Procedure consigliate per l'utilizzo di Key VaultBest practices to use Key Vault

Controllare l'accesso all'insieme di credenzialiControl Access to your vault

Azure Key Vault è un servizio cloud che protegge le chiavi di crittografia e i segreti, come certificati, stringhe di connessione e password.Azure Key Vault is a cloud service that safeguards encryption keys and secrets like certificates, connection strings, and passwords. Poiché questi dati sono riservati e importanti per l'azienda, è necessario proteggere gli insiemi di credenziali delle chiavi consentendo l'accesso solo ad applicazioni e utenti autorizzati.Because this data is sensitive and business critical, you need to secure access to your key vaults by allowing only authorized applications and users. Questo articolo fornisce una panoramica del modello di accesso key Vault.This article provides an overview of the Key Vault access model. Verranno illustrate l'autenticazione e l'autorizzazione e sarà descritto come proteggere l'accesso agli insiemi di credenziali delle chiavi.It explains authentication and authorization, and describes how to secure access to your key vaults.

I suggerimenti per il controllo dell'accesso all'insieme di credenziali sono i seguenti:Suggestions while controlling access to your vault are as follows:

  1. Bloccare l'accesso alla sottoscrizione, al gruppo di risorse e agli insiemi di credenziali delle chiavi (RBAC)Lock down access to your subscription, resource group and Key Vaults (RBAC)
  2. Creare criteri di accesso per ogni insieme di credenzialiCreate Access policies for every vault
  3. Usare l'entità di accesso con privilegi minimi per concedere l'accessoUse least privilege access principal to grant access
  4. Attivare gli endpoint di servizio firewall e VNETTurn on Firewall and VNET Service Endpoints

USA Key Vault separateUse separate Key Vault

Si consiglia di usare un insieme di credenziali per ogni applicazione per ambiente (sviluppo, pre-produzione e produzione).Our recommendation is to use a vault per application per environment (Development, Pre-Production and Production). Ciò consente di non condividere i segreti tra gli ambienti e di ridurre anche la minaccia in caso di violazione.This helps you not share secrets across environments and also reduces the threat in case of a breach.

BackupBackup

Assicurarsi di eseguire backup regolari dell'insieme di credenziali per l'aggiornamento, l'eliminazione o la creazione di oggetti all'interno di un insieme di credenziali.Make sure you take regular back ups of your vault on update/delete/create of objects within a Vault.

Azure PowerShell comandi di backupAzure PowerShell Backup Commands

Comandi di backup di Azure CLIAzure CLI Backup Commands

Attivare la registrazioneTurn on Logging

Attivare la registrazione per l'insieme di credenziali.Turn on logging for your Vault. Configurare anche gli avvisi.Also set up alerts.

Attiva opzioni di ripristinoTurn on recovery options

  1. Attivare l' eliminazionetemporanea.Turn on Soft Delete.
  2. Attivare ripulitura protezione se si vuole evitare l'eliminazione forzata del segreto/insieme di credenziali anche dopo aver attivato l'eliminazione temporanea.Turn on purge protection if you want to guard against force deletion of the secret / vault even after soft-delete is turned on.