Guida per gli sviluppatori per Azure Key Vault

Azure Key Vault consente di accedere in modo sicuro alle informazioni riservate dall'interno delle applicazioni:

  • Le chiavi, i segreti e i certificati sono protetti senza dover scrivere manualmente il codice ed è possibile usarli facilmente dalle applicazioni.
  • È possibile consentire ai clienti di essere proprietari e di eseguire la gestione dei propri segreti, chiavi e certificati, in modo da concentrarsi sulle principali funzionalità software da rendere disponibili. In questo modo, le applicazioni non saranno proprietarie della responsabilità o della potenziale responsabilità per le chiavi, i segreti e i certificati del tenant dei clienti.
  • L'applicazione può usare le chiavi per la firma e la crittografia, ma mantenere la gestione delle chiavi esterna dall'applicazione. Per altre informazioni, vedere Informazioni sulle chiavi.
  • È possibile gestire credenziali come password, chiavi di accesso e token di firma di accesso condiviso archiviandoli in Key Vault come segreti. Per altre informazioni, vedere Informazioni sui segreti.
  • Gestire i certificati. Per altre informazioni, vedere Informazioni sui certificati.

Per informazioni generali su Azure Key Vault, vedere Informazioni su Azure Key Vault.

Anteprime pubbliche

Periodicamente, viene rilasciata un'anteprima pubblica di una nuova funzionalità di Key Vault. Provare le funzionalità di anteprima pubblica e segnalare cosa si pensa tramite azurekeyvault@microsoft.com, l'indirizzo di posta elettronica di feedback.

Creare e gestire insiemi di credenziali delle chiavi

Come per altri servizi di Azure, Key Vault viene gestito tramite Azure Resource Manager. Azure Resource Manager è il servizio di distribuzione e gestione di Azure. È possibile usarlo per creare, aggiornare ed eliminare le risorse nell'account Azure.

Il controllo degli accessi in base al ruolo di Azure controlla l'accesso al livello di gestione, noto anche come piano di gestione. Usare il piano di gestione in Key Vault per creare e gestire insiemi di credenziali delle chiavi e i relativi attributi, inclusi i criteri di accesso. Usare il piano dati per gestire chiavi, certificati e segreti.

È possibile usare il ruolo di collaboratore predefinito di Key Vault per concedere l'accesso di gestione a Key Vault.

API e SDK per la gestione dell'insieme di credenziali delle chiavi

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento Riferimento
Guida introduttiva
Riferimento Riferimento Riferimento Riferimento

Per i pacchetti di installazione e il codice sorgente, vedere Librerie client.

Eseguire l'autenticazione in Key Vault nel codice

Key Vault usa l'autenticazione di Azure Active Directory (Azure AD), che richiede un'entità di sicurezza di Azure AD per concedere l'accesso. Un'entità di sicurezza di Azure AD può essere un utente, un'entità servizio dell'applicazione, un'identità gestita per le risorse di Azure o un gruppo di questi tipi.

Procedure consigliate per l'autenticazione

È consigliabile usare un'identità gestita per le applicazioni distribuite in Azure. Se si usano servizi di Azure che non supportano le identità gestite o se le applicazioni vengono distribuite in locale, un'entità servizio con un certificato è una possibile alternativa. In questo scenario, il certificato deve essere archiviato in Key Vault e ruotato di frequente.

Usare un'entità servizio con un segreto per gli ambienti di sviluppo e test. Usare un'entità utente per lo sviluppo locale e Azure Cloud Shell.

È consigliabile usare queste entità di sicurezza in ogni ambiente:

  • Ambiente di produzione: identità gestita o entità servizio con un certificato.
  • Ambienti di test e sviluppo: identità gestita, entità servizio con certificato o entità servizio con un segreto.
  • Sviluppo locale: entità utente o entità servizio con un segreto.

Librerie client di Identità di Azure

Gli scenari di autenticazione precedenti sono supportati dalla libreria client di Identità di Azure e integrati con gli SDK di Key Vault. È possibile usare la libreria client di Identità di Azure tra ambienti e piattaforme senza modificare il codice. La libreria recupera automaticamente i token di autenticazione dagli utenti che hanno eseguito l'accesso all'utente di Azure tramite l'interfaccia della riga di comando di Azure, Visual Studio, Visual Studio Code e altri mezzi.

Per altre informazioni sulla libreria client di Identità di Azure, vedere:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Nota

È consigliabile usare la libreria di autenticazione delle app per Key Vault .NET SDK versione 3, ma è ora deprecata. Per eseguire la migrazione a Key Vault .NET SDK versione 4, seguire le linee guida per la migrazione di AppAuthentication ad Azure.Identity.

Per le esercitazioni su come eseguire l'autenticazione a Key Vault nelle applicazioni, vedere:

Gestire chiavi, certificati e segreti

Il piano dati controlla l'accesso a chiavi, certificati e segreti. È possibile usare i criteri di accesso dell'insieme di credenziali locali o il controllo degli accessi in base al ruolo di Azure per il controllo di accesso tramite il piano dati.

API e SDK per le chiavi

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva

API e SDK per i certificati

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento N/D Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva

API e SDK per i segreti

Interfaccia della riga di comando di Azure PowerShell API REST Gestione risorse .NET Python Java JavaScript
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva
Riferimento
Guida introduttiva

Utilizzo dei segreti

Usare Azure Key Vault per archiviare solo i segreti per l'applicazione. Esempi di segreti che devono essere archiviati in Key Vault includono:

  • Segreti dell'applicazione client
  • Stringhe di connessione
  • Password
  • Chiavi di accesso condiviso
  • Chiavi SSH

Qualsiasi informazione correlata al segreto, ad esempio nomi utente e ID applicazione, può essere archiviata come tag in un segreto. Per qualsiasi altra impostazione di configurazione sensibile, è consigliabile usare Configurazione app di Azure.

Riferimenti

Per i pacchetti di installazione e il codice sorgente, vedere Librerie client.

Per informazioni sulla sicurezza del piano dati per Key Vault, vedere Funzionalità di sicurezza di Azure Key Vault.

Usare Key Vault nelle applicazioni

Per sfruttare le funzionalità più recenti di Key Vault, è consigliabile usare gli SDK di Key Vault disponibili per l'uso di segreti, certificati e chiavi nell'applicazione. Gli SDK di Key Vault e l'API REST vengono aggiornati man mano che vengono rilasciate nuove funzionalità per il prodotto e seguono le procedure consigliate e le linee guida.

Per gli scenari di base, sono disponibili altre librerie e soluzioni di integrazione per l'utilizzo semplificato, con il supporto fornito dai partner Microsoft o dalle community open source.

Per i certificati, è possibile usare:

Per i segreti, è possibile usare:

Esempi di codice

Per esempi completi dell'uso di Key Vault con le applicazioni, vedere Esempi di codice di Azure Key Vault.

Linee guida specifiche dell'attività

Gli articoli e gli scenari seguenti offrono indicazioni specifiche su come usare l'insieme di credenziali delle chiavi di Azure:

Integrazione con Key Vault

I servizi e gli scenari seguenti usano o si integrano con Key Vault:

  • La crittografia dei dati inattivi consente la codifica (crittografia) dei dati quando è persistente. Le chiavi di crittografia dei dati vengono spesso crittografate con una chiave di crittografia della chiave in Azure Key Vault per limitare ulteriormente l'accesso.
  • Azure Information Protection consente di gestire la propria chiave tenant. Ad esempio, anziché affidare a Microsoft la gestione della chiave tenant (impostazione predefinita), l'utente può gestire la propria chiave tenant per garantire la conformità alle normative specifiche che si applicano all'organizzazione. La gestione della propria chiave tenant viene chiamata anche bring your own key (BYOK).
  • Collegamento privato di Azure consente di accedere ai servizi di Azure, ad esempio Azure Key Vault, Archiviazione di Azure e Azure Cosmos DB, nonché ai servizi clienti/partner ospitati in Azure su un endpoint privato nella rete virtuale.
  • L'integrazione di Key Vault con Griglia di eventi di Azure consente agli utenti di ricevere una notifica quando lo stato di un segreto archiviato in Key Vault è stato modificato. È possibile distribuire nuove versioni di segreti alle applicazioni o ruotare segreti quasi scaduti per evitare interruzioni.
  • Proteggere i segreti di Azure DevOps dall'accesso indesiderato in Key Vault.
  • Usare i segreti archiviati in Key Vault per connettersi ad Archiviazione di Azure da Azure Databricks.
  • Configurare ed eseguire il provider di Azure Key Vault per il driver CSI dell'archivio segreti in Kubernetes.

Panoramiche e concetti su Key Vault

Per informazioni su:

Social network