Panduan pengembang Azure Key Vault

Key Vault memungkinkan Anda mengakses informasi sensitif dengan aman dari dalam aplikasi Anda:

  • Kunci, rahasia, dan sertifikat dilindungi tanpa harus menulis kode sendiri dan Anda dapat dengan mudah menggunakannya dari aplikasi Anda.
  • Anda memungkinkan pelanggan untuk memiliki dan mengelola kunci, rahasia, dan sertifikat mereka sendiri sehingga Anda dapat fokus pada penyediaan fitur perangkat lunak inti. Dengan cara ini, aplikasi Anda tidak akan memiliki tanggung jawab atau tanggung jawab potensial untuk kunci penyewa, rahasia, dan sertifikat pelanggan Anda.
  • Aplikasi Anda dapat menggunakan kunci untuk penandatanganan dan enkripsi namun menjaga manajemen kunci di luar dari aplikasi Anda. Untuk informasi selengkapnya tentang kunci, lihat Tentang Kunci
  • Anda dapat mengelola mandat seperti kata sandi, kunci akses, dan token sas dengan menyimpannya di Key Vault sebagai rahasia, lihat Tentang Rahasia
  • Mengelola sertifikat. Untuk informasi selengkapnya, lihat Tentang sertifikat

Untuk informasi umum selengkapnya tentang Key Vault, lihat Tentang Azure Key Vault.

Pratinjau Umum

Secara berkala, kami merilis pratinjau umum fitur Key Vault baru. Cobalah fitur pratinjau umum dan beri tahu kami pendapat Anda melalui azurekeyvault@microsoft.com, alamat email tanggapan kami.

Membuat dan Mengelola Key Vault

Manajemen Key Vault, mirip dengan layanan Azure lainnya, dilakukan melalui layanan Azure Resource Manager. Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Azure Resource Manager menyediakan lapisan manajemen yang memungkinkan Anda membuat, memperbarui, dan menghapus sumber daya di akun Azure Anda. Untuk informasi selengkapnya, lihat Azure Resource Manager

Akses ke lapisan manajemen dikendalikan oleh kontrol akses berbasis peran Azure. Di Key Vault, lapisan manajemen, juga dikenal sebagai manajemen atau sarana kontrol, memungkinkan Anda membuat dan mengelola Key Vault dan atributnya termasuk kebijakan akses, tetapi bukan kunci, rahasia, dan sertifikat, yang dikelola pada sarana data. Anda dapat menggunakan peran Key Vault Contributor yang telah ditentukan sebelumnya untuk memberikan akses manajemen ke Key Vault.

API dan SDK untuk manajemen brankas kunci:

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi Referensi
Mulai Cepat
Referensi Referensi Referensi Referensi

Lihat Pustaka Klien untuk paket instalasi dan kode sumber.

Untuk informasi selengkapnya tentang sarana manajemen Key Vault, lihat fitur keamanan Azure Key Vault

Mengautentikasi ke Key Vault dalam kode

Key Vault menggunakan autentikasi Microsoft Azure Active Directory yang memerlukan perwakilan keamanan Microsoft Azure Active Directory untuk memberikan akses. Perwakilan keamanan Microsoft Azure Active Directory bisa berupa pengguna, perwakilan layanan aplikasi, identitas terkelola untuk sumber daya Azure,atau sekelompok jenis perwakilan keamanan apa pun.

Praktik autentikasi terbaik

Disarankan untuk menggunakan identitas terkelola untuk aplikasi yang diterapkan ke Azure. Jika Anda menggunakan layanan Azure, yang tidak mendukung identitas terkelola atau jika aplikasi diterapkan secara lokal, perwakilan layanan dengan sertifikat adalah alternatif yang memungkinkan. Dalam skenario itu, sertifikat harus disimpan di Key Vault dan sering diputar. Perwakilan layanan dengan rahasia dapat digunakan untuk lingkungan pengembangan dan pengujian, dan secara lokal atau di Cloud Shell menggunakan perwakilan pengguna disarankan.

Perwakilan keamanan yang direkomendasikan per lingkungan:

  • Lingkungan produksi:
    • Identitas terkelola atau perwakilan layanan dengan sertifikat
  • Lingkungan pengujian dan pengembangan:
    • Identitas terkelola, perwakilan layanan dengan sertifikat atau perwakilan layanan dengan rahasia
  • Pengembangan lokal:
    • Perwakilan pengguna atau perwakilan layanan dengan rahasia

Skenario autentikasi di atas didukung oleh pustaka klien Azure Identity dan terintegrasi dengan SDK Key Vault. Pustaka Identitas Azure dapat digunakan di berbagai lingkungan dan platform tanpa mengubah kode Anda. Identitas Azure juga akan secara otomatis mengambil token autentikasi dari masuk ke pengguna Azure dengan Azure CLI, Visual Studio, Visual Studio Code, dan lainnya.

Untuk informasi selengkapnya tentang pustaka klien Identity, lihat:

Pustaka klien Azure Identity

.NET Python Java JavaScript
Identitas Azure SDK .NET Identitas Azure SDK Python Identitas Azure SDK Java Identitas Azure SDK JavaScript

Catatan

Pustaka Autentikasi Aplikasi yang direkomendasikan untuk Key Vault .NET SDK versi 3, yang saat ini diberhentikan . Ikuti Panduan Migrasi AppAuthentication ke Azure.Identity untuk bermigrasi ke Key Vault .NET SDK Versi 4.

Untuk tutorial tentang cara mengautentikasi ke Key Vault dalam aplikasi, lihat:

Mengelola kunci, sertifikat, dan rahasia

Akses ke kunci, rahasia, dan sertifikat dikendalikan oleh sarana data. Kontrol akses sarana data dapat dilakukan menggunakan kebijakan akses vault lokal atau Azure RBAC.

Kunci API dan SDK

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat

API dan SDK Sertifikat

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi T/A Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat

API dan SDK Rahasia

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat
Referensi
Mulai Cepat

Penggunaan Rahasia

Rahasia Azure Key Vault hanya boleh digunakan untuk menyimpan rahasia aplikasi Anda.

Contoh rahasia yang harus disimpan di Key Vault: - Rahasia aplikasi klien - String koneksi - Sandi - Kunci akses bersama - Kunci SSH

Selain itu setiap informasi terkait rahasia seperti nama pengguna, id aplikasi dapat disimpan sebagai tag secara rahasia. Untuk pengaturan konfigurasi sensitif lainnya, Anda harus menggunakan = Azure App Configuration.

Referensi

Lihat Pustaka Klien untuk paket instalasi dan kode sumber.

Untuk informasi selengkapnya tentang sarana keamanan data Key Vault, lihat fitur keamanan Azure Key Vault.

Menggunakan Key Vault dalam Aplikasi

Anda sebaiknya menggunakan SDK Key Vault yang tersedia agar dapat menggunakan rahasia, sertifikat, dan kunci dalam aplikasi Anda untuk memanfaatkan fitur terbaru di Key Vault. Key Vault SDK dan REST API dirilis oleh tim kami saat kami merilis fitur baru produk serta mengikuti praktik dan pedoman terbaik kami.

Pustaka dan solusi integrasi untuk skenario penggunaan terbatas

Untuk skenario dasar, ada solusi lain untuk penggunaan yang disederhanakan dengan dukungan yang diberikan oleh tim mitra atau komunitas sumber terbuka.

Sertifikat:
Rahasia:

Contoh kode

Untuk contoh lengkap menggunakan Key Vault dengan aplikasi Anda, lihat:

Petunjuk

Artikel dan skenario berikut ini menyediakan panduan khusus tugas untuk bekerja dengan Azure Key Vault:

Terintegrasi dengan Key Vault

Artikel ini berisi tentang skenario dan layanan lain yang menggunakan atau berintegrasi dengan Key Vault.

  • Enkripsi saat istirahat memungkinkan pengkodean (enkripsi) data ketika masih ada. Kunci enkripsi data sering kali dienkripsi dengan kunci enkripsi kunci di Azure Key Vault untuk membatasi akses lebih lanjut.
  • Perlindungan Informasi Azure memungkinkan Anda untuk membuat kunci penyewa Anda sendiri. Misalnya, alih-alih Microsoft mengelola kunci penyewa Anda (default), Anda dapat mengelola kunci penyewa Anda sendiri untuk mematuhi peraturan tertentu yang berlaku bagi organisasi Anda. Mengelola kunci penyewa Anda sendiri juga disebut sebagai membawa kunci Anda sendiri, atau BYOK.
  • Layanan Azure Private Link memungkinkan Anda mengakses Layanan Azure (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) serta layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Pribadi di jaringan virtual Anda.
  • Integrasi Key Vault dengan Event Grid memungkinkan pengguna untuk diberi tahu ketika status rahasia yang disimpan dalam brankas kunci telah berubah. Anda dapat mendistribusikan versi rahasia baru ke aplikasi atau memutar rahasia yang hampir kedaluwarsa untuk mencegah pemadaman.
  • Anda dapat melindungi rahasia Azure DevOps Anda dari akses yang tidak diinginkan di Key Vault.
  • Gunakan rahasia yang disimpan di Key Vault dalam DataBricks untuk menyambung ke Microsoft Azure Storage
  • Konfigurasi dan jalankan penyedia Azure Key Vault untuk driver CSI Penyimpanan Rahasia di Kube

Gambaran umum dan konsep Key Vault

Sosial