キー、シークレット、証明書についてAbout keys, secrets, and certificates

Azure Key Vault では、Microsoft Azure アプリケーションとユーザーはいくつかの種類のシークレット/キー データを保存して使用できます。Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data:

  • 暗号化キー:複数のキーの種類とアルゴリズムをサポートし、価値の高いキーにハードウェア セキュリティ モジュールを使用できるようにします。Cryptographic keys: Supports multiple key types and algorithms, and enables the use of Hardware Security Modules (HSM) for high value keys. 詳細については、キーについてのページを参照してください。For more information, see About keys.
  • シークレット:パスワードやデータベース接続文字列などのシークレットのセキュリティで保護されたストレージを提供します。Secrets: Provides secure storage of secrets, such as passwords and database connection strings. 詳細については、シークレットについてのページを参照してください。For more information, see About secrets.
  • Certificates:キーとシークレットを基に構築され、自動更新機能を追加します。Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. 詳細については、証明書についてのページを参照してください。For more information, see About certificates.
  • Azure Storage:Azure Storage アカウントのキーを自動的に管理できます。Azure Storage: Can manage keys of an Azure Storage account for you. 内部的には、Key Vault は Azure ストレージ アカウントのキーを一覧表示し (同期)、定期的にキーを再生成 (ローテーション) できます。Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. 詳細については、Key Vault を使用してストレージ アカウント キーを管理する方法に関するページを参照してください。For more information, see Manage storage account keys with Key Vault.

Key Vault の一般的な情報については、「Azure Key Vault について」を参照してください。For more general information about Key Vault, see About Azure Key Vault.

データ型Data types

キー、暗号化、および署名に関連するデータ型については、JOSE の仕様をご覧ください。Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorithm - キーの操作に対してサポートされるアルゴリズムです (RSA1_5 など)algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • ciphertext-value - Base64URL を使用してエンコードされた暗号テキスト オクテットですciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value - Base64URL を使用してエンコードされたハッシュ アルゴリズムの出力ですdigest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type - サポートされているキーの種類の 1 つです (RSA (Rivest-Shamir-Adleman) など)。key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • plaintext-value - Base64URL を使用してエンコードされたプレーンテキスト オクテットですplaintext-value - plaintext octets, encoded using Base64URL
  • signature-value - Base64URL を使用してエンコードされた署名アルゴリズムの出力ですsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL - Base64URL [RFC4648] でエンコードされたバイナリ値ですbase64URL - a Base64URL [RFC4648] encoded binary value
  • boolean - true または false ですboolean - either true or false
  • Identity - Azure Active Directory (AAD) からの ID です。Identity - an identity from Azure Active Directory (AAD).
  • IntDate - 1970-01-01T0:0:0Z UTC から指定された UTC 日時までの秒数を表す JSON 10 進値です。IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. 一般的および UTC 固有の日付/時刻に関する詳細については、RFC3339 をご覧ください。See RFC3339 for details regarding date/times, in general and UTC in particular.

オブジェクト、識別子、バージョン管理Objects, identifiers, and versioning

Key Vault に格納されるオブジェクトは、オブジェクトの新しいインスタンスが作成されるたびにバージョン管理されます。Objects stored in Key Vault are versioned whenever a new instance of an object is created. 各バージョンには、一意の識別子と URL が割り当てられます。Each version is assigned a unique identifier and URL. オブジェクトが最初に作成されるときに、オブジェクトに一意のバージョン識別子が指定され、オブジェクトの現在のバージョンとしてマークされます。When an object is first created, it's given a unique version identifier and marked as the current version of the object. 同じオブジェクト名の新しいインスタンスが作成されると、新しいオブジェクトに一意のバージョン識別子が与えられ、現在のバージョンになります。Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Key Vault 内のオブジェクトをアドレス指定する場合、バージョンを指定することも、オブジェクトの現在のバージョンに対する操作でバージョンを省略することもできます。Objects in Key Vault can be addressed by specifing a version or by omitting version for operations on current version of the object. たとえば、キーの名前を MasterKey とした場合、バージョンを指定せずに操作を実行すると、システムは使用可能な最新のバージョンを使用します。For example, given a Key with the name MasterKey, performing operations without specifing a version causes the system to use the latest available version. バージョン固有の識別子を指定して操作を実行すると、システムはオブジェクトの特定のバージョンを使用します。Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Key Vault 内のオブジェクトは、URL を使用して一意に識別されます。Objects are uniquely identified within Key Vault using a URL. 地理的場所に関係なく、システム内の複数のオブジェクトが同じ URL を持つことはありません。No two objects in the system have the same URL, regardless of geo-location. オブジェクトの完全な URL は、オブジェクト識別子と呼ばれます。The complete URL to an object is called the Object Identifier. URL は、Key Vault を示すプレフィックス、オブジェクトの種類、ユーザー指定のオブジェクト名、およびオブジェクトのバージョンで構成されます。The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. オブジェクト名は大文字と小文字が区別されず、変更できません。The Object Name is case-insensitive and immutable. オブジェクトのバージョンを含まない識別子は、ベース識別子と呼ばれます。Identifiers that don't include the Object Version are referred to as Base Identifiers.

詳しくは、「Authentication, requests, and responses」(認証、要求、応答) をご覧ください。For more information, see Authentication, requests, and responses

オブジェクト識別子の一般的な形式は次のとおりです。An object identifier has the following general format:

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

各値の説明:Where:

要素Element 説明Description
keyvault-name Microsoft Azure Key Vault サービスでのキー コンテナーの名前。The name for a key vault in the Microsoft Azure Key Vault service.

キー コンテナーの名前はユーザーが選択し、グローバルに一意です。Key Vault names are selected by the user and are globally unique.

Key Vault の名前は、0 ~ 9、a ~ z、A ~ Z、- のみを使った 3 ~ 24 文字の文字列である必要があります。Key Vault name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type オブジェクトの種類で、"keys"、"secrets"、"certificates" のいずれかになります。The type of the object, "keys", "secrets", or 'certificates'.
object-name object-name は、ユーザーが指定する名前で、キー コンテナー内で一意である必要があります。An object-name is a user provided name for and must be unique within a Key Vault. 名前は、文字で始まり、0 から 9、a から z、A から Z、および - のみを使った 1 から 127 文字の文字列である必要があります。The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version object-version はシステムが生成し、オブジェクトの一意のバージョンに対応するために必要に応じて使用される 32 文字の文字列識別子です。An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

次のステップNext steps