Basis concepten Azure Key VaultAzure Key Vault basic concepts

Azure Key Vault is een hulpprogramma voor het veilig opslaan en openen van geheimen.Azure Key Vault is a tool for securely storing and accessing secrets. Een geheim is alles waartoe u de toegang streng wilt beheren, zoals API-sleutels, wachtwoorden of certificaten.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. Een kluis is een logische groep geheimen.A vault is a logical group of secrets.

Hier volgen enkele belang rijke voor waarden:Here are other important terms:

  • Tenant: een tenant is de organisatie die een specifiek exemplaar van Microsoft-cloudservices in eigendom heeft en beheert.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Dit wordt vaak gebruikt om te verwijzen naar de set Azure-en Office 365-Services voor een organisatie.It's most often used to refer to the set of Azure and Office 365 services for an organization.

  • Kluiseigenaar: een kluiseigenaar kan een sleutelkluis maken en heeft er volledige toegang toe en controle over.Vault owner: A vault owner can create a key vault and gain full access and control over it. De eigenaar van de kluis kan ook controles instellen om vast te leggen wie toegang heeft tot geheimen en sleutels.The vault owner can also set up auditing to log who accesses secrets and keys. Beheerders kunnen de levenscyclus van sleutels beheren.Administrators can control the key lifecycle. Ze kunnen een nieuwe versie van de sleutel instellen, een back-up maken en gerelateerde taken uitvoeren.They can roll to a new version of the key, back it up, and do related tasks.

  • Kluisconsument: een kluisconsument kan acties uitvoeren op de elementen in de sleutelkluis wanneer de eigenaar van de kluis toegang verleent aan de consument.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. De beschikbare acties zijn afhankelijk van de verleende machtigingen.The available actions depend on the permissions granted.

  • Resource: een resource is een beheerbaar item dat beschikbaar is via Azure.Resource: A resource is a manageable item that's available through Azure. Algemene voor beelden hiervan zijn virtuele machines, opslag accounts, Web-apps, data bases en virtuele netwerken.Common examples are virtual machine, storage account, web app, database, and virtual network. Er zijn nog veel meer.There are many more.

  • Resourcegroep: een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing.Resource group: A resource group is a container that holds related resources for an Azure solution. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. U bepaalt hoe resources worden toegewezen aan resourcegroepen op basis van wat voor uw organisatie het meest zinvol is.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.

  • Service-Principal: een Azure-Service-Principal is een beveiligings identiteit die door gebruikers gemaakte apps, services en hulpprogram ma's voor automatisering worden gebruikt voor toegang tot specifieke Azure-resources.Service principal: An Azure service principal is a security identity that user-created apps, services, and automation tools use to access specific Azure resources. U kunt het beschouwen als een ' gebruikers identiteit ' (gebruikers naam en wacht woord of certificaat) met een specifieke rol en nauw keurig beheerde machtigingen.Think of it as a "user identity" (username and password or certificate) with a specific role, and tightly controlled permissions. Anders dan een algemene gebruikers-id, hoeft een service-principal slechts enkele specifieke handelingen uit te kunnen voeren.A service principal should only need to do specific things, unlike a general user identity. Het verbetert de beveiliging als u alleen het minimale machtigings niveau hebt dat nodig is om de beheer taken uit te voeren.It improves security if you grant it only the minimum permission level that it needs to perform its management tasks.

  • Azure Active Directory (Azure AD): Azure AD is de Active Directory-service voor een tenant.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Elke adreslijst heeft een of meer domeinen.Each directory has one or more domains. Aan een directory kunnen vele abonnementen zijn gekoppeld, maar slechts één tenant.A directory can have many subscriptions associated with it, but only one tenant.

  • Tenant-id voor Azure AD: een tenant-id is een unieke manier om een Azure AD-exemplaar in een Azure-abonnement te identificeren.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.

  • Beheerde identiteiten: Azure Key Vault biedt een manier om referenties en andere sleutels en geheimen veilig op te slaan, maar uw code moet worden geverifieerd bij Key Vault om deze op te halen.Managed identities: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Het gebruik van een beheerde identiteit maakt het oplossen van dit probleem eenvoudiger door Azure-Services een automatisch beheerde identiteit in azure AD te geven.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. U kunt deze identiteit gebruiken voor verificatie bij Key Vault bij alle services die ondersteuning bieden voor Microsoft Azure Active Directory-verificatie, zonder dat u referenties in uw code hoeft te hebben.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Zie de volgende afbeelding en het overzicht van beheerde identiteiten voor Azure-resourcesvoor meer informatie.For more information, see the following image and the overview of managed identities for Azure resources.

    Diagram van hoe beheerde identiteiten voor Azure-resources werken

VerificatieAuthentication

Als u bewerkingen met Key Vault wilt uitvoeren, moet u deze eerst verifiëren.To do any operations with Key Vault, you first need to authenticate to it. Er zijn drie manieren om te verifiëren bij Key Vault:There are three ways to authenticate to Key Vault:

  • Beheerde identiteiten voor Azure-resources: wanneer u een app implementeert op een virtuele machine in azure, kunt u een identiteit toewijzen aan uw virtuele machine die toegang heeft tot Key Vault.Managed identities for Azure resources: When you deploy an app on a virtual machine in Azure, you can assign an identity to your virtual machine that has access to Key Vault. U kunt ook identiteiten toewijzen aan andere Azure-resources.You can also assign identities to other Azure resources. Het voor deel van deze benadering is dat de draai hoek van het eerste geheim niet door de app of service wordt beheerd.The benefit of this approach is that the app or service isn't managing the rotation of the first secret. Azure roteert de identiteit automatisch.Azure automatically rotates the identity. U wordt aangeraden deze benadering als best practice te doen.We recommend this approach as a best practice.
  • Service-Principal en certificaat: u kunt een Service-Principal en een bijbehorend certificaat gebruiken dat toegang heeft tot Key Vault.Service principal and certificate: You can use a service principal and an associated certificate that has access to Key Vault. Deze aanpak wordt niet aanbevolen omdat de eigenaar van de toepassing of de ontwikkelaar het certificaat moet draaien.We don't recommend this approach because the application owner or developer must rotate the certificate.
  • Service-Principal en geheim: Hoewel u een Service-Principal en een geheim kunt gebruiken om te verifiëren bij Key Vault, wordt dit niet aanbevolen.Service principal and secret: Although you can use a service principal and a secret to authenticate to Key Vault, we don't recommend it. Het is moeilijk om automatisch het Boots trap-geheim te draaien dat wordt gebruikt voor verificatie bij Key Vault.It's hard to automatically rotate the bootstrap secret that's used to authenticate to Key Vault.

Rollen van Key VaultKey Vault roles

Gebruik de volgende tabel om beter te begrijpen hoe Key Vault u kan helpen om aan de behoeften van ontwikkelaars en beveiligingsadministrators te voldoen.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolRole ProbleemformuleringProblem statement Opgelost door Azure Key VaultSolved by Azure Key Vault
Ontwikkelaar voor een Azure-toepassingDeveloper for an Azure application "Ik wil een toepassing voor Azure schrijven die sleutels gebruikt voor ondertekening en versleuteling."I want to write an application for Azure that uses keys for signing and encryption. Maar ik wil dat deze sleutels extern zijn van mijn toepassing, zodat de oplossing geschikt is voor een toepassing die geografisch wordt gedistribueerd.But I want these keys to be external from my application so that the solution is suitable for an application that's geographically distributed.

Ik wil dat deze sleutels en geheimen worden beveiligd, zonder dat ik de code zelf hoef te schrijven.I want these keys and secrets to be protected, without having to write the code myself. Ik wil ook dat deze sleutels en geheimen eenvoudig kunnen worden gebruikt in mijn toepassingen, met optimale prestaties. "I also want these keys and secrets to be easy for me to use from my applications, with optimal performance."
√ De sleutels worden opgeslagen in een kluis en wanneer dit nodig is, aangeroepen via een URI.√ Keys are stored in a vault and invoked by URI when needed.

√ De sleutels worden beveiligd door Azure. Hiervoor wordt gebruikgemaakt van algoritmen, sleutellengten en HSM's die voldoen aan de industriestandaard.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ Sleutels worden verwerkt in HSM's die zich in dezelfde Azure-datacenters bevinden als de toepassingen.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Deze methode biedt betere betrouwbaarheid en minder latentie dan wanneer de sleutels zich op een afzonderlijke locatie bevinden, zoals on-premises.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
SaaS-ontwikkelaar (Software as a Service)Developer for software as a service (SaaS) "Ik wil geen verantwoordelijkheid of mogelijke aansprakelijkheid voor de Tenant sleutels en geheimen van mijn klanten."I don't want the responsibility or potential liability for my customers' tenant keys and secrets.

Ik wil dat klanten hun sleutels eigenaar kunnen maken en beheren, zodat ik kan concentreren op wat ik het beste kan doen, wat de kern software functies levert. "I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features."
√ Klanten kunnen hun eigen sleutels in Azure importeren en beheren.√ Customers can import their own keys into Azure, and manage them. Wanneer een SaaS-toepassing cryptografische bewerkingen moet uitvoeren met behulp van de sleutels van de klant, Key Vault deze bewerkingen namens de toepassing.When a SaaS application needs to perform cryptographic operations by using customers' keys, Key Vault does these operations on behalf of the application. De toepassing ziet de sleutels van de klant niet.The application does not see the customers' keys.
Chief Security Officer (CSO)Chief security officer (CSO) "Ik wil weten dat onze toepassingen voldoen aan de FIPS 140-2 level 2-Hsm's voor beveiligd sleutel beheer."I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Ik wil ervoor zorgen dat mijn organisatie de controle heeft over de levenscyclus van de sleutel en het sleutelgebruik kan bewaken.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

En hoewel we meerdere Azure-Services en-resources gebruiken, wil ik de sleutels vanaf één locatie in azure beheren. "And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure."
√ HSM's zijn FIPS 140-2 Level 2-gevalideerde modules.√ HSMs are FIPS 140-2 Level 2 validated.

√ Key Vault is zodanig ontworpen dat Microsoft uw sleutels niet kan zien of extraheren.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Sleutelgebruik wordt vrijwel in realtime vastgelegd.√ Key usage is logged in near real time.

√ De kluis biedt één interface, ongeacht het aantal kluizen dat u in Azure hebt, welke regio's ze ondersteunen en door welke toepassingen ze worden gebruikt.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Iedereen met een Azure-abonnement kan sleutelkluizen maken en gebruiken.Anybody with an Azure subscription can create and use key vaults. Hoewel Key Vault voor delen van ontwikkel aars en beveiligings beheerders, kan het worden geïmplementeerd en beheerd door de beheerder van een organisatie die andere Azure-Services beheert.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization's administrator who manages other Azure services. Deze beheerder kan zich bijvoorbeeld aanmelden met een Azure-abonnement, een kluis maken voor de organisatie waarin sleutels moeten worden opgeslagen en vervolgens verantwoordelijk zijn voor operationele taken als deze:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks like these:

  • Een sleutel of geheim maken of importeren.Create or import a key or secret
  • Een sleutel of geheim intrekken of verwijderen.Revoke or delete a key or secret
  • Gebruikers of toepassingen machtigingen verlenen voor toegang tot de sleutelkluis, zodat ze de sleutels en geheimen in de kluis kunnen beheren of gebruiken.Authorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Sleutelgebruik configureren (bijvoorbeeld ondertekenen of versleutelen).Configure key usage (for example, sign or encrypt)
  • Sleutelgebruik bewaken.Monitor key usage

Deze beheerder geeft ontwikkel aars vervolgens de functie voor het aanroepen van hun toepassingen.This administrator then gives developers URIs to call from their applications. Deze beheerder geeft ook informatie over de logboek registratie van sleutel gebruik aan de beveiligings beheerder.This administrator also gives key usage logging information to the security administrator.

Overzicht van de werking van Azure Key Vault

Ontwikkelaars kunnen de sleutels ook rechtstreeks beheren door gebruik te maken van API's.Developers can also manage the keys directly, by using APIs. Zie Ontwikkelaarshandleiding voor Key Vault voor meer informatie.For more information, see the Key Vault developer's guide.

Volgende stappenNext steps

Meer informatie over het beveiligen van uw kluis.Learn how to secure your vault.

Azure Sleutelkluis is beschikbaar in de meeste regio's.Azure Key Vault is available in most regions. Zie de pagina Prijzen van Key Vault voor meer informatie.For more information, see the Key Vault pricing page.