Informazioni su chiavi, segreti e certificatiAbout keys, secrets, and certificates

Azure Key Vault consente agli utenti e alle applicazioni di Microsoft Azure di archiviare e usare diversi tipi di segreti e chiavi:Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data:

  • Chiavi di crittografia. Supportano più tipi di chiavi e algoritmi e consentono di usare moduli di protezione hardware per le chiavi di valore elevato.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of Hardware Security Modules (HSM) for high value keys. Per altre informazioni, vedere Informazioni sulle chiavi.For more information, see About keys.
  • Segreti. Offre l'archiviazione sicura di segreti, ad esempio password e stringhe di connessione di database.Secrets: Provides secure storage of secrets, such as passwords and database connection strings. Per altre informazioni, vedere Informazioni sui segreti.For more information, see About secrets.
  • Certificati. Supporta i certificati, basati su chiavi e segreti, e aggiunge una funzionalità di rinnovo automatico.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. Per altre informazioni, vedere Informazioni sui certificati.For more information, see About certificates.
  • Archiviazione di Azure. Può gestire le chiavi di un account di archiviazione di Azure per l'utente.Azure Storage: Can manage keys of an Azure Storage account for you. Internamente, Key Vault può elencare (sincronizzare) le chiavi con un account di archiviazione di Azure e rigenerare (ruotare) tali chiavi con cadenza periodica.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. Per altre informazioni, vedere Gestire le chiavi di accesso dell'account di archiviazione con Key Vault.For more information, see Manage storage account keys with Key Vault.

Per altre informazioni generali su Key Vault, vedere Informazioni su Azure Key Vault.For more general information about Key Vault, see About Azure Key Vault.

Tipi di datiData types

Fare riferimento alle specifiche JOSE per i tipi di dati pertinenti per chiavi, crittografia e firma.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algoritmo: un algoritmo supportato per un'operazione della chiave, ad esempio, RSA1_5algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • valore di testo crittografato: ottetti di testo cifrati, codificati tramite Base64URLciphertext-value - cipher text octets, encoded using Base64URL
  • valore di digest: l'output di un algoritmo hash, codificato tramite Base64URLdigest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type: uno dei tipi di chiave supportati, ad esempio RSA (Rivest-Shamir-Adleman)key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • valore di testo non crittografato: ottetti di testo non crittografato, codificati tramite Base64URLplaintext-value - plaintext octets, encoded using Base64URL
  • valore di firma: l'output di un algoritmo di firma, codificato tramite Base64URLsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL: un valore binario Base64URL [RFC4648] codificatobase64URL - a Base64URL [RFC4648] encoded binary value
  • booleano: vero o falsoboolean - either true or false
  • Identità: un identità di Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate : un valore decimale JSON che rappresenta il numero di secondi da 1970-01-01T0:0:0Z UTC fino alla data/ora UTC specificata.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Per informazioni dettagliate sui valori data/ora in generale e UTC in particolare, vedere RFC3339.See RFC3339 for details regarding date/times, in general and UTC in particular.

Oggetti, identificatori e controllo delle versioniObjects, identifiers, and versioning

Agli oggetti archiviati in Key Vault viene applicato il controllo delle versioni ogni volta che si crea una nuova istanza di un oggetto.Objects stored in Key Vault are versioned whenever a new instance of an object is created. A ogni versione vengono assegnati un identificatore univoco e un URL.Each version is assigned a unique identifier and URL. Un oggetto creato per la prima volta viene etichettato con un identificatore univoco della versione e contrassegnato come versione corrente dell'oggetto.When an object is first created, it's given a unique version identifier and marked as the current version of the object. La creazione di una nuova istanza con lo stesso nome assegna al nuovo oggetto un identificatore univoco della versione, trasformando tale oggetto nella versione corrente.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Gli oggetti disponibili in Key Vault possono essere gestiti specificando una versione o omettendola per le operazioni con la versione corrente dell'oggetto.Objects in Key Vault can be addressed by specifing a version or by omitting version for operations on current version of the object. Ad esempio, data una chiave con il nome MasterKey, se vengono eseguite operazioni senza specificare una versione il sistema usa l'ultima versione disponibile.For example, given a Key with the name MasterKey, performing operations without specifing a version causes the system to use the latest available version. L'esecuzione di operazioni con l'identificatore specifico della versione fa sì che il sistema userà quella versione specifica dell'oggetto.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

All'interno di Key Vault gli oggetti sono identificati in modo univoco con un URL.Objects are uniquely identified within Key Vault using a URL. Nel sistema non esistono coppie di oggetti con lo stesso URL, indipendentemente dalla posizione geografica.No two objects in the system have the same URL, regardless of geo-location. L'URL completo di un oggetto viene chiamato identificatore di oggetto.The complete URL to an object is called the Object Identifier. L'URL è costituito da un prefisso che identifica l'insieme di credenziali delle chiavi, seguito dal tipo di oggetto, dal nome dell'oggetto specificato dall'utente e dalla versione dell'oggetto.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Il nome dell'oggetto non è modificabile e non fa distinzione tra maiuscole e minuscole.The Object Name is case-insensitive and immutable. Gli identificatori che non includono la versione dell'oggetto vengono definiti identificatori di base.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Per ulteriori informazioni, vedere Autenticazione, richieste e risposteFor more information, see Authentication, requests, and responses

Un identificatore di oggetto ha il seguente formato generale:An object identifier has the following general format:

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

Dove:Where:

keyvault-name Il nome per un insieme di credenziali delle chiavi nel servizio Microsoft Azure Key Vault.The name for a key vault in the Microsoft Azure Key Vault service.

I nomi di Key Vault vengono selezionati dall'utente e sono univoci.Key Vault names are selected by the user and are globally unique.

Il nome dell'insieme di credenziali delle chiavi deve essere costituito da una stringa di lunghezza compresa tra 3 e 24 caratteri, contenente solo i numeri 0-9, i caratteri a-z e A-Z e il trattino -.Key Vault name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Tipo di oggetto, "chiavi", "segreti" o "certificati".The type of the object, "keys", "secrets", or 'certificates'.
object-name Un object-name è un nome utente fornito per un Key Vault e deve essere univoco all'interno di esso.An object-name is a user provided name for and must be unique within a Key Vault. Il nome deve essere costituito da una stringa di lunghezza compresa tra 1 e 127 caratteri, che inizia con una lettera e contiene solo i numeri 0-9, i caratteri a-z e A-Z e il trattino -.The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version object-version è un identificatore di stringa di 32 caratteri generato dal sistema che viene usato facoltativamente per fare riferimento a una versione univoca di un oggetto.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Passaggi successiviNext steps