Gids voor Azure Key Vault-ontwikkelaars
Met Azure Key Vault kunt u veilig toegang krijgen tot gevoelige informatie vanuit uw toepassingen:
- Sleutels, geheimen en certificaten worden beveiligd zonder dat u de code zelf hoeft te schrijven en u kunt ze eenvoudig gebruiken vanuit uw toepassingen.
- U stelt klanten in staat hun eigen sleutels, geheimen en certificaten te bezitten en te beheren, zodat u zich kunt concentreren op het leveren van de belangrijkste softwarefuncties. Op deze manier zijn uw toepassingen niet eigenaar van de verantwoordelijkheid of potentiële aansprakelijkheid voor de tenantsleutels, geheimen en certificaten van uw klanten.
- Uw toepassing kan sleutels gebruiken voor ondertekening en versleuteling, maar houd het sleutelbeheer extern van uw toepassing. Zie Over sleutels voor meer informatie.
- U kunt referenties zoals wachtwoorden, toegangssleutels en SAS-tokens beheren door ze op te slaan in Key Vault als geheimen. Zie Over geheimen voor meer informatie.
- Certificaten beheren. Zie Over certificaten voor meer informatie.
Zie Over Azure Key Vault voor algemene informatie over Azure Key Vault.
Openbare previews
Periodiek brengen we een openbare preview van een nieuwe Key Vault-functie uit. Probeer openbare preview-functies uit en laat ons weten wat u ervan vindt via azurekeyvault@microsoft.comons e-mailadres voor feedback.
Sleutelkluizen maken en beheren
Net als bij andere Azure-services wordt Key Vault beheerd via Azure Resource Manager. Azure Resource Manager is de implementatie- en beheerservice voor Azure. U kunt deze gebruiken om resources in uw Azure-account te maken, bij te werken en te verwijderen.
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) beheert de toegang tot de beheerlaag, ook wel het beheervlak genoemd. U gebruikt het beheervlak in Key Vault om sleutelkluizen en hun kenmerken te maken en te beheren, inclusief toegangsbeleid. U gebruikt het gegevensvlak om sleutels, certificaten en geheimen te beheren.
U kunt de vooraf gedefinieerde rol Key Vault-inzender gebruiken om beheertoegang te verlenen tot Key Vault.
API's en SDK's voor sleutelkluisbeheer
| Azure CLI | PowerShell | REST-API | Resourcebeheer | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing | Verwijzing Snelstartgids |
Verwijzing | Verwijzing | Verwijzing | Verwijzing |
Zie Clientbibliotheken voor installatiepakketten en broncode.
Verifiëren bij Key Vault in code
Key Vault maakt gebruik van Microsoft Entra-verificatie. Hiervoor is een Microsoft Entra-beveiligingsprincipaal vereist om toegang te verlenen. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een toepassingsservice-principal, een beheerde identiteit voor Azure-resources of een groep van deze typen zijn.
Aanbevolen procedures voor verificatie
U wordt aangeraden een beheerde identiteit te gebruiken voor toepassingen die zijn geïmplementeerd in Azure. Als u Azure-services gebruikt die geen ondersteuning bieden voor beheerde identiteiten of als toepassingen on-premises worden geïmplementeerd, is een service-principal met een certificaat een mogelijk alternatief. In dat scenario moet het certificaat worden opgeslagen in Key Vault en regelmatig worden gedraaid.
Gebruik een service-principal met een geheim voor ontwikkel- en testomgevingen. Gebruik een gebruikersprincipaal voor lokale ontwikkeling en Azure Cloud Shell.
We raden deze beveiligingsprinciplen in elke omgeving aan:
- Productieomgeving: Beheerde identiteit of service-principal met een certificaat.
- Test- en ontwikkelomgevingen: Beheerde identiteit, service-principal met certificaat of service-principal met een geheim.
- Lokale ontwikkeling: gebruikers-principal of service-principal met een geheim.
Azure Identity-clientbibliotheken
De voorgaande verificatiescenario's worden ondersteund door de Azure Identity-clientbibliotheek en geïntegreerd met Key Vault SDK's. U kunt de Azure Identity-clientbibliotheek gebruiken in omgevingen en platforms zonder uw code te wijzigen. De bibliotheek haalt automatisch verificatietokens op van gebruikers die zijn aangemeld bij Azure-gebruikers via de Azure CLI, Visual Studio, Visual Studio Code en andere middelen.
Zie voor meer informatie over de Azure Identity-clientbibliotheek:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Notitie
We raden app-verificatiebibliotheek aan voor Key Vault .NET SDK versie 3, maar deze is nu afgeschaft. Als u wilt migreren naar Key Vault .NET SDK versie 4, volgt u de richtlijnen voor AppAuthentication naar Azure.Identity-migratie.
Zie voor zelfstudies over het verifiëren bij Key Vault in toepassingen:
- Azure Key Vault gebruiken met een virtuele machine in .NET
- Azure Key Vault gebruiken met een virtuele machine in Python
- Een beheerde identiteit gebruiken om Key Vault te verbinden met een Azure-web-app in .NET
Sleutels, certificaten en geheimen beheren
Notitie
SDK's voor .NET, Python, Java, JavaScript, PowerShell en de Azure CLI maken deel uit van het releaseproces voor Key Vault-functies via openbare preview en algemene beschikbaarheid met ondersteuning van het Key Vault-serviceteam. Andere SDK-clients voor Key Vault zijn beschikbaar, maar ze worden gebouwd en ondersteund door afzonderlijke SDK-teams via GitHub en uitgebracht in hun teamsschema.
Het gegevensvlak beheert de toegang tot sleutels, certificaten en geheimen. U kunt toegangsbeleid voor lokale kluizen of Azure RBAC gebruiken voor toegangsbeheer via het gegevensvlak.
API's en SDK's voor sleutels
| Azure CLI | PowerShell | REST-API | Resourcebeheer | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing | Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Andere bibliotheken
Cryptografieclient voor Key Vault en beheerde HSM
Deze module biedt een cryptografieclient voor de Azure Key Vault Keys-clientmodule voor Go.
Notitie
Dit project wordt niet ondersteund door het Azure SDK-team, maar komt wel overeen met de cryptografieclients in andere ondersteunde talen.
| Taal | Verwijzing |
|---|---|
| Go | Verwijzing |
API's en SDK's voor certificaten
| Azure CLI | PowerShell | REST-API | Resourcebeheer | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing | N.v.t. | Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
API's en SDK's voor geheimen
| Azure CLI | PowerShell | REST-API | Resourcebeheer | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing | Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Verwijzing Snelstartgids |
Gebruik van geheimen
Gebruik Azure Key Vault om alleen geheimen voor uw toepassing op te slaan. Voorbeelden van geheimen die moeten worden opgeslagen in Key Vault zijn:
- Clienttoepassingsgeheimen
- Verbindingsreeksen
- Wachtwoords
- Gedeelde toegangssleutels
- SSH-sleutels
Alle geheime informatie, zoals gebruikersnamen en toepassings-id's, kan worden opgeslagen als een tag in een geheim. Voor andere gevoelige configuratie-instellingen moet u Azure-app Configuratie gebruiken.
Verwijzingen
Zie Clientbibliotheken voor installatiepakketten en broncode.
Zie Azure Key Vault-beveiligingsfuncties voor informatie over beveiliging van gegevensvlakken voor Key Vault.
Key Vault gebruiken in toepassingen
Als u wilt profiteren van de meest recente functies in Key Vault, raden we u aan de beschikbare Key Vault-SDK's te gebruiken voor het gebruik van geheimen, certificaten en sleutels in uw toepassing. De Key Vault SDK's en REST API worden bijgewerkt naarmate er nieuwe functies voor het product worden uitgebracht en ze volgen de aanbevolen procedures en richtlijnen.
Voor basisscenario's zijn er andere bibliotheken en integratieoplossingen voor vereenvoudigd gebruik, met ondersteuning van Microsoft-partners of opensource-community's.
Voor certificaten kunt u het volgende gebruiken:
- De key vault-extensie voor virtuele machines (VM' s), die automatische vernieuwing van certificaten biedt die zijn opgeslagen in een Azure-sleutelkluis. Zie voor meer informatie:
- Azure-app Service-integratie, waarmee certificaten uit Key Vault kunnen worden geïmporteerd en automatisch kunnen worden vernieuwd. Zie Een certificaat importeren uit Key Vault voor meer informatie.
Voor geheimen kunt u het volgende gebruiken:
- Key Vault-geheimen met App Service-toepassingsinstellingen. Zie Key Vault-verwijzingen gebruiken voor App Service en Azure Functions voor meer informatie.
- Key Vault-verwijzingen met Azure-app Configuratie om de toegang van uw toepassing tot configuratie en geheimen te stroomlijnen. Zie Key Vault-verwijzingen gebruiken in Azure-app Configuration voor meer informatie.
Codevoorbeelden
Zie Azure Key Vault-codevoorbeelden voor volledige voorbeelden van het gebruik van Key Vault met toepassingen.
Taakspecifieke richtlijnen
De volgende artikelen en scenario's bieden taakspecifieke richtlijnen voor het werken met Azure Key Vault:
- Voor toegang tot een sleutelkluis moet uw clienttoepassing toegang hebben tot meerdere eindpunten voor verschillende functies. Zie Toegang tot Key Vault achter een firewall.
- Een cloudtoepassing die wordt uitgevoerd op een Azure-VM heeft een certificaat nodig. Hoe haalt u dit certificaat op in deze VIRTUELE machine? Zie de extensie voor virtuele Machines van Key Vault voor Windows of Key Vault voor virtuele Linux-machines.
- Als u een toegangsbeleid wilt toewijzen met behulp van de Azure CLI, PowerShell of Azure Portal, raadpleegt u Toegangsbeleid voor Key Vault toewijzen.
- Zie Azure Key Vault-herstelbeheer met voorlopig verwijderen en beveiliging tegen opschonen voor hulp bij het gebruik en de levenscyclus van een sleutelkluis en verschillende sleutelkluisobjecten waarvoor voorlopig verwijderen is ingeschakeld.
- Wanneer u tijdens de implementatie een veilige waarde (zoals een wachtwoord) als parameter moet doorgeven, kunt u deze waarde opslaan als geheim in een sleutelkluis en verwijzen naar de waarde in andere Resource Manager-sjablonen. Zie Azure Key Vault gebruiken om tijdens de implementatie beveiligde parameterwaarden door te geven.
Integratie met Key Vault
De volgende services en scenario's gebruiken of integreren met Key Vault:
- Met versleuteling-at-rest kan de codering (versleuteling) van gegevens worden gebruikt wanneer deze behouden blijven. Gegevensversleutelingssleutels worden vaak versleuteld met een sleutelversleutelingssleutel in Azure Key Vault om de toegang verder te beperken.
- Met Azure Information Protection kunt u uw eigen tenantsleutel beheren. In plaats van Microsoft bijvoorbeeld uw tenantsleutel te beheren (de standaardinstelling), kunt u uw eigen tenantsleutel beheren om te voldoen aan specifieke voorschriften die van toepassing zijn op uw organisatie. Het beheren van uw eigen tenantsleutel wordt ook wel BYOK (Bring Your Own Key) genoemd.
- Met Azure Private Link hebt u toegang tot Azure-services (bijvoorbeeld Azure Key Vault, Azure Storage en Azure Cosmos DB) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk.
- Met Key Vault-integratie met Azure Event Grid kunnen gebruikers een melding ontvangen wanneer de status van een geheim dat is opgeslagen in Key Vault is gewijzigd. U kunt nieuwe versies van geheimen distribueren naar toepassingen of bijna verlopen geheimen roteren om storingen te voorkomen.
- Bescherm uw Azure DevOps-geheimen tegen ongewenste toegang in Key Vault.
- Gebruik geheimen die zijn opgeslagen in Key Vault om vanuit Azure Databricks verbinding te maken met Azure Storage.
- Configureer en voer de Azure Key Vault-provider uit voor het stuurprogramma Secrets Store CSI in Kubernetes.
Overzichten en concepten van Key Vault
Meer informatie over:
- Een functie waarmee verwijderde objecten kunnen worden hersteld, ongeacht of de verwijdering per ongeluk of opzettelijk is, raadpleegt u het overzicht van voorlopig verwijderen van Azure Key Vault.
- De basisconcepten van beperking en een benadering voor uw app krijgen, raadpleeg de richtlijnen voor beperking van Azure Key Vault.
- De relaties tussen regio's en beveiligingsgebieden, zie Azure Key Vault-beveiligingswerelden en geografische grenzen.