from scratch, a policy needs to be supplied. La stratégie spécifie comment créer cette version du certificat Key Vault ou la prochaine version.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. Lorsqu’une stratégie a été définie, des opérations de création successives ne sont pas nécessaires pour les prochaines versions.Once a policy has been established, it isn't required with successive create operations for future versions. Il n’existe qu’une seule instance d’une stratégie pour toutes les versions d’un certificat Key Vault.There's only one instance of a policy for all the versions of a Key Vault certificate.

Globalement, une stratégie de certificat contient les informations suivantes :At a high level, a certificate policy contains the following information:

  • Propriétés du certificat X.509 : contient le nom du sujet, les autres noms du sujet et d’autres propriétés utilisées pour créer une demande de certificat X.509.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Propriétés des clés : contient les champs type de clé, longueur de clé, exportable et réutiliser la clé.Key Properties: contains key type, key length, exportable, and reuse key fields. Ces champs indiquent au coffre de clés comment générer une clé.These fields instruct key vault on how to generate a key.

  • Propriétés du secret : propriétés du secret comme le type de contenu de secret adressable pour générer la valeur du secret, pour récupérer le certificat en tant que secret.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Actions de la durée de vie : actions de la durée de vie du certificat KV.Lifetime Actions: contains lifetime actions for the KV Certificate. Chaque action de la durée de vie contient :Each lifetime action contains:

    • Déclencheur : spécifié en jours avant l’expiration ou en pourcentage de la durée de vieTrigger: specified via days before expiry or lifetime span percentage

    • Action : spécifie le type d’action, emailContacts ou autoRenewAction: specifying action type – emailContacts or autoRenew

  • Émetteur : paramètres relatifs à l’émetteur de certificat à utiliser pour émettre des certificats X.509.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Attributs de stratégie : attributs liés à la stratégiePolicy Attributes: contains attributes associated with the policy

Mappage d’utilisation de clé X509 avec Key VaultX509 to Key Vault usage mapping

Le tableau suivant représente le mappage de la stratégie d’utilisation de la clé x509 avec des opérations sur les clés effectives d’une clé créée lors de la création d’un certificat Key Vault.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

Indicateurs d’utilisation de la clé X509X509 Key Usage flags Opérations sur la clé Key VaultKey Vault key ops Comportement par défautDefault behavior
DataEnciphermentDataEncipherment encrypt, decryptencrypt, decrypt N/AN/A
DecipherOnlyDecipherOnly decryptdecrypt N/AN/A
DigitalSignatureDigitalSignature sign, verifysign, verify Valeur par défaut de Key Vault sans spécification de l’utilisation au moment de la création du certificatKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt N/AN/A
KeyCertSignKeyCertSign sign, verifysign, verify N/AN/A
KeyEnciphermentKeyEncipherment wrapKey, unwrapKeywrapKey, unwrapKey Valeur par défaut de Key Vault sans spécification de l’utilisation au moment de la création du certificatKey Vault default without a usage specification at certificate creation time
NonRepudiationNonRepudiation sign, verifysign, verify N/AN/A
crlsigncrlsign sign, verifysign, verify N/AN/A

Émetteur de certificatCertificate Issuer

Un objet certificat Key Vault conserve une configuration utilisée pour communiquer avec un fournisseur de l’émetteur de certificat sélectionné pour demander des certificats x509.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Partenaires Key Vault avec les fournisseurs de l’émetteur de certificat suivants pour les certificats SSLKey Vault partners with following certificate issuer providers for SSL certificates
Nom du fournisseurProvider Name EmplacementsLocations
DigiCertDigiCert Pris en charge dans tous les emplacements de service de coffre de clés dans le cloud public et Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government
GlobalSignGlobalSign Pris en charge dans tous les emplacements de service de coffre de clés dans le cloud public et Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government

Avant de pouvoir créer un émetteur de certificat dans un coffre de clés, les étapes préliminaires 1 et 2 suivantes doivent être exécutées.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. Intégrer aux fournisseurs d’autorités de certificationOnboard to Certificate Authority (CA) Providers

    • Un administrateur de l’organisation doit intégrer sa société (par ex.An organization administrator must on-board their company (ex. Contoso) à au moins un fournisseur d’autorité de certification.Contoso) with at least one CA provider.
  2. L’administrateur crée des informations d’identification du demandeur pour Key Vault afin d’inscrire (et de renouveler) des certificats SSLAdmin creates requester credentials for Key Vault to enroll (and renew) SSL certificates

    • Fournit la configuration à utiliser pour créer un objet émetteur du fournisseur dans le coffre de clésProvides the configuration to be used to create an issuer object of the provider in the key vault

Pour plus d’informations sur la création d’objets Émetteur à partir du portail Certificats, consultez le blog de certificats Key VaultFor more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

Key Vault permet de créer plusieurs objets émetteurs avec une configuration de fournisseur de l’émetteur différente.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. Lorsqu’un objet émetteur est créé, son nom peut être référencé dans une ou plusieurs stratégies de certificat.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Le référencement de l’objet émetteur indique à Key Vault d’utiliser la configuration telle que spécifiée dans l’objet émetteur lors de la demande du certificat x509 à partir du fournisseur d’autorité de certification lors de la création ou du renouvellement du certificat.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Les objets émetteur sont créés dans le coffre et ne peuvent être utilisés qu’avec des certificats KV dans le même coffre.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

Contacts du certificatCertificate contacts

Les contacts du certificat contiennent des informations de contact pour l’envoi de notifications déclenchées par des événements de durée de vie de certificat.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. Les informations de contact sont partagées par tous les certificats dans le coffre de clés.The contacts information is shared by all the certificates in the key vault. Une notification est envoyée à tous les contacts spécifiés pour un événement pour n’importe quel certificat dans le coffre de clés.A notification is sent to all the specified contacts for an event for any certificate in the key vault.

Si la stratégie d’un certificat est définie sur le renouvellement automatique, une notification est alors envoyée pour les événements suivants.If a certificate's policy is set to auto renewal, then a notification is sent on the following events.

  • Avant le renouvellement du certificatBefore certificate renewal

  • Après le renouvellement du certificat, indiquant si le certificat a été renouvelé, ou si une erreur s’est produite, nécessitant un renouvellement manuel du certificat.After certificate renewal, stating if the certificate was successfully renewed, or if there was an error, requiring manual renewal of the certificate.

    Quand la stratégie d’un certificat est définie pour un renouvellement manuel (e-mail uniquement), une notification est envoyée lorsqu’il est temps de renouveler le certificat.When a certificate policy that is set to be manually renewed (email only), a notification is sent when it’s time to renew the certificate.

Contrôle d’accès aux certificatsCertificate Access Control

Le contrôle d’accès pour les certificats est géré par Key Vault et fourni par le coffre de clés qui contient ces certificats.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. La stratégie de contrôle d’accès pour les certificats est différente des stratégies de contrôle d’accès pour les clés et les secrets dans un même coffre de clés.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Les utilisateurs peuvent créer un ou plusieurs coffres pour stocker les certificats afin de maintenir une segmentation et une gestion des certificats appropriées au scénario.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates.

Les autorisations suivantes peuvent être utilisées, par principal, dans l’entrée de contrôle d’accès aux secrets sur un coffre de clés, et reflètent précisément les opérations autorisées sur un objet secret :The following permissions can be used, on a per-principal basis, in the secrets access control entry on a key vault, and closely mirrors the operations allowed on a secret object:

  • Autorisations pour les opérations de gestion des certificatsPermissions for certificate management operations

    • get : obtenir la version actuelle ou n’importe quelle version d’un certificatget: Get the current certificate version, or any version of a certificate
    • list : lister les certificats actuels ou les versions d’un certificatlist: List the current certificates, or versions of a certificate
    • update : mettre à jour un certificatupdate: Update a certificate
    • create : créer un certificat Key Vaultcreate: Create a Key Vault certificate
    • import : importer les éléments d’un certificat dans un certificat Key Vaultimport: Import certificate material into a Key Vault certificate
    • delete : supprimer un certificat, sa stratégie et toutes ses versionsdelete: Delete a certificate, its policy, and all of its versions
    • recover : récupérer un certificat supprimérecover: Recover a deleted certificate
    • backup : sauvegarder un certificat dans un coffre de clésbackup: Back up a certificate in a key vault
    • restore : restaurer un certificat sauvegardé sur un coffre de clésrestore: Restore a backed-up certificate to a key vault
    • managecontacts : gérer les contacts du certificat Key Vaultmanagecontacts: Manage Key Vault certificate contacts
    • manageissuers : gérer les autorités/émetteurs du certificat Key Vaultmanageissuers: Manage Key Vault certificate authorities/issuers
    • getissuers : obtenir les autorités/émetteurs d’un certificatgetissuers: Get a certificate's authorities/issuers
    • listissuers : lister les autorités/émetteurs d’un certificatlistissuers: List a certificate's authorities/issuers
    • setissuers : créer ou mettre à jour les autorités/émetteurs d’un certificat Key Vaultsetissuers: Create or update a Key Vault certificate's authorities/issuers
    • deleteissuers : supprimer les autorités/émetteurs d’un certificat Key Vaultdeleteissuers: Delete a Key Vault certificate's authorities/issuers
  • Autorisations pour les opérations privilégiéesPermissions for privileged operations

    • purge : effacer (supprimer définitivement) un certificat supprimépurge: Purge (permanently delete) a deleted certificate

Pour plus d’informations, voir Informations de référence sur les opérations liées aux certificats dans l’API REST Key Vault.For more information, see the Certificate operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Gestion des clés de compte de stockage AzureAzure Storage account key management

Key Vault peut gérer les clés de compte de stockage Azure :Key Vault can manage Azure storage account keys:

  • En interne, Key Vault peut lister (synchroniser) les clés avec un compte de stockage Azure.Internally, Key Vault can list (sync) keys with an Azure storage account.
  • Key Vault regénère (fait tourner) les clés régulièrement.Key Vault regenerates (rotates) the keys periodically.
  • Les valeurs de clés ne sont jamais retournées en réponse à l’appelant.Key values are never returned in response to caller.
  • Key Vault gère les clés des comptes de stockage et des comptes de stockage classiques.Key Vault manages keys of both storage accounts and classic storage accounts.

Pour plus d’informations, consultez Clés de compte de stockage Azure Key Vault.For more information, see Azure Key Vault Storage Account Keys

Contrôle d’accès aux comptes de stockageStorage account access control

Vous pouvez utiliser les autorisations suivantes quand vous autorisez un utilisateur ou un principal d’application à effectuer des opérations sur un compte de stockage géré :The following permissions can be used when authorizing a user or application principal to perform operations on a managed storage account:

  • Autorisations pour les opérations de définition SAS et de compte de stockage géréPermissions for managed storage account and SaS-definition operations

    • get : obtenir des informations sur un compte de stockageget: Gets information about a storage account
    • list : lister les comptes de stockage gérés par un coffre de cléslist: List storage accounts managed by a Key Vault
    • update : mettre à jour un compte de stockageupdate: Update a storage account
    • delete : Suppression d'un compte de stockagedelete: Delete a storage account
    • recover : récupérer un compte de stockage supprimérecover: Recover a deleted storage account
    • backup : sauvegarder un compte de stockagebackup: Back up a storage account
    • restore : restaurer un compte de stockage sauvegardé sur un coffre de clésrestore: Restore a backed-up storage account to a Key Vault
    • set : créer ou mettre à jour un compte de stockageset: Create or update a storage account
    • regeneratekey : regénérer une valeur de clé spécifiée pour un compte de stockageregeneratekey: Regenerate a specified key value for a storage account
    • getsas : obtenir des informations sur une définition SAS pour un compte de stockagegetsas: Get information about a SAS definition for a storage account
    • listsas : lister les définitions SAS de stockage d’un compte de stockagelistsas: List storage SAS definitions for a storage account
    • deletesas : supprimer une définition SAS d’un compte de stockagedeletesas: Delete a SAS definition from a storage account
    • setsas : créer ou mettre à jour une définition/des attributs SAS pour un compte de stockagesetsas: Create or update a new SAS definition/attributes for a storage account
  • Autorisations pour les opérations privilégiéesPermissions for privileged operations

    • purge : effacer (supprimer définitivement) un compte de stockage gérépurge: Purge (permanently delete) a managed storage account

Pour plus d’informations, consultez Informations de référence sur les opérations de compte de stockage dans l’API REST Key Vault.For more information, see the Storage account operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Voir aussiSee Also