Információk az Azure Key Vault titkos kódjairól

Key Vault általános titkos kulcsok, például jelszavak és adatbázis-kapcsolati sztringek biztonságos tárolását biztosítja.

A fejlesztők szemszögéből nézve a Key Vault API-k sztringként fogadják el és ják vissza a titkos értékeket. Belsőleg a Key Vault tárolja és kezeli a titkos kódokat oktettek sorozataiként (8 bites bájtok), amelyek maximális mérete 25 bájt. A Key Vault szolgáltatás nem biztosít szemantikát a titkos kulcsokhoz. Csupán fogadja az adatokat, titkosítja és tárolja azokat, és egy titkos azonosítót ("id") ad vissza. Az azonosítóval később lekérheti a titkos adatokat.

A szigorúan bizalmas adatokhoz az ügyfeleknek ajánlott további adatvédelmi rétegeket is használni. Ez lehet például az adatok külön védelmi kulccsal történő titkosítása a Key Vaultba helyezés előtt.

Key Vault a titkos kulcsok contentType mezőjét is támogatja. Az ügyfelek megadhatják a titkos adat tartalomtípusát, amely segít értelmezni a titkos adatokat a lekéréskor. A mező maximális hossza 255 karakter. A javasolt használat a titkos adatok értelmezésének segítő tippe. Előfordulhat például, hogy egy implementáció titkos kulcsokként tárolja a jelszavakat és a tanúsítványokat, majd ezt a mezőt használja a megkülönböztetni. Nincsenek előre definiált értékek.

Titkosítás

A tárolóban tárolt összes Key Vault titkosítva van tárolva. Ez a titkosítás transzparens, és a felhasználó beavatkozását nem igényli. A Azure Key Vault szolgáltatás titkosítja a titkos kódokat, amikor hozzáadja őket, és automatikusan visszafejti azokat az olvasásukkor. A titkosítási kulcs minden kulcstartó egyedi.

Titkos attribútumok

A titkos adatok mellett a következő attribútumok is meg lehetnek adva:

  • exp: IntDate, optional, default is forever. Az exp (lejárati idő) attribútum azonosítja azt a lejárati időt, amely után a titkos adatok NEM olvashatók be, kivéve bizonyos helyzetekben. Ez a mező csak tájékoztató jellegű, mivel tájékoztatja a felhasználókat a Key Vault szolgáltatásról, hogy egy adott titkos kulcsot nem lehet használni. Az értékének egy IntDate értéket tartalmazó számnak kell lennie.
  • nbf: IntDate, optional, default is now. Az nbf (nem előtte) attribútum azonosítja azt az időt, amely előtt a titkos adatok NEM olvashatók be, kivéve bizonyos helyzetekben. Ez a mező csak tájékoztató jellegű. Az értékének egy IntDate értéket tartalmazó számnak kell lennie.
  • enabled: boolean, optional, default is true. Ez az attribútum határozza meg, hogy lekérhetők-e a titkos adatok. Az engedélyezett attribútum az nbf és az exp értékkel együtt használatos, ha egy művelet az nbf és az exp között történik, csak akkor engedélyezett, ha az engedélyezve van true (igaz) értékkel. Az nbf és az exp ablakon kívüli műveletek automatikusan le vannak vonva, kivéve bizonyos helyzetekben.

A válaszban további csak olvasható attribútumok is szerepelnek, amelyek titkos attribútumokat tartalmaznak:

  • created: IntDate, nem kötelező. A létrehozott attribútum jelzi, hogy mikor lett létrehozva a titkos fájl ezen verziója. Ez az érték null értékű az attribútum összeadása előtt létrehozott titkos kulcsok esetén. Az értéknek egy IntDate értéket tartalmazó számnak kell lennie.
  • updated: IntDate, optional. A frissített attribútum jelzi, hogy mikor frissült a titkos fájl ezen verziója. Ez az érték null értékű az attribútum összeadása előtt utoljára frissített titkos kulcsok esetén. Az értéknek egy IntDate értéket tartalmazó számnak kell lennie.

Az egyes Key Vault-objektumtípusokkal kapcsolatos gyakori attribútumokkal kapcsolatos információkért lásd a Azure Key Vault kulcsokat, titkos kulcsokat és tanúsítványokat áttekintő témakört.

Dátum és idő által vezérelt műveletek

A titkos kód get művelete még nem érvényes és lejárt titkos kulcsokhoz is működik az nbf / exp ablakon kívül. A titkos kód get műveletének hívása egy még nem érvényes titkos kódhoz tesztelési célokra használható. Lejárt titkos kulcs beolvasása(leolvasása) helyreállítási műveletekhez használható.

Titkoskulcs-hozzáférés vezérlése

Access Control által felügyelt titkos kulcsok Key Vault a titkos adatokat tartalmazó titkos Key Vault szintjén található meg. A titkos kulcsok hozzáférés-vezérlési szabályzata eltér az ugyanabban a kulcsban található kulcsok hozzáférés-vezérlési Key Vault. A felhasználók létrehozhatnak egy vagy több tárolót a titkos kulcsokhoz, és a forgatókönyv megfelelő szegmentálásának és a titkos kulcsok felügyeletének fenntartásához szükségesek.

A következő engedélyek használhatók rendszerbiztonsági tagonként egy tároló titkos kulcs hozzáférés-vezérlési bejegyzésében, és szorosan tükrözik a titkos objektumon engedélyezett műveleteket:

  • A titkos tok kezeléséhez szükséges műveletekre vonatkozó engedélyek

    • get: Titkos információ olvasása
    • list: List the secrets or versions of a secret stored in a Key Vault
    • set: Titkos adat létrehozása
    • delete: Titkos adatokat törölhet
    • recover: Törölt titkos adatok helyreállítása
    • backup: Titkos kulcs biztonsági mentése egy kulcstartóban
    • restore: Biztonsági másolatból biztonsági másolatba visszamentett titkos kulcs visszaállítása egy kulcstartóba
  • Jogosultsági szintű műveletekre vonatkozó engedélyek

    • purge: Törölt titkos fájl végleges törlése (végleges törlése)

További információ a titkos kulcsokról: Titkos műveletek a Key Vault REST API referenciában. További információ az engedélyek létrehozásáról: Tárolók – Létrehozás vagy frissítés és tárolók – Hozzáférési szabályzat frissítése.

Útmutató a hozzáférés-vezérléshez a Key Vault:

Titkos címkék

További alkalmazásspecifikus metaadatokat is megadhat címkék formájában. Key Vault legfeljebb 15 címkét támogat, amelyek mindegyikének lehet 256 karakteres neve és 256 karakteres értéke.

Megjegyzés

A címkéket a hívók akkor olvashatják, ha rendelkezik a listával vagy kapják meg az engedélyt.

Azure Storage-fiókkulcsok kezelése

Key Vault Azure Storage-fiókkulcsokat:

  • Belsőleg a Key Vault (szinkronizálhatja) a kulcsokat egy Azure Storage-fiókkal.
  • Key Vault újra létrehozza (elforgatja) a kulcsokat.
  • A hívónak adott válaszban a kulcsértékek soha nem ulnak vissza.
  • Key Vault a tárfiókok és a klasszikus tárfiókok kulcsait is kezeli.

További információkért lásd:

Storage hozzáférés-vezérlésének létrehozása

A következő engedélyeket használhatja, amikor jogosultságot ad egy felhasználónak vagy alkalmazásnévnek arra, hogy műveleteket hajtson végre egy felügyelt tárfiókon:

  • Felügyelt tárfiók- és SaS-definíciós műveletek engedélyei

    • get: Egy tárfiókkal kapcsolatos információk lekérte
    • list: List storage accounts managed by a Key Vault
    • update: Tárfiók frissítése
    • delete: Tárfiók törlése
    • recover: Törölt tárfiók helyreállítása
    • backup: Tárfiók biztonsági mentése
    • restore: Biztonsági másolatból biztonsági másolatból biztonsági másolatba Key Vault
    • set: Tárfiók létrehozása vagy frissítése
    • regeneratekey: Tárfiók megadott kulcsértékének újragenerálása
    • getsas: Információ lekért egy tárfiók SAS-definíciójára
    • listsas: Storage SAS-definíciók listái egy tárfiókhoz
    • deletesas: SAS-definíció törlése tárfiókból
    • setsas: Tárfiók új SAS-definíciójának/attribútumainak létrehozása vagy frissítése
  • Jogosultsági szintű műveletekre vonatkozó engedélyek

    • purge: Felügyelt tárfiók végleges törlése

További információért tekintse meg a Storage fiókműveleteket a Key Vault REST API között. További információ az engedélyek létrehozásáról: Tárolók – Létrehozás vagy frissítés és tárolók – Hozzáférési szabályzat frissítése.

Útmutató a hozzáférés-vezérléshez a Key Vault:

Következő lépések