Mi az Azure Key Vault?What is Azure Key Vault?

A Felhőbeli alkalmazások és szolgáltatások titkosítási kulcsokat és titkokat használnak az adatok biztonságának megőrzéséhez.Cloud applications and services use cryptographic keys and secrets to help keep information secure. Azure Key Vault védi ezeket a kulcsokat és titkokat.Azure Key Vault safeguards these keys and secrets. Key Vault használatakor a hardveres biztonsági modulok (HSM-EK) által védett kulcsok használatával titkosíthatja a hitelesítési kulcsokat, a Storage-fiók kulcsait, az adattitkosítási kulcsokat, a. pfx-fájlokat és a jelszavakat.When you use Key Vault, you can encrypt authentication keys, storage account keys, data encryption keys, .pfx files, and passwords by using keys that are protected by hardware security modules (HSMs).

A Key Vault a következő problémák megoldásában nyújt segítséget:Key Vault helps solve the following problems:

  • Titkos kód kezelése: Biztonságosan tárolhatja és szigorúan szabályozhatja a tokenek, jelszavak, tanúsítványok, API-kulcsok és egyéb titkok elérését.Secret management: Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets.
  • Kulcskezelő: Az adatait titkosító titkosítási kulcsok létrehozása és szabályozása.Key management: Create and control encryption keys that encrypt your data.
  • Tanúsítványkezelő: Nyilvános és magánhálózati SSL/Transport Layer Security (SSL/TLS) tanúsítványok kiépítése, kezelése és üzembe helyezése az Azure-hoz és a belső csatlakoztatott erőforrásokhoz való használatra.Certificate management: Provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • A HSM által támogatott titkos kulcsok tárolása: A titkok és kulcsok védelméhez használja a szoftveres vagy az FIPS 140-2 2. szintű hitelesített HSM.Store secrets backed by HSMs: Use either software or FIPS 140-2 Level 2 validated HSMs to help protect secrets and keys.

AlapfogalmakBasic concepts

Az Azure Key Vault egy titkos kulcsok biztonságos tárolására és hozzáférésére használható eszköz.Azure Key Vault is a tool for securely storing and accessing secrets. Titkos kulcsnak számít minden olyan adat, amelynek a hozzáféréstét szigorúan korlátozni kívánja, például: API-kulcsok, jelszavak vagy tanúsítványok.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. A tár a titkok logikai csoportja.A vault is logical group of secrets.

További fontos feltételek:Here are other important terms:

  • Bérlő: A bérlő a Microsoft Cloud Services egy adott példányát birtokló és kezelő szervezet.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Leggyakrabban az Azure-beli és az Office 365-szolgáltatások használatára használják a szervezet számára.It’s most often used to refer to the set of Azure and Office 365 services for an organization.

  • Tár tulajdonosa: A tár tulajdonosa létrehozhat egy kulcstartót, és teljes hozzáférést és vezérlést nyerhet.Vault owner: A vault owner can create a key vault and gain full access and control over it. Emellett naplózást is beállíthat, amellyel naplózhatja a titkos kulcsok és a kulcsok elérését.The vault owner can also set up auditing to log who accesses secrets and keys. A kulcsok életciklusát a rendszergazdák kezelhetik.Administrators can control the key lifecycle. Kiadhatnak új kulcsverziókat, biztonsági másolatokat készíthetnek, és elvégezhetik a kapcsolódó feladatokat.They can roll to a new version of the key, back it up, and do related tasks.

  • Tároló fogyasztója: A tár felhasználója műveleteket hajthat végre a Key vaulton belül, amikor a tároló tulajdonosa megadja a fogyasztó számára a hozzáférést.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. Az elérhető műveletek a kiosztott jogosultságoktól függnek.The available actions depend on the permissions granted.

  • Erőforrás: Az erőforrások az Azure-on keresztül elérhető, felügyelhető elemek.Resource: A resource is a manageable item that's available through Azure. Gyakori példák a virtuális gép, a Storage-fiók, a webalkalmazás, az adatbázis és a virtuális hálózat.Common examples are virtual machine, storage account, web app, database, and virtual network. Sokkal több van.There are many more.

  • Erőforráscsoport: Az erőforráscsoport egy tároló, amely Azure-megoldásokhoz kapcsolódó erőforrásokat tárol.Resource group: A resource group is a container that holds related resources for an Azure solution. Az erőforráscsoport tartalmazhatja a megoldás összes erőforrását, vagy csak azokat az erőforrásokat, amelyeket Ön egy csoportként szeretne kezelni.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. A cég számára legideálisabb elosztás alapján eldöntheti, hogyan szeretné elosztani az erőforrásokat az erőforráscsoportok között.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.

  • Egyszerű szolgáltatásnév: Az Azure egyszerű szolgáltatás olyan biztonsági identitás, amelyet a felhasználó által létrehozott alkalmazások, szolgáltatások és automatizálási eszközök használnak az adott Azure-erőforrások eléréséhez.Service principal: An Azure service principal is a security identity that user-created apps, services, and automation tools use to access specific Azure resources. Egy adott szerepkörrel rendelkező "felhasználói identitásnak" (Felhasználónév és jelszó vagy tanúsítvány) kell lennie, és szigorúan szabályozott engedélyekkel kell rendelkezniük.Think of it as a "user identity" (username and password or certificate) with a specific role, and tightly controlled permissions. Az általános identitásoktól eltérően a szolgáltatásnév csak konkrét feladatok végrehajtására szolgál.A service principal should only need to do specific things, unlike a general user identity. Ez növeli a biztonságot, ha csak a felügyeleti feladatainak végrehajtásához szükséges minimális jogosultsági szintet adja meg.It improves security if you grant it only the minimum permission level that it needs to perform its management tasks.

  • Azure Active Directory (Azure ad): Az Azure AD a bérlő Active Directory szolgáltatása.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Minden címtárhoz tartozik egy vagy több tartomány.Each directory has one or more domains. Egy címtárhoz számos előfizetés tartozhat, de csak egyetlen bérlő.A directory can have many subscriptions associated with it, but only one tenant.

  • Azure-bérlő azonosítója: A bérlői azonosító egyedi módszer egy Azure AD-példány azonosítására egy Azure-előfizetésen belül.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.

  • Felügyelt identitások: Az Azure Key Vault módot kínál a hitelesítő adatok, valamint egyéb kulcsok és titkos kódok biztonságos tárolására, azonban a kódnak hitelesítenie kell magát a Key Vaultban az adatok lekéréséhez.Managed identities: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. A felügyelt identitás használatával egyszerűbbé válik a probléma megoldása azáltal, hogy az Azure-szolgáltatások automatikusan felügyelt identitást biztosítanak az Azure AD-ben.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. Ezzel az identitással anélkül végezhet hitelesítést a Key Vaultban vagy bármely, Azure AD-hitelesítést támogató szolgáltatásban, hogy a hitelesítő adatokat a kódban kellene tárolnia.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. További információkért tekintse meg az alábbi ábrát, valamint az Azure-erőforrások felügyelt identitásának áttekintését.For more information, see the following image and the overview of managed identities for Azure resources.

    Az Azure-erőforrások felügyelt identitások működésének diagramja

AuthenticationAuthentication

A Key Vaultkal végzett műveletekhez először hitelesítenie kell magát.To do any operations with Key Vault, you first need to authenticate to it. A Key Vault háromféleképpen lehet hitelesíteni:There are three ways to authenticate to Key Vault:

  • Felügyelt identitások az Azure-erőforrásokhoz: Amikor egy Azure-beli virtuális gépre telepít egy alkalmazást, olyan identitást rendelhet hozzá a virtuális géphez, amely hozzáféréssel rendelkezik Key Vaulthoz.Managed identities for Azure resources: When you deploy an app on a virtual machine in Azure, you can assign an identity to your virtual machine that has access to Key Vault. Az identitásokat más Azure-erőforrásokhoz is hozzárendelheti.You can also assign identities to other Azure resources. Ennek a megközelítésnek az az előnye, hogy az alkalmazás vagy szolgáltatás nem kezeli az első titok rotációját.The benefit of this approach is that the app or service isn't managing the rotation of the first secret. Az Azure automatikusan elforgatja az identitást.Azure automatically rotates the identity. Ajánlott eljárásként javasoljuk ezt a megközelítést.We recommend this approach as a best practice.
  • Egyszerű szolgáltatásnév és tanúsítvány: Használhat egy egyszerű szolgáltatásnevet és egy hozzá tartozó tanúsítványt, amely Key Vaulthoz fér hozzá.Service principal and certificate: You can use a service principal and an associated certificate that has access to Key Vault. Ezt a megközelítést nem javasoljuk, mert az alkalmazás tulajdonosának vagy fejlesztőének el kell forgatnia a tanúsítványt.We don't recommend this approach because the application owner or developer must rotate the certificate.
  • Egyszerű szolgáltatásnév és titkoskód: Habár használhat egy egyszerű szolgáltatásnevet és egy titkos kulcsot a Key Vault való hitelesítéshez, nem ajánlott.Service principal and secret: Although you can use a service principal and a secret to authenticate to Key Vault, we don't recommend it. Nem nehéz automatikusan elforgatni a Key Vault hitelesítéséhez használt rendszerindítási titkot.It's hard to automatically rotate the bootstrap secret that's used to authenticate to Key Vault.

Key Vault-szerepkörökKey Vault roles

Az alábbi táblázat segítségével jobban megértheti, hogyan segíti a Key Vault a fejlesztők és a biztonsági rendszergazdák igényeinek kielégítését.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RoleRole Probléma leírásaProblem statement Az Azure Key Vault megoldásaSolved by Azure Key Vault
Azure-alkalmazásfejlesztőDeveloper for an Azure application "Olyan alkalmazást szeretnék írni az Azure-hoz, amely kulcsokat használ az aláíráshoz és a titkosításhoz.“I want to write an application for Azure that uses keys for signing and encryption. De szeretném, hogy ezek a kulcsok az alkalmazáson kívül legyenek, hogy a megoldás megfelelő legyen a földrajzilag elosztott alkalmazásokhoz.But I want these keys to be external from my application so that the solution is suitable for an application that's geographically distributed.

Azt szeretném, hogy ezek a kulcsok és titkos kulcsok el legyenek látva védelemmel, anélkül, hogy meg kellene írnom a kódot.I want these keys and secrets to be protected, without having to write the code myself. Azt is szeretném, hogy a kulcsokat és a titkos kulcsokat könnyedén használni lehessen az alkalmazásaimból, optimális teljesítmény mellett.”I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ A kulcsok tárolása tárolóban történik, és szükség esetén egy URI segítségével lehet előhívni őket.√ Keys are stored in a vault and invoked by URI when needed.

√ A kulcsok számára az Azure biztosít védelmet az ipari szabványoknak megfelelő algoritmusok, kulcshosszok és hardveres biztonsági modulok segítségével.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ A kulcsok feldolgozása hardveres biztonsági modulokban történik, amelyek ugyanazokban az Azure-adatközpontokban találhatók, mint az alkalmazások.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Ez a módszer nagyobb megbízhatóságot és kisebb késést eredményez ahhoz képest, mintha a kulcsok egy külön helyen, például a helyszínen lennének.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
Szolgáltatott szoftverek fejlesztője (SaaS-fejlesztő)Developer for software as a service (SaaS) „Nem szeretnék felelősséget és esetleges felelősségre vonást vállalni az ügyfeleim bérlőinek kulcsaiért és titkos kulcsaiért.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Szeretném, ha az ügyfeleim saját maguk kezelnék a kulcsaikat, én pedig arra összpontosíthatnék, amihez leginkább értek: az alapvető szoftverfunkciók biztosítására.”I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Az ügyfelek importálhatják a saját kulcsaikat az Azure rendszerbe, és kezelhetik őket.√ Customers can import their own keys into Azure, and manage them. Ha egy SaaS-alkalmazásnak titkosítási műveleteket kell végeznie az ügyfelek kulcsainak használatával, Key Vault hajtja végre ezeket a műveleteket az alkalmazás nevében.When a SaaS application needs to perform cryptographic operations by using customers’ keys, Key Vault does these operations on behalf of the application. Az alkalmazás nem látja az ügyfelek kulcsait.The application does not see the customers’ keys.
Biztonsági vezető (CSO)Chief security officer (CSO) „Szeretnék biztos lenni abban, hogy az alkalmazásaink a biztonságos kulcskezelés tekintetében megfelelnek a FIPS 140-2 2. szintje szerint ellenőrzött HSM-eknek.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Biztos szeretnék lenni abban is, hogy a cégünk kézben tartja a kulcsok életciklusát, valamint meg tudja figyelni a kulcshasználatot.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

Továbbá – bár több Azure-szolgáltatást és -erőforrást is használunk – egyetlen helyről szeretném kezelni a kulcsokat az Azure rendszerén belül.”And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ A hardveres biztonsági modulokat a FIPS 140-2 2. szintje szerint ellenőrizték.√ HSMs are FIPS 140-2 Level 2 validated.

√ A Key Vault kialakításának köszönhetően a Microsoft nem tekintheti meg, illetve nem nyerheti ki a kulcsokat.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ A kulcshasználatot közel valós időben naplózza rendszer.√ Key usage is logged in near real time.

√ A tároló egyetlen felületet biztosít függetlenül attól, hogy Ön hány tárolóval rendelkezik az Azure rendszerben, ezek mely régiókat támogatják, illetve mely alkalmazások használják őket.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Azure-előfizetés birtokában bárki létrehozhat és használhat kulcstárolót.Anybody with an Azure subscription can create and use key vaults. Bár a Key Vault a fejlesztők és a biztonsági rendszergazdák számára is, a szervezet rendszergazdája is megvalósíthatja és felügyelheti, aki más Azure-szolgáltatásokat felügyel.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization’s administrator who manages other Azure services. Például a rendszergazda bejelentkezhet egy Azure-előfizetéssel, létrehozhat egy tárolót azon szervezet számára, amelyben a kulcsokat tárolni kívánja, majd a következőhöz hasonló operatív feladatokért felelős:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks like these:

  • A kulcsok vagy titkos kulcsok létrehozása és importálásaCreate or import a key or secret
  • A kulcsok vagy titkos kulcsok visszavonása, illetve törléseRevoke or delete a key or secret
  • A felhasználók vagy alkalmazások feljogosítása a kulcstárolóhoz való hozzáférésre, hogy azután kezelhessék és használhassák a benne tárolt kulcsokat és titkos kulcsokatAuthorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • A kulcshasználat konfigurálása (például aláíráshoz vagy titkosításhoz)Configure key usage (for example, sign or encrypt)
  • A kulcshasználat figyeléseMonitor key usage

Ez a rendszergazda ezután lehetővé teszi a fejlesztők URI-k számára, hogy meghívja az alkalmazásaikat.This administrator then gives developers URIs to call from their applications. Ez a rendszergazda a kulcs-használati naplózási információkat is megadja a biztonsági rendszergazdának.This administrator also gives key usage logging information to the security administrator.

A Azure Key Vault működésének áttekintése

A fejlesztők közvetlenül is kezelhetik a kulcsokat API-k használatával.Developers can also manage the keys directly, by using APIs. További információkért tekintse meg a Key Vault fejlesztői útmutatóját.For more information, see the Key Vault developer's guide.

További lépésekNext steps

Megtudhatja, hogyan védheti meg atárolót.Learn how to secure your vault.

Az Azure Key Vault a legtöbb régióban elérhető.Azure Key Vault is available in most regions. További információ: A Key Vault díjszabása.For more information, see the Key Vault pricing page.