Inleiding tot Key Vault in Azure Stack Hub
Vereisten
- Abonneer u op een aanbieding die de Azure Key Vault omvat.
- PowerShell is geïnstalleerd en geconfigureerd voor gebruik met Azure Stack Hub.
Key Vault basisinformatie
Key Vault in Azure Stack Hub helpt bij het beveiligen van cryptografische sleutels en geheimen die door cloud-apps en -services worden gebruikt. Met Key Vault kunt u sleutels en geheimen versleutelen, zoals:
- Verificatiesleutels
- Opslagaccountsleutels
- Sleutels voor gegevensversleuteling
- PFX-bestanden
- Wachtwoorden
Key Vault stroomlijnt het beheerproces voor sleutels en zorgt dat u de controle houdt over de sleutels waarmee uw gegevens toegankelijk zijn en worden versleuteld. Ontwikkelaars kunnen binnen enkele minuten sleutels voor ontwikkel- en testdoeleinden maken en deze vervolgens probleemloos migreren naar productiesleutels. Beveiligingsbeheerders kunnen indien nodig machtigingen voor sleutels verlenen (en intrekken).
Iedereen met een Azure Stack Hub kan sleutelkluizen maken en gebruiken. Hoewel Key Vault ontwikkelaars en beveiligingsbeheerders voordelen biedt, kan de operator die andere Azure Stack Hub-services voor een organisatie beheert, deze implementeren en beheren. De operator Azure Stack Hub bijvoorbeeld aanmelden met een Azure Stack Hub-abonnement en een kluis maken voor de organisatie waarin sleutels moeten worden opgeslagen. Zodra dat is gebeurd, kunnen ze het volgende doen:
- Een sleutel of geheim maken of importeren.
- Een sleutel of geheim intrekken of verwijderen.
- Machtig gebruikers of apps om toegang te krijgen tot de sleutelkluis, zodat ze de sleutels en geheimen ervan kunnen beheren of gebruiken.
- Sleutelgebruik configureren (bijvoorbeeld ondertekenen of versleutelen).
De operator kan ontwikkelaars vervolgens URI's (Uniform Resource Identifiers) bieden om aan te roepen vanuit hun apps.
Ontwikkelaars kunnen de sleutels ook rechtstreeks beheren met behulp van API's. Zie de ontwikkelaarshandleiding Key Vault meer informatie.
Scenario's
In de volgende scenario's wordt Key Vault u kunt voldoen aan de behoeften van ontwikkelaars en beveiligingsbeheerders.
Ontwikkelaar voor een Azure Stack Hub app
Probleem: Ik wil een app schrijven voor Azure Stack Hub die sleutels gebruikt voor ondertekening en versleuteling. Ik wil dat deze sleutels extern zijn van mijn app, zodat de oplossing geschikt is voor een app die geografisch is gedistribueerd.
Verklaring: Sleutels worden opgeslagen in een kluis en aangeroepen door een URI wanneer dat nodig is.
SaaS-ontwikkelaar (Software as a Service)
Probleem: Ik wil niet de verantwoordelijkheid of mogelijke aansprakelijkheid voor de sleutels en geheimen van mijn klant. Ik wil dat klanten hun sleutels in bezit hebben en beheren, zodat ik me kan concentreren op wat ik het beste kan doen, wat de belangrijkste softwarefuncties is.
Verklaring: Klanten kunnen hun eigen sleutels importeren en beheren in Azure Stack Hub.
Chief Security Officer (CSO)
Probleem: Ik wil er zeker van zijn dat mijn organisatie de controle heeft over de levenscyclus van de sleutel en het sleutelgebruik kan bewaken.
Verklaring: Key Vault is zo ontworpen dat Microsoft uw sleutels niet ziet of uitpakken. Wanneer een app cryptografische bewerkingen moet uitvoeren met behulp van klantsleutels, Key Vault de sleutels namens de app gebruikt. De app ziet de klantsleutels niet. Hoewel we meerdere Azure Stack Hub en resources gebruiken, kunt u de sleutels vanaf één locatie in Azure Stack Hub. De kluis biedt één interface, ongeacht hoeveel kluizen u in Azure Stack Hub hebt, in welke regio's ze ondersteuning bieden en welke apps ze gebruiken.