Overzicht van sleutels, geheimen en certificaten in Azure Key Vault
Met Azure Key Vault kunnen Microsoft Azure-toepassingen en -gebruikers verschillende typen geheime/sleutelgegevens opslaan en gebruiken: sleutels, geheimen en certificaten. Sleutels, geheimen en certificaten worden gezamenlijk aangeduid als 'objecten'.
Object-id's
Objecten worden uniek geïdentificeerd in Key Vault met behulp van een niet-hoofdlettergevoelige id die de object-id wordt genoemd. Er zijn geen twee objecten in het systeem met dezelfde id, ongeacht de geografische locatie. De id bestaat uit een voorvoegsel dat de sleutelkluis, het objecttype, de door de gebruiker opgegeven objectnaam en een objectversie identificeert. Id's die de objectversie niet bevatten, worden 'basis-id's' genoemd. Key Vault-object-id's zijn ook geldige URL's, maar moeten altijd worden vergeleken als hoofdlettergevoelige tekenreeksen.
Zie Verificatie, aanvragen en antwoorden voor meer informatie
Een object-id heeft de volgende algemene indeling (afhankelijk van het containertype):
Voor kluizen:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Voor beheerde HSM-pools:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Notitie
Zie Objecttypeondersteuning voor de typen objecten die door elk containertype worden ondersteund.
Waarbij geldt:
| Element | Omschrijving |
|---|---|
vault-name of hsm-name |
De naam voor een sleutelkluis of een beheerde HSM-pool in de Microsoft Azure Key Vault-service. Namen van kluizen en beheerde HSM-pools worden geselecteerd door de gebruiker en zijn wereldwijd uniek. Kluisnaam en beheerde HSM-poolnaam moeten een tekenreeks van 3-24 tekens zijn, die alleen 0-9, a-z, A-Z en niet opeenvolgend zijn. |
object-type |
Het type object, sleutels, geheimen of certificaten. |
object-name |
Een object-name is een door de gebruiker opgegeven naam en moet uniek zijn binnen een sleutelkluis. De naam moet een reeks van 1-127 tekens zijn die begint met een letter en alleen 0-9, a-z, A-Z en - bevat. |
object-version |
Een object-version is een door het systeem gegenereerde id van 32 tekens die optioneel wordt gebruikt om een unieke versie van een object te adresseren. |
DNS-achtervoegsels voor object-id's
De Azure Key Vault-resourceprovider ondersteunt twee resourcetypen: kluizen en beheerde HSM's. In deze tabel ziet u het DNS-achtervoegsel dat wordt gebruikt door het gegevensvlakeindpunt voor kluizen en beheerde HSM-pools in verschillende cloudomgevingen.
| Cloudomgeving | DNS-achtervoegsel voor kluizen | DNS-achtervoegsel voor beheerde HSM's |
|---|---|---|
| Azure-cloud | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure beheerd door 21Vianet Cloud | .vault.azure.cn | Niet ondersteund |
| Azure van de Amerikaanse overheid | .vault.usgovcloudapi.net | Niet ondersteund |
| Cloud van Azure Duitsland | .vault.microsoftazure.de | Niet ondersteund |
Objecttypen
In deze tabel ziet u objecttypen en de bijbehorende achtervoegsels in de object-id.
| Object type | Id-achtervoegsel | Kluizen | Beheerde HSM-pools |
|---|---|---|---|
| HSM-beveiligde sleutels | /keys | Ondersteund | Ondersteund |
| Met software beveiligde sleutels | /keys | Ondersteund | Niet ondersteund |
| Geheimen | /secrets | Ondersteund | Niet ondersteund |
| Certificaten | /certificates | Ondersteund | Niet ondersteund |
| Opslagaccountsleutels | /Opslag | Ondersteund | Niet ondersteund |
- Cryptografische sleutels: ondersteunt meerdere sleuteltypen en algoritmen en maakt het gebruik van met software beveiligde en met HSM beveiligde sleutels mogelijk. Zie Over sleutels voor meer informatie.
- Geheimen: Biedt veilige opslag van geheimen, zoals wachtwoorden en database-verbindingsreeks s. Zie Over geheimen voor meer informatie.
- Certificaten: ondersteunt certificaten, die zijn gebouwd op basis van sleutels en geheimen en een functie voor automatische verlenging toevoegen. Houd er rekening mee dat wanneer een certificaat wordt gemaakt, er ook een adresseerbare sleutel en geheim met dezelfde naam worden gemaakt. Zie Over certificaten voor meer informatie.
- Azure Storage-accountsleutels: kan sleutels van een Azure Storage-account voor u beheren. Intern kan Key Vault sleutels synchroniseren met een Azure Storage-account en de sleutels periodiek opnieuw genereren (rouleren). Zie Opslagaccountsleutels beheren met Key Vault voor meer informatie.
Zie Over Azure Key Vault voor meer algemene informatie over Azure Key Vault. Zie Wat is beheerde HSM van Azure Key Vault? voor meer informatie over beheerde HSM-pools.
Data types
Raadpleeg de JOSE-specificaties voor relevante gegevenstypen voor sleutels, versleuteling en ondertekening.
- algorithm: een ondersteund algoritme voor een sleutelbewerking, bijvoorbeeld RSA1_5
- ciphertext-value: ciphertekstoctetten, gecodeerd met Base64URL
- digest-value: de uitvoer van een hash-algoritme, gecodeerd met Base64URL
- key-type: een van de ondersteunde sleuteltypen, bijvoorbeeld RSA (Rivest-Shamir-Adleman).
- plaintext-value - niet-versleutelde-tekstoctetten, gecodeerd met Base64URL
- signature-value: uitvoer van een handtekeningalgoritme, gecodeerd met Base64URL
- base64URL: een met Base64URL [RFC4648] gecodeerde binaire waarde
- boolean: waar of onwaar
- Identiteit : een identiteit van Microsoft Entra-id.
- IntDate: een decimale JSON-waarde die het aantal seconden van 1970-01-01T0:0: 0Z UTC tot de opgegeven UTC-datum/-tijd vertegenwoordigt. Zie RFC3339 voor meer informatie over datums/tijden in het algemeen en UTC in het bijzonder.
Objecten, id's en versiebeheer
In Key Vault opgeslagen objecten worden geversioneerd telkens wanneer er een nieuw exemplaar van een object wordt gemaakt. Aan elke versie wordt een unieke object-id toegewezen. Wanneer een object voor het eerst wordt gemaakt, krijgt het een unieke versie-id en wordt het gemarkeerd als de huidige versie van het object. Het maken van een nieuw exemplaar met dezelfde objectnaam geeft het nieuwe object een unieke versie-id, waardoor het de huidige versie wordt.
Objecten in Key Vault kunnen worden opgehaald door een versie op te geven of door de versie weg te laten om de nieuwste versie van het object op te halen. Voor het uitvoeren van bewerkingen op objecten is een versie vereist voor het gebruik van een specifieke versie van het object.
Notitie
De waarden die u opgeeft voor Azure-resources of object-id's, kunnen globaal worden gekopieerd om de service uit te voeren. De opgegeven waarde mag geen persoonsgegevens of gevoelige informatie bevatten.