Fejlesztői útmutató az Azure kulcstárhoz

Az Azure kulcstár lehetővé teszi a bizalmas adatok biztonságos hozzáférését az alkalmazásokból:

  • A kulcsok, a titkos kódok és a tanúsítványok a védelem alatt állnak anélkül, hogy Önnek kellene megírnia a kódot, és egyszerűen használhatja őket az alkalmazásokból.
  • Lehetővé teszi az ügyfeleknek a saját kulcsuk, titkaik és tanúsítványaik kezelését, így az alapvető szoftverszolgáltatásokat nyújtva összpontosíthat. Ily módon az alkalmazások nem vállalnak felelősséget vagy potenciális felelősséget az ügyfelek bérlői kulcsaiért, titkosságaiért és tanúsítványaiért.
  • Az alkalmazás aláíráshoz és titkosításhoz kulcsokat használhat, de a kulcskezelést az alkalmazáson kívülre is megtarthatja. További információ: A kulcsokról.
  • A hitelesítő adatokat , például jelszavakat, hozzáférési kulcsokat és SAS-jogkivonatokat úgy kezelheti, hogy titkosként tárolja őket a kulcstárban. További információért lásd: A titkos információk.
  • Tanúsítványok kezelése. További információ: A tanúsítványokról.

Az Azure Kulcstárról további információt Az Azure kulcstárról .

Nyilvános előnézetek

Rendszeres időközönként egy új kulcstár-funkció nyilvános előzetes verziója megjelenik. Próbálja ki a nyilvános előzetes verziós funkciókat, és mondja el véleményét a azurekeyvault@microsoft.com visszajelzési e-mail-címünk segítségével.

Kulcstárak létrehozása és kezelése

Más Azure-szolgáltatásokhoz is a kulcstárat az Azure Resource Manageren keresztül kezeli a szolgáltatás. Az Azure Resource Manager az Azure központi telepítési és kezelési szolgáltatása. Segítségével erőforrásokat hozhat létre, frissíthet és törölhet Azure-fiókjában.

Az Azure szerepköralapú hozzáférés-vezérlése (RBAC) szabályozza a felügyeleti réteghez való hozzáférést, más néven a felügyeleti síkot. A kezelő repülővel hozhatja létre és kezelheti a kulcstárat és azok attribútumát, beleértve a hozzáférési házirendeket. Az adat repülővel kezelheti a kulcsokat, a tanúsítványokat és a titkos kulcsokat.

Az előre definiált kulcstár-közreműködői szerepkört használva kezelési hozzáférést adhat a kulcstárhoz.

API-k és SDK-k a kulcstár kezeléséhez

Azure CLI PowerShell REST API Erőforrás-kezelő .NET Python Java JavaScript
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás Hivatkozás
Gyorsútmutató
Hivatkozás Hivatkozás Hivatkozás Hivatkozás

A telepítőcsomagokat és a forráskódot lásd: Ügyféltárak.

Kulcstárba való hitelesítés kódban

A kulcstár Azure Active Directory (Azure AD) hitelesítést használ, amelynek eléréséhez Azure AD biztonsági rendszernév szükséges. Az Azure AD rendszerbiztonsági egyszerű felhasználó, alkalmazásszolgáltatásnév, Azure-erőforrásokfelügyelt identitása vagy az ilyen típusú erőforrások egy csoportja lehet.

Ajánlott eljárások a hitelesítéshez

Azt javasoljuk, hogy felügyelt identitást használjon az Azure-ban üzembe helyezett alkalmazásokhoz. Ha olyan Azure-szolgáltatásokat használ, amelyek nem támogatják a felügyelt identitásokat, vagy ha az alkalmazásokat a helyszínen telepítette, egy tanúsítványt is megjelenítő egyszerű szolgáltatásnév lehet a lehetséges alternatíva. Ebben az esetben a tanúsítványt a kulcstárolóban kell tárolni, és gyakran kell elforgatni.

Használjon egy egyszerű szolgáltatásnévvel, amely titkos a fejlesztési és tesztelési környezetekhez. Használjon egyszerű felhasználónévvel a helyi fejlesztéshez és az Azure Cloud Shellhez.

Az alábbi egyszerű biztonsági rendszereket javasoljuk az egyes környezetekben:

  • Production environment (Éles környezet):Felügyelt identitás vagy szolgáltatásnév tanúsítványsal.
  • Teszt- és fejlesztői környezetek:Felügyelt identitás, tanúsítványt vagy egyszerű szolgáltatásnév egy titkos azonosítóval.
  • Helyi fejlesztés:Egyszerű felhasználó vagy egyszerű szolgáltatásnév, titkos azonosítóval.

Azure Identity-ügyféltárak

Az előző hitelesítési forgatókönyveket az Azure Identity ügyféltár támogatja, és integrálva vannak a kulcstár-SDK-ekkel. Az Azure Identity-ügyféltárat környezetekben és platformokon is használhatja a kód módosítása nélkül. A tár automatikusan lekéri a hitelesítési jogkivonatokat az Azure-felhasználóhoz az Azure CLI, a Visual Studio, a Visual Studio kód és egyéb eszközök segítségével bejelentkezett felhasználóktól.

Az Azure Identity client library szolgáltatásról további információt az itt található:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Megjegyzés

Azt javasoljuk, hogy a .NET SDK 3-as verziójához apphitelesítési könyvtárat biztosítsunk, de most elavult. A .NET SDK 4-es verziójára való áttelepítéshez kövesse az AppAuthentication to Azure.Identity áttelepítési útmutatóját.

Az alkalmazások kulcstárba való hitelesítését ismertető oktatóanyagokért lásd:

Kulcsok, tanúsítványok és titkos kulcsok kezelése

Az adat repülőgépen lehet hozzáférni a kulcsokhoz, tanúsítványokhoz és titkos információkhoz. A helyi tároló hozzáférési házirendeket vagy az Azure RBAC-t használva szabályozhatja a hozzáférést az adat repülőn keresztül.

API-k és SDK-k a kulcsokhoz

Azure CLI PowerShell REST API Erőforrás-kezelő .NET Python Java JavaScript
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató

API-k és SDK-k tanúsítványokhez

Azure CLI PowerShell REST API Erőforrás-kezelő .NET Python Java JavaScript
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató

API-k és SDK-k a titkos sikerekért

Azure CLI PowerShell REST API Erőforrás-kezelő .NET Python Java JavaScript
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató
Hivatkozás
Gyorsútmutató

A titkos titkosság használata

Az Azure-kulcstárolóval csak az alkalmazás rejtekesit tárolhatod. Példák a kulcstárolóban tárolható titkos funkciókra:

  • Ügyfélalkalmazások titka
  • Kapcsolati karakterláncok
  • Jelszavak
  • Megosztott hozzáférési kulcsok
  • SSH-billentyűk

A titkos információk, például a felhasználónév és az alkalmazás-azonosítók, tárolhatók címkeként a titkos adatokban. Minden más bizalmas konfigurációs beállításhoz használja az Azure App Configuration (Azure-alkalmazáskonfiguráció) lehetőséget.

Hivatkozások

A telepítőcsomagokat és a forráskódot lásd: Ügyféltárak.

A kulcstár adat repülővel való biztonságával kapcsolatos információkért lásd az Azure kulcstár biztonsági funkcióit.

A kulcstár használata az alkalmazásokban

A kulcstár legújabb funkcióinak kihasználás érdekében azt javasoljuk, hogy a kulcstárhoz elérhető SDK-ket használja a titkos, a tanúsítványok és a kulcsok alkalmazásában való használathoz. A kulcstár SDK-eit és REST API-ját a termékhez új funkciók megjelentetve frissülnek, és követik az ajánlott eljárásokat és irányelveket.

Az alapvető esetekhez más tárakat és integrációs megoldásokat is talál az egyszerűsített használathoz, a Microsoft-partnerek vagy nyílt forráskódú közösségek által nyújtott támogatással.

Tanúsítványok esetében a következőt használhatja:

A titkos rejtekekedőihez a következőt használhatja:

  • Az appszolgáltatás alkalmazásbeállításával kulcstáratitkok. További információt a Kulcstár-hivatkozások használata appszolgáltatáshoz és Azure-függvényekhez .
  • Az Azure VM-en üzemeltetett alkalmazások appkonfigurációs szolgáltatásának legfontosabb kulcstárai. További információt az Alkalmazások konfigurálása az alkalmazáskonfigurációvalés a kulcstár használatával.

Példák kódra

A kulcstár alkalmazásokban való használatára vonatkozó teljes példákat az Azure Kulcstár kódmintákban talál.

Tevékenységspecifikus útmutatás

Az alábbi cikkek és esetek feladatspecifikus útmutatást nyújtanak az Azure kulcstárhoz:

  • A kulcstár eléréséhez az ügyfélalkalmazásnak több végpontot is hozzá kell tudnia férni a különböző funkciókhoz. Lásd: Kulcstár elérése tűzfal mögött.
  • Egy Azure VM-en futó felhőalapú alkalmazáshoz tanúsítványra van szükség. Hogyan lehet ezt a tanúsítványt ebbe a VM-be be be szerezni? Lásd: Kulcstár virtuális gépbővítmény Windows vagy kulcstár virtuális gépbővítmény Linuxhoz.
  • Ha az Azure CLI, a PowerShell vagy az Azure Portal használatával szeretne hozzáférési házirendet hozzárendelni, tekintse meg a Kulcstár hozzáférési házirend hozzárendelése.
  • A kulcstár és a helyreállítható törlés funkcióval rendelkező különféle kulcstár-objektumok használatának és életciklusának felügyeletéről az Azure kulcstár helyreállítási kezelése helyreállítható törlés és végleges törlés elleni védelemmel.
  • Ha a telepítés során paraméterként egy biztonságos értéket (például jelszót) kell átadnia, az értéket titkos adatként tárolhatja egy kulcstárban, és hivatkozhat az értékre más Erőforrás-kezelő sablonokban. Lásd: Biztonságos paraméterértékekbérlete a telepítés során az Azure key Vault használatával.

Integráció a kulcstárba

A következő szolgáltatások és forgatókönyvek használják vagy integrálják a kulcstárat:

  • A megmaradó adatok titkosítása lehetővé teszi az adatok kódolását (titkosítását), ha megmaradnak. Az adattitkosítási kulcsokat gyakran egy kulcstitkosítási kulccsal titkosítják az Azure kulcstárában a hozzáférés további korlátozása érdekében.
  • Az Azure Information Protection lehetővé teszi saját bérlői kulcsának kezelését. Ahelyett például, hogy a Microsoft kezelje a bérlői kulcsát (ez az alapértelmezett beállítás), ön felügyelheti a saját bérlőkulcsát, hogy megfeleljen a szervezetre vonatkozó speciális szabályozásnak. A saját bérlői kulcs kezeléséhez saját kulcsot is hozhat magával .BYOK.
  • Az Azure Private Link segítségével Azure-szolgáltatásokat (például Azure-kulcstárat, Azure Storage-t és Azure Azure Db-t) és Azure-szolgáltatott ügyfél-/partnerszolgáltatásokat használhat a virtuális hálózat egy privát végpontja fölött.
  • A kulcstárnak az Azure Event Grid-sel való integrációja lehetővé teszi a felhasználóknak, hogy értesítést kapják, ha a kulcstárolóban tárolt titkos fájlok állapota megváltozott. Terjesztheti a titkosság új verzióit az alkalmazásoknak, vagy elforgathatja a közeli lejárati titkosságokat, hogy megakadályozza a kimaradásokat.
  • Védje Azure DevOps-titkait a nem kívánt hozzáféréstől a kulcstárban.
  • A kulcstárolóban tárolt titkos kulcsokat használva csatlakozhat az Azure Storage Azure Datab azure datab az azure-adattárból.
  • Konfigurálja és futtassa az Azure kulcstároló-szolgáltatót a Secrets Store CSI illesztőprogramhoz a Portalernetes webhelyen.

A kulcstár áttekintése és fogalmai

További információ:

  • Ha olyan funkcióra van szükség, amely lehetővé teszi a törölt objektumok helyreállítását , akár véletlen, akár szándékos volt a törlés, tekintse meg az Azure kulcstár helyreállított törlés – áttekintését.
  • A szabályozás alapfogalmai és az apphoz való betekenésről az Azure Key Vault szabályozási útmutatója nyújt útmutatást.
  • A régiók és a biztonsági területek közötti kapcsolatokról Az Azure Kulcstárbiztonsági világai és földrajzi határai – lásd: .

Közösségi