Cos'è l'insieme di credenziali chiave di Azure?What is Azure Key Vault?

L'insieme di credenziali delle chiavi di Azure è disponibile nella maggior parte delle aree.Azure Key Vault is available in most regions. Per altre informazioni, vedere la pagina Insieme di credenziali delle chiavi - Prezzi.For more information, see the Key Vault pricing page.

IntroduzioneIntroduction

L'insieme di credenziali chiave di Azure consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud.Azure Key Vault helps safeguard cryptographic keys and secrets used by cloud applications and services. Con l'insieme di credenziali delle chiavi è possibile crittografare chiavi e segreti (ad esempio, chiavi di autenticazione, chiavi dell'account di archiviazione, chiavi di crittografia dati, file PFX e password) usando chiavi protette da moduli di protezione hardware (HSM).By using Key Vault, you can encrypt keys and secrets (such as authentication keys, storage account keys, data encryption keys, .PFX files, and passwords) by using keys that are protected by hardware security modules (HSMs). Per una maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware.For added assurance, you can import or generate keys in HSMs. Se si sceglie di eseguire questa operazione, Microsoft elabora le chiavi in moduli di protezione hardware FIPS 140-2 livello 2 convalidati (hardware e firmware).If you choose to do this, Microsoft processes your keys in FIPS 140-2 Level 2 validated HSMs (hardware and firmware).

L'insieme di credenziali chiave semplifica il processo di gestione delle chiavi e consente di mantenere il controllo delle chiavi che accedono ai dati e li crittografano.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Gli sviluppatori possono creare chiavi per lo sviluppo e il test in pochi minuti e quindi eseguirne facilmente la migrazione alle chiavi di produzione.Developers can create keys for development and testing in minutes, and then seamlessly migrate them to production keys. Gli amministratori della sicurezza possono concedere (e revocare) le autorizzazioni per chiavi, in base alle esigenze.Security administrators can grant (and revoke) permission to keys, as needed.

La seguente tabella permette di capire meglio come l'insieme di credenziali chiave aiuti a soddisfare le esigenze degli sviluppatori e degli amministratori della sicurezza.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RuoloRole Presentazione del problemaProblem statement Soluzione offerta dall'insieme di credenziali chiave di AzureSolved by Azure Key Vault
Sviluppatore di un'applicazione AzureDeveloper for an Azure application "Voglio scrivere un'applicazione per Azure che usi chiavi per la firma e la crittografia, che però dovranno essere esterne all'applicazione, in modo che la soluzione sia adatta a un'applicazione geograficamente distribuita.“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

Voglio anche che queste chiavi e questi segreti siano protetti, senza dover scrivere manualmente il codice,I also want these keys and secrets to be protected, without having to write the code myself. e voglio poterli usare facilmente dall'applicazione ottenendo prestazioni ottimali."I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ Le chiavi vengono archiviate in un insieme di credenziali e richiamate dall'URI quando è necessario.√ Keys are stored in a vault and invoked by URI when needed.

√ Le chiavi vengono protette da Azure con algoritmi standard del settore, lunghezze delle chiavi e moduli di protezione hardware.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs).

√ Le chiavi vengono elaborate in moduli di protezione hardware che risiedono negli stessi data center di Azure in cui si trovano le applicazioni.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. In questo modo si ottiene una migliore affidabilità e una latenza ridotta rispetto a quando le chiavi si trovano in una posizione diversa, ad esempio in locale.This provides better reliability and reduced latency than if the keys reside in a separate location, such as on-premises.
Sviluppatore di software come un servizio (SaaS)Developer for Software as a Service (SaaS) "Non voglio essere in alcun modo responsabile delle chiavi e dei segreti dei tenant dei miei clienti.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Voglio che siano i clienti a possedere e gestire le chiavi per potermi concentrare su ciò che so fare meglio, ovvero fornire le principali funzionalità del software."I want the customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ I clienti possono importare le loro chiavi in Azure e gestirle.√ Customers can import their own keys into Azure, and manage them. Quando un'applicazione SaaS deve eseguire operazioni di crittografia usando le chiavi dei clienti, è l'insieme di credenziali delle chiavi a eseguirle per conto dell'applicazione.When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. L'applicazione non vede le chiavi dei clienti.The application does not see the customers’ keys.
Responsabile della sicurezzaChief security officer (CSO) "Voglio la certezza che le applicazioni siano conformi ai moduli di protezione hardware FIPS 140-2 livello 2 per la gestione delle chiavi protetta.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Voglio assicurarmi che la mia organizzazione abbia il controllo del ciclo di vita delle chiavi e possa monitorare l'utilizzo delle chiavi.I want to make sure that my organization is in control of the key life cycle and can monitor key usage.

Anche se usiamo più servizi e risorse di Azure, voglio gestire le chiavi da una sola posizione in Azure.And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ I moduli di protezione hardware hanno la certificazione FIPS 140-2 livello 2.√ HSMs are FIPS 140-2 Level 2 validated.

√ L'insieme di credenziali delle chiavi è progettato in modo che Microsoft non possa vedere o estrarre le chiavi.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Registrazione quasi in tempo reale dell'utilizzo delle chiavi.√ Near real-time logging of key usage.

√ L'insieme di credenziali offre un'unica interfaccia, indipendentemente dal numero di insiemi di credenziali disponibili in Azure, dalle aree supportate e dalle applicazioni che li usano.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Chiunque abbia una sottoscrizione di Azure può creare e usare insiemi di credenziali delle chiavi.Anybody with an Azure subscription can create and use key vaults. Anche se l'insieme di credenziali chiave è un vantaggio per sviluppatori e amministratori della sicurezza, può essere implementato e gestito dall'amministratore di un'organizzazione che gestisce altri servizi di Azure per un'organizzazione.Although Key Vault benefits developers and security administrators, it could be implemented and managed by an organization’s administrator who manages other Azure services for an organization. Ad esempio, questo amministratore potrebbe accedere con una sottoscrizione di Azure, creare un insieme di credenziali per l'organizzazione in cui archiviare le chiavi e quindi essere responsabile di attività operative, ad esempio:For example, this administrator would sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • Creare o importare una chiave o un segretoCreate or import a key or secret
  • Revocare o eliminare una chiave o un segretoRevoke or delete a key or secret
  • Autorizzare gli utenti o le applicazioni per l'accesso all'insieme di credenziali delle chiavi, per consentire la gestione o l'uso delle chiavi e dei segreti corrispondentiAuthorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Configurare l'utilizzo delle chiavi (ad esempio, la firma o la crittografia)Configure key usage (for example, sign or encrypt)
  • Monitorare l'utilizzo delle chiaviMonitor key usage

L'amministratore quindi fornirebbe agli sviluppatori gli URI da chiamare dalle applicazioni e fornirebbe all'amministrazione della sicurezza le informazioni sulla registrazione dell'utilizzo delle chiavi.This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

Panoramica dell'insieme di credenziali chiave di Azure

Gli sviluppatori possono gestire le chiavi anche direttamente, usando le API.Developers can also manage the keys directly, by using APIs. Per altre informazioni, vedere la Guida per gli sviluppatori dell'insieme di credenziali delle chiavi di Azure.For more information, see the Key Vault developer's guide.

Passaggi successiviNext Steps

Per un'esercitazione introduttiva per gli amministratori, vedere Introduzione all'insieme di credenziali chiave di Azure.For a getting started tutorial for an administrator, see Get Started with Azure Key Vault.

Per altre informazioni sulla registrazione dell'utilizzo per l'insieme di credenziali delle chiavi, vedere Registrazione dell'insieme di credenziali delle chiavi di Azure.For more information about usage logging for Key Vault, see Azure Key Vault Logging.

Per altre informazioni sull'uso di chiavi e segreti con l'insieme di credenziali delle chiavi di Azure, vedere About Keys, Secrets, and Certificates (Informazioni su chiavi, segreti e certificati).For more information about using keys and secrets with Azure Key Vault, see About Keys, Secrets, and Certificates.