Vue d’ensemble des clés, secrets et certificats Azure Key VaultAzure Key Vault keys, secrets and certificates overview

Azure Key Vault permet aux applications Microsoft Azure et à leurs utilisateurs de stocker et d’utiliser plusieurs types de données de secret/clé.Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data. Le fournisseur de ressources Key Vault prend en charge deux types de ressources : les coffres et les HSM managés.Key Vault resource provider supports two resource types: vaults and managed HSMs.

Suffixes DNS pour l’URL de baseDNS suffixes for base URL

Le tableau ci-dessous indique le suffixe DNS utilisé dans l’URL de base du point de terminaison de plan de données pour les coffres et les pools de HSM managés dans différents environnements cloud.The table below shows the base URL DNS suffix used by the data-plane endpoint for vaults and managed HSM pools in various cloud environments.

Environnement cloudCloud environment Suffixe DNS pour les coffresDNS suffix for vaults Suffixe DNS pour les HSM managésDNS suffix for managed HSMs
Cloud AzureAzure Cloud .vault.azure.net.vault.azure.net .managedhsm.azure.net.managedhsm.azure.net
Cloud Azure ChineAzure China Cloud .vault.azure.cn.vault.azure.cn Non pris en chargeNot supported
Azure US GovernmentAzure US Government .vault.usgovcloudapi.net.vault.usgovcloudapi.net Non pris en chargeNot supported
Cloud Azure – AllemagneAzure German Cloud .vault.microsoftazure.de.vault.microsoftazure.de Non pris en chargeNot supported

Types d’objetsObject types

Le tableau ci-dessous présente les types d’objets et leurs suffixes utilisés dans l’URL de base.The table below shows object types and their suffixes in the base URL.

Type d'objetObject type Suffixe d'URLURL Suffix CoffresVaults Pools de HSM managésManaged HSM Pools
Clés de chiffrementCryptographic keys
Clés protégées par HSMHSM-protected keys /keys/keys Prise en chargeSupported Prise en chargeSupported
Clés protégées par logicielSoftware-protected keys /keys/keys Prise en chargeSupported Non pris en chargeNot supported
Autres types d’objetsOther object types
SecretsSecrets /secrets/secrets Prise en chargeSupported Non pris en chargeNot supported
CertificatsCertificates /certificates/certificates Prise en chargeSupported Non pris en chargeNot supported
Clés de compte de stockageStorage account keys /storageaccount/storageaccount Prise en chargeSupported Non pris en chargeNot supported
  • Clés de chiffrement : Prend en charge plusieurs algorithmes et types de clés, et permet l’utilisation de clés protégées par logiciel et par HSM.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of software-protected and HSM-protected keys. Pour plus d’informations sur les clés, consultez À propos des clés.For more information, see About keys.
  • Secrets : Fournit un stockage sécurisé des secrets, comme les mots de passe et les chaînes de connexion de base de données.Secrets: Provides secure storage of secrets, such as passwords and database connection strings. Pour plus d’informations, consultez À propos des secrets.For more information, see About secrets.
  • Certificats : Prend en charge les certificats, qui sont basés sur des clés et des secrets, et ajoute une fonctionnalité de renouvellement automatique.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. Pour plus d’informations, consultez À propos des certificats.For more information, see About certificates.
  • Clés de compte Stockage Azure : Peut gérer pour vous les clés d’un compte Stockage Azure.Azure Storage account keys: Can manage keys of an Azure Storage account for you. En interne, Key Vault peut lister (synchroniser) les clés avec un compte Stockage Azure et regénérer (faire tourner) régulièrement les clés.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. Pour plus d’informations, consultez Gérer les clés de compte de stockage avec Key Vault.For more information, see Manage storage account keys with Key Vault.

Pour plus d’informations générales sur Key Vault, consultez À propos d’Azure Key Vault.For more general information about Key Vault, see About Azure Key Vault. Pour plus d’informations sur les pools de HSM managés, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?For more information about Managed HSM pools, see What is Azure Key Vault Managed HSM?

Types de donnéesData types

Reportez-vous aux spécifications JOSE pour les types de données appropriés pour les clés, le chiffrement et la signature.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorithm : algorithme pris en charge pour une opération sur les clés, RSA1_5 par exemplealgorithm - a supported algorithm for a key operation, for example, RSA1_5
  • ciphertext-value : octets de texte de chiffrement, codés avec Base64URLciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value : sortie d’un algorithme de hachage, codée avec Base64URLdigest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type : un des types de clés pris en charge, par exemple RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • plaintext-value : octets de texte en clair, codés avec Base64URLplaintext-value - plaintext octets, encoded using Base64URL
  • signature-value : sortie d’un algorithme de signature, codée avec Base64URLsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL : valeur binaire codée Base64URL [RFC4648]base64URL - a Base64URL [RFC4648] encoded binary value
  • boolean : true (vrai) ou false (faux)boolean - either true or false
  • Identity : identité d’Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate : valeur décimale JSON représentant le nombre de secondes entre 1970-01-01T0:0:0Z UTC et la date/heure UTC spécifiée.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Consultez la RFC3339 pour plus d’informations sur les dates/heures en général, et sur UTC en particulier.See RFC3339 for details regarding date/times, in general and UTC in particular.

Objets, identificateurs et gestion de versionsObjects, identifiers, and versioning

Les objets stockés dans Key Vault sont versionnés chaque fois qu’une nouvelle instance d’un objet est créée.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Chaque version se voit assigner un identificateur unique et une URL.Each version is assigned a unique identifier and URL. Quand un objet est créé, il se voit attribuer un identificateur de version unique et est marqué comme version actuelle de l’objet.When an object is first created, it's given a unique version identifier and marked as the current version of the object. La création d’une nouvelle instance portant le même nom d’objet attribue au nouvel objet un identificateur de version unique, ce qui en fait la version actuelle.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Les objets dans Key Vault peuvent être adressés en spécifiant une version ou en omettant la version pour les opérations sur la version actuelle de l’objet.Objects in Key Vault can be addressed by specifying a version or by omitting version for operations on current version of the object. Par exemple, pour une clé nommée MasterKey, l’exécution d’opérations sans préciser de version amène le système à utiliser la dernière version disponible.For example, given a Key with the name MasterKey, performing operations without specifying a version causes the system to use the latest available version. L’exécution d’opérations avec l’identificateur spécifique à la version amène le système à utiliser cette version spécifique de l’objet.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Nom de coffre et nom d’objetVault-name and Object-name

Les objets sont identifiés de façon unique dans Key Vault avec une URL.Objects are uniquely identified within Key Vault using a URL. Il n’y a pas deux objets avec la même URL dans le système, quel que soit l’emplacement géographique.No two objects in the system have the same URL, regardless of geo-location. L’URL complète d’un objet est appelée identificateur d’objet.The complete URL to an object is called the Object Identifier. L’URL est constituée d’un préfixe qui identifie le coffre de clés, du type d’objet, du nom d’objet fourni par l’utilisateur et d’une version d’objet.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Le nom d’objet n’est pas sensible à la casse et est non modifiable.The Object Name is case-insensitive and immutable. Les identificateurs qui n’incluent pas la version d’objet sont appelés des identificateurs de base.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Pour plus d’informations, consultez Authentification, requêtes et réponsesFor more information, see Authentication, requests, and responses

Un identificateur d’objet a le format général suivant (selon le type de conteneur) :An object identifier has the following general format (depending on container type):

  • Pour les coffres : https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}For Vaults: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Pour les pools Managed HSM : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}For Managed HSM pools: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Nota

Pour connaître les types d’objets pris en charge par chaque type de conteneur, consultez Types d’objets.See Object type support for types of objects supported by each container type.

Où :Where:

ÉlémentElement DescriptionDescription
vault-name ou hsm-namevault-name or hsm-name Nom d’un coffre ou d’un pool Managed HSM dans le service Microsoft Azure Key Vault.The name for a vault or an Managed HSM pool in the Microsoft Azure Key Vault service.

Les noms de coffre et de pool Managed HSM sont choisis par l’utilisateur et sont globalement uniques.Vault names and Managed HSM pool names are selected by the user and are globally unique.

Le nom d’un coffre ou d’un pool Managed HSM doit être une chaîne de 3 à 24 caractères, qui peut contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).Vault name and Managed HSM pool name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Type de l’objet : « keys », « secrets » ou « certificates ».The type of the object, "keys", "secrets", or 'certificates'.
object-name Un object-name est un nom fourni par l’utilisateur et doit être unique dans un coffre de clés.An object-name is a user provided name for and must be unique within a Key Vault. Le nom doit être une chaîne comprise entre 1 et 127 caractères, commençant par une lettre et qui doit contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version Un object-version est un identificateur de chaîne de 32 caractères généré par le système qui peut être utilisé pour une version unique d’un objet.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Étapes suivantesNext steps