À propos des secrets Azure Key VaultAbout Azure Key Vault secrets

Key Vault offre un stockage sécurisé des secrets, tels que les mots de passe et les chaînes de connexion de base de données.Key Vault provides secure storage of secrets, such as passwords and database connection strings.

Pour les développeurs, les API Key Vault acceptent et retournent des valeurs de secret sous forme de chaînes.From a developer's perspective, Key Vault APIs accept and return secret values as strings. En interne, Key Vault stocke et gère les secrets par séquence d’octets (8 bits), avec une taille maximale de 25 Ko chacune.Internally, Key Vault stores and manages secrets as sequences of octets (8-bit bytes), with a maximum size of 25k bytes each. Le service Key Vault ne fournit pas la sémantique pour les secrets.The Key Vault service doesn't provide semantics for secrets. Il accepte simplement les données, les chiffre, les stocke et retourne un identificateur de secret (« id »).It merely accepts the data, encrypts it, stores it, and returns a secret identifier ("id"). L’identificateur peut être utilisé pour récupérer le secret ultérieurement.The identifier can be used to retrieve the secret at a later time.

Pour les données extrêmement sensibles, les clients doivent envisager des couches supplémentaires de protection des données.For highly sensitive data, clients should consider additional layers of protection for data. Un exemple serait de chiffrer les données à l’aide d’une clé de protection distincte avant le stockage dans Key Vault.Encrypting data using a separate protection key prior to storage in Key Vault is one example.

Key Vault prend également en charge un champ contentType pour les secrets.Key Vault also supports a contentType field for secrets. Les clients peuvent spécifier le type de contenu d’un secret pour simplifier l’interprétation des données du secret lors de leur récupération.Clients may specify the content type of a secret to assist in interpreting the secret data when it's retrieved. La longueur maximale de ce champ est de 255 caractères.The maximum length of this field is 255 characters. Il n’existe aucune valeur prédéfinie.There are no pre-defined values. L’utilisation suggérée est donnée à titre de conseil pour interpréter les données du secret.The suggested usage is as a hint for interpreting the secret data. Par exemple, une implémentation peut stocker des mots de passe et des certificats en tant que secret. Ensuite, utilisez ce champ pour les différencier.For instance, an implementation may store both passwords and certificates as secrets, then use this field to differentiate. Il n’existe aucune valeur prédéfinie.There are no predefined values.

ChiffrementEncryption

Tous les secrets de votre Key Vault sont stockés sous forme chiffrée.All secrets in your Key Vault are stored encrypted. Ce chiffrement est transparent et ne nécessite aucune action de la part de l’utilisateur.This encryption is transparent, and requires no action from the user. Le service Azure Key Vault chiffre vos secrets lorsque vous les ajoutez et les déchiffre automatiquement quand vous les lisez.The Azure Key Vault service encrypts your secrets when you add them, and decrypts them automatically when you read them. La clé de chiffrement est propre à chaque coffre de clés.The encryption key is unique to each key vault.

Attributs de secretSecret attributes

Les attributs suivants peuvent être spécifiés en plus des données du secret :In addition to the secret data, the following attributes may be specified:

  • exp : IntDate, facultatif, la valeur par défaut est forever.exp: IntDate, optional, default is forever. L’attribut exp (heure d’expiration) identifie l’heure d’expiration à ou après laquelle les données du secret NE DOIVENT PAS être récupérées, sauf dans des conditions particulières.The exp (expiration time) attribute identifies the expiration time on or after which the secret data SHOULD NOT be retrieved, except in particular situations. Ce champ n’est fourni qu’à titre d’information, il informe uniquement les utilisateurs du service de coffre de clés qu’un secret particulier ne peut pas être utilisé.This field is for informational purposes only as it informs users of key vault service that a particular secret may not be used. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.
  • nbf : IntDate, facultatif, la valeur par défaut est now.nbf: IntDate, optional, default is now. L’attribut nbf (pas avant) identifie l’heure avant laquelle les données du secret NE DOIVENT PAS être récupérées, sauf dans des conditions particulières.The nbf (not before) attribute identifies the time before which the secret data SHOULD NOT be retrieved, except in particular situations. Ce champ est fourni à titre d’information uniquement.This field is for informational purposes only. Sa valeur DOIT être un nombre contenant une valeur IntDate.Its value MUST be a number containing an IntDate value.
  • enabled : booléen, facultatif, true par défaut.enabled: boolean, optional, default is true. Cet attribut spécifie si les données du secret peuvent être récupérées.This attribute specifies whether the secret data can be retrieved. L’attribut enabled est utilisé avec nbf et nbf lorsqu’une opération se produit entre nbf et exp, elle ne sera autorisée que si enabled est défini sur true.The enabled attribute is used in conjunction with nbf and exp when an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Les opérations en dehors de la fenêtre nbf et exp sont automatiquement interdites, sauf dans des conditions particulières.Operations outside the nbf and exp window are automatically disallowed, except in particular situations.

Des attributs supplémentaires en lecture seule sont inclus dans toute réponse contenant des attributs de secret :There are additional read-only attributes that are included in any response that includes secret attributes:

  • created : IntDate, facultatif.created: IntDate, optional. L’attribut created indique quand cette version du secret a été créée.The created attribute indicates when this version of the secret was created. Cette valeur est null pour les secrets créés avant l’ajout de cet attribut.This value is null for secrets created prior to the addition of this attribute. Sa valeur doit être un nombre contenant une valeur IntDate.Its value must be a number containing an IntDate value.
  • updated : IntDate, facultatif.updated: IntDate, optional. L’attribut updated indique quand cette version du secret a été mise à jour.The updated attribute indicates when this version of the secret was updated. Cette valeur est null pour les secrets qui ont été mis à jour pour la dernière fois avant l’ajout de cet attribut.This value is null for secrets that were last updated prior to the addition of this attribute. Sa valeur doit être un nombre contenant une valeur IntDate.Its value must be a number containing an IntDate value.

Opérations contrôlées par date/heureDate-time controlled operations

L’opération get d’un secret s’appliquera aux secrets pas encore valides ou ayant expiré, en dehors de la fenêtre nbf / exp.A secret's get operation will work for not-yet-valid and expired secrets, outside the nbf / exp window. L’appel de l’opération get d’un secret, pour un secret pas encore valide, peut être utilisé à des fins de test.Calling a secret's get operation, for a not-yet-valid secret, can be used for test purposes. La récupération (opération getting) d’un secret expiré peut être utilisée pour des opérations de récupération.Retrieving (getting) an expired secret, can be used for recovery operations.

Contrôle d’accès aux secretsSecret access control

Le contrôle d’accès pour les secrets géré dans Key Vault est fourni au niveau du coffre de clés qui contient ces secrets.Access Control for secrets managed in Key Vault, is provided at the level of the Key Vault that contains those secrets. La stratégie de contrôle d’accès pour les secrets est différente de la stratégie de contrôle d’accès pour les clés dans un même coffre de clés.The access control policy for secrets, is distinct from the access control policy for keys in the same Key Vault. Les utilisateurs peuvent créer un ou plusieurs coffres pour stocker les secrets et doivent maintenir une segmentation et une gestion des secrets appropriées au scénario.Users may create one or more vaults to hold secrets, and are required to maintain scenario appropriate segmentation and management of secrets.

Les autorisations suivantes peuvent être utilisées, par principal, dans l’entrée de contrôle d’accès aux secrets sur un coffre, et reflètent précisément les opérations autorisées sur un objet secret :The following permissions can be used, on a per-principal basis, in the secrets access control entry on a vault, and closely mirror the operations allowed on a secret object:

  • Autorisations pour les opérations de gestion de secretsPermissions for secret management operations

    • get : lire un secretget: Read a secret
    • list : lister les secrets ou les versions d’un secret stockés dans un coffre de cléslist: List the secrets or versions of a secret stored in a Key Vault
    • set : Créer un secretset: Create a secret
    • delete : supprimer un secretdelete: Delete a secret
    • recover : récupérer un secret supprimérecover: Recover a deleted secret
    • backup : sauvegarder un secret dans un coffre de clésbackup: Back up a secret in a key vault
    • restore : restaurer un secret sauvegardé sur un coffre de clésrestore: Restore a backed up secret to a key vault
  • Autorisations pour les opérations privilégiéesPermissions for privileged operations

    • purge : effacer (supprimer définitivement) un secret supprimépurge: Purge (permanently delete) a deleted secret

Pour plus d’informations sur l’utilisation des secrets, voir Informations de référence sur les opérations liées aux secrets dans l’API REST Key Vault.For more information on working with secrets, see Secret operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Balises de secretSecret tags

Vous pouvez spécifier des métadonnées spécifiques à l’application supplémentaires sous la forme de balises.You can specify additional application-specific metadata in the form of tags. Key Vault prend en charge jusqu’à 15 balises, chacune d’entre elles pouvant avoir un nom de 256 caractères et une valeur de 256 caractères.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Notes

Les étiquettes peuvent être lues par un appelant s’il dispose de l’autorisation list ou get.Tags are readable by a caller if they have the list or get permission.

Gestion des clés de compte de stockage AzureAzure Storage account key management

Key Vault peut gérer les clés de compte de stockage Azure :Key Vault can manage Azure storage account keys:

  • En interne, Key Vault peut lister (synchroniser) les clés avec un compte de stockage Azure.Internally, Key Vault can list (sync) keys with an Azure storage account.
  • Key Vault regénère (fait tourner) les clés régulièrement.Key Vault regenerates (rotates) the keys periodically.
  • Les valeurs de clés ne sont jamais retournées en réponse à l’appelant.Key values are never returned in response to caller.
  • Key Vault gère les clés des comptes de stockage et des comptes de stockage classiques.Key Vault manages keys of both storage accounts and classic storage accounts.

Pour plus d’informations, consultez Clés de compte de stockage Azure Key Vault.For more information, see Azure Key Vault Storage Account Keys)

Contrôle d’accès aux comptes de stockageStorage account access control

Vous pouvez utiliser les autorisations suivantes quand vous autorisez un utilisateur ou un principal d’application à effectuer des opérations sur un compte de stockage géré :The following permissions can be used when authorizing a user or application principal to perform operations on a managed storage account:

  • Autorisations pour les opérations de définition SAS et de compte de stockage géréPermissions for managed storage account and SaS-definition operations

    • get : obtenir des informations sur un compte de stockageget: Gets information about a storage account
    • list : lister les comptes de stockage gérés par un coffre de cléslist: List storage accounts managed by a Key Vault
    • update : mettre à jour un compte de stockageupdate: Update a storage account
    • delete : Suppression d'un compte de stockagedelete: Delete a storage account
    • recover : récupérer un compte de stockage supprimérecover: Recover a deleted storage account
    • backup : sauvegarder un compte de stockagebackup: Back up a storage account
    • restore : restaurer un compte de stockage sauvegardé sur un coffre de clésrestore: Restore a backed-up storage account to a Key Vault
    • set : créer ou mettre à jour un compte de stockageset: Create or update a storage account
    • regeneratekey : regénérer une valeur de clé spécifiée pour un compte de stockageregeneratekey: Regenerate a specified key value for a storage account
    • getsas : obtenir des informations sur une définition SAS pour un compte de stockagegetsas: Get information about a SAS definition for a storage account
    • listsas : lister les définitions SAS de stockage d’un compte de stockagelistsas: List storage SAS definitions for a storage account
    • deletesas : supprimer une définition SAS d’un compte de stockagedeletesas: Delete a SAS definition from a storage account
    • setsas : créer ou mettre à jour une définition/des attributs SAS pour un compte de stockagesetsas: Create or update a new SAS definition/attributes for a storage account
  • Autorisations pour les opérations privilégiéesPermissions for privileged operations

    • purge : effacer (supprimer définitivement) un compte de stockage gérépurge: Purge (permanently delete) a managed storage account

Pour plus d’informations, consultez Informations de référence sur les opérations de compte de stockage dans l’API REST Key Vault.For more information, see the Storage account operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Étapes suivantesNext steps