Azure Key Vault per sviluppatori

Azure Key Vault consente di accedere in modo sicuro alle informazioni riservate dall'interno delle applicazioni:

  • Chiavi, segreti e certificati sono protetti senza la necessità di scrivere il codice manualmente ed è possibile usarli facilmente dalle applicazioni.
  • È possibile consentire ai clienti di possedere e gestire le proprie chiavi, segreti e certificati in modo da potersi concentrare sulla fornitura delle funzionalità software di base. In questo modo, le applicazioni non saranno proprietarie della responsabilità o della potenziale responsabilità per chiavi, segreti e certificati del tenant dei clienti.
  • L'applicazione può usare le chiavi per la firma e la crittografia, ma mantenere la gestione delle chiavi esterna all'applicazione. Per altre informazioni, vedere Informazioni sulle chiavi.
  • È possibile gestire credenziali come password, chiavi di accesso e token di firma di accesso condiviso archiviandole Key Vault come segreti. Per altre informazioni, vedere Informazioni sui segreti.
  • Gestire i certificati. Per altre informazioni, vedere Informazioni sui certificati.

Per informazioni generali sui Azure Key Vault, vedere Informazioni Azure Key Vault.

Anteprime pubbliche

Periodicamente, viene rilasciata un'anteprima pubblica di una nuova funzionalità di Key Vault. Provare le funzionalità di anteprima pubblica e inviare un messaggio di posta elettronica all'indirizzo di posta elettronica per i azurekeyvault@microsoft.com commenti e suggerimenti.

Creare e gestire insiemi di credenziali delle chiavi

Come per altri servizi di Azure, Key Vault viene gestito tramite Azure Resource Manager. Azure Resource Manager è il servizio di distribuzione e gestione di Azure. È possibile usarlo per creare, aggiornare ed eliminare risorse nell'account Azure.

Il controllo degli accessi in base al ruolo di Azure controlla l'accesso al livello di gestione, noto anche come piano di gestione. Usare il piano di gestione in Key Vault creare e gestire gli insiemi di credenziali delle chiavi e i relativi attributi, inclusi i criteri di accesso. Il piano dati viene utilizzato per gestire chiavi, certificati e segreti.

È possibile usare il ruolo collaboratore Key Vault predefinito per concedere alla gestione l'accesso Key Vault.

API e SDK per la gestione dell'insieme di credenziali delle chiavi

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento Riferimento
Guida introduttiva
Riferimento Riferimento Riferimento Riferimento

Per i pacchetti di installazione e il codice sorgente, vedere Librerie client.

Eseguire l'Key Vault nel codice

Key Vault usa Azure Active Directory (Azure AD), che richiede un'Azure AD di sicurezza per concedere l'accesso. Un Azure AD di sicurezza può essere un utente, un'entità servizio dell'applicazione, un'identità gestita per le risorse di Azureo un gruppo di questi tipi.

Procedure consigliate per l'autenticazione

È consigliabile usare un'identità gestita per le applicazioni distribuite in Azure. Se si usano servizi di Azure che non supportano identità gestite o se le applicazioni vengono distribuite in locale, un'entità servizio con un certificato è una possibile alternativa. In questo scenario, il certificato deve essere archiviato in Key Vault e ruotato di frequente.

Usare un'entità servizio con un segreto per gli ambienti di sviluppo e test. Usare un'entità utente per lo sviluppo locale e Azure Cloud Shell.

È consigliabile usare queste entità di sicurezza in ogni ambiente:

  • Ambiente di produzione: identità gestita o entità servizio con un certificato.
  • Ambienti di test e sviluppo: identità gestita, entità servizio con certificato o entità servizio con un segreto.
  • Sviluppo locale: entità utente o entità servizio con un segreto.

Librerie client di Identità di Azure

Gli scenari di autenticazione precedenti sono supportati dalla libreria client di Identità di Azure e integrati con Key Vault SDK. È possibile usare la libreria client di Identità di Azure in ambienti e piattaforme senza modificare il codice. La libreria recupera automaticamente i token di autenticazione dagli utenti che hanno eseguito l'accesso all'utente di Azure tramite l'interfaccia della riga di comando di Azure, Visual Studio, Visual Studio Code e altri mezzi.

Per altre informazioni sulla libreria client di Identità di Azure, vedere:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Nota

È stata consigliata la libreria di autenticazione app Key Vault .NET SDK versione 3, ma è ora deprecata. Per eseguire la migrazione Key Vault .NET SDK versione 4, seguire le indicazioni sulla migrazione da AppAuthentication ad Azure.Identity.

Per esercitazioni su come eseguire l'autenticazione Key Vault nelle applicazioni, vedere:

Gestire chiavi, certificati e segreti

Il piano dati controlla l'accesso a chiavi, certificati e segreti. È possibile usare i criteri di accesso dell'insieme di credenziali locale o il controllo degli accessi in base al ruolo di Azure per il controllo degli accessi tramite il piano dati.

API e SDK per le chiavi

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva

API e SDK per i certificati

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento N/D Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva

API e SDK per i segreti

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva

Utilizzo dei segreti

Usare Azure Key Vault per archiviare solo i segreti per l'applicazione. Esempi di segreti che devono essere archiviati in Key Vault includono:

  • Segreti dell'applicazione client
  • Stringhe di connessione
  • Password
  • Chiavi di accesso condiviso
  • Chiavi SSH

Tutte le informazioni relative ai segreti, ad esempio nomi utente e ID applicazione, possono essere archiviate come tag in un segreto. Per qualsiasi altra impostazione di configurazione sensibile, è consigliabile usare Configurazione app di Azure.

Riferimenti

Per i pacchetti di installazione e il codice sorgente, vedere Librerie client.

Per informazioni sulla sicurezza del piano dati per Key Vault, vedere Azure Key Vault funzionalità di sicurezza .

Usare Key Vault nelle applicazioni

Per sfruttare le funzionalità più recenti di Key Vault, è consigliabile usare gli SDK Key Vault disponibili per l'uso di segreti, certificati e chiavi nell'applicazione. Gli KEY VAULT SDK e l'API REST vengono aggiornati quando vengono rilasciate nuove funzionalità per il prodotto e seguono le procedure consigliate e le linee guida.

Per gli scenari di base, sono disponibili altre librerie e soluzioni di integrazione per un utilizzo semplificato, con il supporto fornito da partner Microsoft o community open source.

Per i certificati è possibile usare:

Per i segreti, è possibile usare:

Esempi di codice

Per esempi completi di utilizzo Key Vault con le applicazioni, vedere Azure Key Vault di codice.

Linee guida specifiche per le attività

Gli articoli e gli scenari seguenti offrono indicazioni specifiche su come usare l'insieme di credenziali delle chiavi di Azure:

  • Per accedere a un insieme di credenziali delle chiavi, l'applicazione client deve essere in grado di accedere a più endpoint per varie funzionalità. Vedere Accesso Key Vault dietro un firewall.
  • Un'applicazione cloud in esecuzione in una macchina virtuale di Azure richiede un certificato. Come si ottiene questo certificato in questa macchina virtuale? Vedere Key Vault'estensione macchina virtuale per Windows o Key Vault macchina virtuale per Linux.
  • Per assegnare criteri di accesso usando l'interfaccia della riga di comando di Azure, PowerShell o il portale di Azure, vedere Assegnare un criterio Key Vault di accesso.
  • Per indicazioni sull'uso e il ciclo di vita di un insieme di credenziali delle chiavi e di vari oggetti dell'insieme di credenziali delle chiavi con l'eliminazione software abilitata, vedere Azure Key Vault recovery management with soft delete and purge protection(Gestione del ripristino con protezione da eliminazione e ripulitura software).
  • Quando è necessario passare un valore sicuro (ad esempio una password) come parametro durante la distribuzione, è possibile archiviare tale valore come segreto in un insieme di credenziali delle chiavi e fare riferimento al valore in altri modelli Resource Manager chiave. Vedere Usare Azure Key Vault per passare valori di parametro sicuri durante la distribuzione.

Integrazione con Key Vault

I servizi e gli scenari seguenti usano o si integrano con Key Vault:

  • La crittografia in stato di inquieto consente la codifica (crittografia) dei dati quando vengono resi persistenti. Le chiavi di crittografia dei dati vengono spesso crittografate con una chiave di crittografia della chiave Azure Key Vault per limitare ulteriormente l'accesso.
  • Azure Information Protection consente di gestire la propria chiave del tenant. Ad esempio, anziché affidare a Microsoft la gestione della chiave tenant (impostazione predefinita), l'utente può gestire la propria chiave tenant per garantire la conformità alle normative specifiche che si applicano all'organizzazione. La gestione della propria chiave del tenant è detta anche BYOK (Bring Your Own Key).
  • collegamento privato di Azure consente di accedere ai servizi di Azure (ad esempio, Azure Key Vault, Archiviazione di Azure e Azure Cosmos DB) e ai servizi clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.
  • Key Vault'integrazione con Griglia di eventi di Azure consente agli utenti di ricevere una notifica quando lo stato di un segreto archiviato in Key Vault è stato modificato. È possibile distribuire nuove versioni dei segreti alle applicazioni o ruotare i segreti quasi scaduti per evitare interruzioni.
  • Proteggere i segreti Azure DevOps da accessi indesiderati in Key Vault.
  • Usare i segreti archiviati Key Vault per connettersi a Archiviazione di Azure da Azure Databricks.
  • Configurare ed eseguire il provider Azure Key Vault per il driver CSI dell'archivio segreti in Kubernetes.

Panoramiche e concetti su Key Vault

Per informazioni su:

Social network