Azure-kulcstár kulcsai, titkos kulcsai és tanúsítványai – áttekintés

Az Azure kulcstára lehetővé teszi Microsoft Azure az alkalmazásoknak és a felhasználóknak, hogy többféle típusú titkos/kulcs típusú adatot tároljanak és használjanak. A kulcstár erőforrásszolgáltatója két erőforrástípust támogat: tárolókat és felügyelt HSM-eket.

AZ alap URL-cím DNS-utótagja

Az alábbi táblázatban látható az alap URL-DNS-utótag, amelyet az adat repülő végpontja használ a különböző felhőbeli környezetekben használt tárolókhoz és felügyelt HSM-készletekhez.

Felhőalapú környezet A tárolók DNS-utótagja DNS-utótag felügyelt HSM-hez
Azure Cloud .vault.azure.net .managedhsm.azure.net
Azure China Cloud .vault.azure.cn Nem támogatott
Azure US Government .vault.usgovcloudapi.net Nem támogatott
Azure német felhő .vault.microsoftazure.de Nem támogatott

Objektumtípusok

Az alábbi táblázatban az objektumtípusok és azok utótagjaik az alap URL-ben megjelenik.

Objektumtípus URL-utótag Tárolók Felügyelt HSM-készletek
HSM-védelem alatt /keys Támogatott Támogatott
Szoftverrel védett kulcsok /keys Támogatott Nem támogatott
Titkosak /secrets Támogatott Nem támogatott
Tanúsítványok /certificates Támogatott Nem támogatott
Storage-fiókkulcsok használata /tárterület Támogatott Nem támogatott
  • Titkosítási kulcsok:Több kulcstípust és algoritmust támogat, és lehetővé teszi a szoftverekkel védett és a HSM által védett kulcsok használatát. További információ: A kulcsokról.
  • Titkosjelszavak: Biztonságos tárterületet biztosít a titkos jelszavaknak és az adatbázis-kapcsolati karakterláncoknak. További információért lásd: A titkos információk.
  • Tanúsítványok:Támogatja a kulcsokra és titkos dolgokra épülő tanúsítványokat, és egy automatikus megújítási funkciót ad hozzá. Ne feledje, hogy tanúsítvány létrehozásakor egy megcímzhető kulcs és egy titkos kulcs is létrejön ugyanazokkal a névvel. További információ: A tanúsítványokról.
  • Azure Storage-fiókkulcsok:Kezelhetik az Azure-fiók Storage Az Ön számára. Belsőleg a kulcstár fel tudja sorolni (szinkronizálhatja) a kulcsokat egy Azure Storage-fiókkal, és rendszeres időközönként újragenerálhatja (elforgathatja) a kulcsokat. További információ: Tárfiókkulcsok kezelése a kulcstár segítségével.

A kulcstárról további általános információt Az Azure kulcstárról . A felügyelt HSM-készletekről további információt a Mi az Azure Key Vault felügyelt HSM?

Adattípusok

A KULCSOKKAL, a titkosítással és az aláírással kapcsolatos, a FONTOS ADATTÍPUSOKKAL kapcsolatos specifikációkat lásd.

  • algoritmus – egy kulcsművelet támogatott algoritmusa, például RSA1_5
  • ciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type – az egyik támogatott kulcstípus, például az RSA (Rivest-Shamir-Adleman).
  • plaintext-value - plaintext octets, encoded using Base64URL
  • signature-value (Aláírásérték) – az aláírási algoritmus kimenete, Base64URL kódolással kódolva
  • base64URL – egy Base64URL [RFC4648] kódolású bináris érték
  • logikai – igaz vagy hamis
  • Identitás – egy e-Azure Active Directory (AAD).
  • IntDate – A 1970-01-01T0:0Z UTC dátumtól a megadott UTC-dátumig 1970 és 01T0:0Z utc között másodpercek számát megadva. A dátumokkal és időpontokkal kapcsolatos részleteket az RFC3339 szabvány tartalmazza, amely általában és különösen az EGYEZMÉNYES világidő (UTC) alapján adatokat tartalmaz.

Objektumok, azonosítók és verziószámozás

A kulcstárolóban tárolt objektumok mindig verziószámoznak, amikor egy objektum új példánya jön létre. Minden verzióhoz egyedi azonosító és URL-cím van rendelve. Amikor először hoz létre egy objektumot, egyedi verzióazonosítót kap, és az objektum aktuális verziójaként lesz megjelölve. Ha egy azonos objektumnévvel új példányot hoz létre, az egyedi verzióazonosítót ad az új objektumnak, és így az lesz az aktuális verzió.

A kulcstárban lévő objektumok egy verzió megadásával, illetve az objektum aktuális verzióján való műveletekhez való kihagyásával adhatók meg. Ha például a Kulcs névvel van megadva, és a rendszer verzió megadása nélkül végez műveleteket, a rendszer a legújabb elérhető MasterKey verziót használja. Ha műveleteket végez a verzióspecifikus azonosítóval, a rendszer az objektum adott verzióját használja.

Vault-név és objektumnév

Az objektumok egyedileg azonosíthatók a kulcstárban egy URL-cím használatával. A rendszerben nincs két objektumnak ugyanaz az URL-címe, földrajzi helytől függetlenül. Az objektumok teljes URL-címét objektumazonosítónak nevezzük. Az URL-cím egy olyan előtagból áll, amely azonosítja a kulcstárat, az objektum típusát, a felhasználó által megadott objektumnevet és az objektumverziót. Az objektumnévben a kis- és a szöveg nem módosítható. Az objektumverziót nem magában foglaló azonosítókat alapazonosítóknak nevezzük.

További információt a Hitelesítés, kérések és válaszok

Az objektumazonosítók általános formátuma a tároló típusától függően a következő:

  • Tárolókhoz:

  • Felügyelt HSM-készletek:

Megjegyzés

Lásd: Objektumtípus-támogatás az egyes tárolótípusok által támogatott objektumtípusokhoz.

Hol:

Elem Leírás
vault-name vagy hsm-name Egy tároló vagy felügyelt HSM-készlet neve a Microsoft Azure tároló szolgáltatásban.

A tárolóneveket és a felügyelt HSM-készletneveket a felhasználó választja ki, és globálisan egyediek.

A tároló neve és a felügyelt HSM-készlet neve csak 3-24 karakterből áll, és csak 0-9, a-z, A-Z és -karaktert tartalmazhat.
object-type Az objektum típusa, "kulcsok", "titkosak" vagy "tanúsítványok".
object-name Az egy felhasználó által megadott név, és egyedinek kell lennie object-name egy kulcstárban. A névnek 1-127 karakterből kell lennie, betűvel kezdődően, és csak 0-9, a-z, A-Z és -.
object-version Az an egy rendszer által létrehozott, 32 karakteres karakterlánc-azonosító, amely szükség esetén egy objektum egyedi verziójának object-version címzére használható.

További lépések