Wat is Azure Sleutelkluis?What is Azure Key Vault?

Cloud-toepassingen en services met cryptografische sleutels en geheimen om te zorgen dat gegevens beveiligen.Cloud applications and services use cryptographic keys and secrets to help keep information secure. Azure Key Vault beschermt deze sleutels en geheimen.Azure Key Vault safeguards these keys and secrets. Wanneer u Key Vault gebruikt, kunt u verificatiesleutels, opslagaccountsleutels, gegevensversleutelingssleutels, pfx-bestanden en wachtwoorden versleutelen met sleutels die zijn beveiligd door hardware security modules (HSM's).When you use Key Vault, you can encrypt authentication keys, storage account keys, data encryption keys, .pfx files, and passwords by using keys that are protected by hardware security modules (HSMs).

Key Vault helpt bij het oplossen van de volgende problemen:Key Vault helps solve the following problems:

  • Geheimenbeheer: Veilig opslaan en toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen nauw beheren.Secret management: Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets.
  • Sleutelbeheer: Maken en beheren van de versleutelingssleutels die uw gegevens te versleutelen.Key management: Create and control encryption keys that encrypt your data.
  • Certificaatbeheer: Inrichten, beheren en implementeren van openbare en persoonlijke Secure Sockets Layer/Transport Layer Security (SSL/TLS)-certificaten voor gebruik met Azure en uw interne verbonden bronnen.Certificate management: Provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Geheimen die worden ondersteund door een HSM's Store: Software of FIPS 140-2 niveau 2 HSM's gevalideerde ter bescherming van geheimen en sleutels gebruiken.Store secrets backed by HSMs: Use either software or FIPS 140-2 Level 2 validated HSMs to help protect secrets and keys.

BasisbegrippenBasic concepts

Azure Key Vault is een hulpprogramma voor het veilig opslaan en openen van geheimen.Azure Key Vault is a tool for securely storing and accessing secrets. Een geheim is alles waartoe u de toegang streng wilt beheren, zoals API-sleutels, wachtwoorden of certificaten.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. Een kluis is een logische groep van geheimen.A vault is logical group of secrets.

Hier volgen andere belangrijke termen:Here are other important terms:

  • Tenant: Een tenant is de organisatie die eigenaar is van en beheert een specifiek exemplaar van Microsoft-cloudservices.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Dit wordt meestal gebruikt om te verwijzen naar de set met Azure en Office 365-services voor een organisatie.It’s most often used to refer to the set of Azure and Office 365 services for an organization.

  • De eigenaar van de kluis: De eigenaar van een kluis kan maken van een key vault en krijg volledige toegang en controle over het.Vault owner: A vault owner can create a key vault and gain full access and control over it. De eigenaar van de kluis kan ook controles instellen om vast te leggen wie toegang heeft tot geheimen en sleutels.The vault owner can also set up auditing to log who accesses secrets and keys. Beheerders kunnen de levenscyclus van sleutels beheren.Administrators can control the key lifecycle. Ze kunnen een nieuwe versie van de sleutel instellen, een back-up maken en gerelateerde taken uitvoeren.They can roll to a new version of the key, back it up, and do related tasks.

  • Kluis consument: Een kluis consument kan acties uitvoeren op de elementen in de key vault wanneer de eigenaar van de kluis toegang tot de consument verleent.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. De beschikbare acties zijn afhankelijk van de verleende machtigingen.The available actions depend on the permissions granted.

  • Resource: Een resource is een beheerbaar item dat is beschikbaar via Azure.Resource: A resource is a manageable item that's available through Azure. Algemene voorbeelden zijn virtuele machine, opslagaccount, web-app, database en virtueel netwerk.Common examples are virtual machine, storage account, web app, database, and virtual network. Er zijn nog veel meer.There are many more.

  • Resourcegroep: Een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing.Resource group: A resource group is a container that holds related resources for an Azure solution. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. U bepaalt hoe resources worden toegewezen aan resourcegroepen op basis van wat voor uw organisatie het meest zinvol is.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.

  • Service-principal: Een Azure service-principal is een beveiligings-id die door de gebruiker gemaakte apps, services en automatiseringsprogramma's gebruiken voor toegang tot specifieke Azure-resources.Service principal: An Azure service principal is a security identity that user-created apps, services, and automation tools use to access specific Azure resources. Vergelijken met een 'gebruikers-id' (gebruikersnaam en wachtwoord of certificaat) die een specifieke rol heeft en over nauwkeurig omschreven machtigingen beschikt.Think of it as a "user identity" (username and password or certificate) with a specific role, and tightly controlled permissions. Anders dan een algemene gebruikers-id, hoeft een service-principal slechts enkele specifieke handelingen uit te kunnen voeren.A service principal should only need to do specific things, unlike a general user identity. Dit verbetert de beveiliging als u deze alleen het niveau minimale machtigingen die nodig is om uit te voeren van de beheertaken worden verleend.It improves security if you grant it only the minimum permission level that it needs to perform its management tasks.

  • Azure Active Directory (Azure AD): Azure AD is de Active Directory-service voor een tenant.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Elke adreslijst heeft een of meer domeinen.Each directory has one or more domains. Aan een directory kunnen vele abonnementen zijn gekoppeld, maar slechts één tenant.A directory can have many subscriptions associated with it, but only one tenant.

  • Azure-tenant-ID: Een tenant-ID is een unieke manier om een Azure AD-exemplaar binnen een Azure-abonnement te identificeren.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.

  • Beheerde identiteiten: Azure Key Vault biedt een manier voor het veilig opslaan van referenties en andere sleutels en geheimen, maar uw code moet worden geverifieerd voor Key Vault om ze op te halen.Managed identities: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Met behulp van een beheerde identiteit, maakt het oplossen van dit probleem eenvoudiger door middel van Azure-services een automatisch beheerde identiteit in Azure AD.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. U kunt deze identiteit gebruiken voor verificatie bij Key Vault bij alle services die ondersteuning bieden voor Microsoft Azure Active Directory-verificatie, zonder dat u referenties in uw code hoeft te hebben.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Zie voor meer informatie de volgende afbeelding en de overzicht van beheerde identiteiten voor Azure-resources.For more information, see the following image and the overview of managed identities for Azure resources.

    Diagram van hoe beheerde identiteiten voor Azure-resources

AuthenticationAuthentication

Als u wilt doen bewerkingen met Key Vault, moet u eerst om deze te verifiëren.To do any operations with Key Vault, you first need to authenticate to it. Er zijn drie manieren om te verifiëren naar Key Vault:There are three ways to authenticate to Key Vault:

  • Identiteiten voor een Azure-resources beheerd: Wanneer u een app op een virtuele machine in Azure implementeert, kunt u een identiteit toewijzen aan uw virtuele machine die toegang tot de Key Vault heeft.Managed identities for Azure resources: When you deploy an app on a virtual machine in Azure, you can assign an identity to your virtual machine that has access to Key Vault. U kunt ook toewijzen identiteiten met andere Azure-resources.You can also assign identities to other Azure resources. Het voordeel van deze benadering is dat de app of service de draaihoek van het eerste geheim is niet beheren.The benefit of this approach is that the app or service isn't managing the rotation of the first secret. Azure draait automatisch de identiteit.Azure automatically rotates the identity. Wordt deze methode als een best practice aangeraden.We recommend this approach as a best practice.
  • Service-principal en certificaat: U kunt een service-principal en een bijbehorende certificaat dat toegang tot de Key Vault heeft gebruiken.Service principal and certificate: You can use a service principal and an associated certificate that has access to Key Vault. Deze methode wordt niet aanbevolen omdat de toepassingseigenaar van de of de ontwikkelaar moet het certificaat draaien.We don't recommend this approach because the application owner or developer must rotate the certificate.
  • Service-principal en -geheim: Hoewel u een service-principal en een geheim gebruiken kunt om te verifiëren naar Key Vault, aanbevolen niet het.Service principal and secret: Although you can use a service principal and a secret to authenticate to Key Vault, we don't recommend it. Het is moeilijk te roteer automatisch het bootstrap geheim dat wordt gebruikt voor verificatie aan Key Vault.It's hard to automatically rotate the bootstrap secret that's used to authenticate to Key Vault.

Rollen van Key VaultKey Vault roles

Gebruik de volgende tabel om beter te begrijpen hoe Key Vault u kan helpen om aan de behoeften van ontwikkelaars en beveiligingsadministrators te voldoen.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolRole ProbleemformuleringProblem statement Opgelost door Azure Key VaultSolved by Azure Key Vault
Ontwikkelaar voor een Azure-toepassingDeveloper for an Azure application "Ik wil een toepassing voor Azure schrijven die gebruikmaakt van sleutels voor ondertekening en versleuteling.“I want to write an application for Azure that uses keys for signing and encryption. Maar ik wil deze externe sleutels zijn van mijn toepassing zodat de oplossing geschikt is voor een toepassing die geografisch wordt gedistribueerd.But I want these keys to be external from my application so that the solution is suitable for an application that's geographically distributed.

Ik wil dat deze sleutels en geheimen worden beveiligd, zonder dat ik de code zelf hoef te schrijven.I want these keys and secrets to be protected, without having to write the code myself. Ik wil ook dat deze sleutels en geheimen eenvoudig zijn te gebruiken vanuit mijn toepassingen, met optimale prestaties."I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ De sleutels worden opgeslagen in een kluis en wanneer dit nodig is, aangeroepen via een URI.√ Keys are stored in a vault and invoked by URI when needed.

√ De sleutels worden beveiligd door Azure. Hiervoor wordt gebruikgemaakt van algoritmen, sleutellengten en HSM's die voldoen aan de industriestandaard.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ Sleutels worden verwerkt in HSM's die zich in dezelfde Azure-datacenters bevinden als de toepassingen.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Deze methode biedt betere betrouwbaarheid en minder latentie dan wanneer de sleutels zich op een afzonderlijke locatie bevinden, zoals on-premises.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
SaaS-ontwikkelaar (Software as a Service)Developer for software as a service (SaaS) "Ik wil niet de verantwoordelijk of potentiële aansprakelijkheid voor de tenantsleutels en -geheimen van mijn klant op mij nemen.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Ik wil dat klanten hun sleutels zelf in eigendom hebben en beheren, zodat ik mij kan concentreren op de zaken waar ik het beste in ben, namelijk het leveren van de kernsoftwarefuncties."I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Klanten kunnen hun eigen sleutels in Azure importeren en beheren.√ Customers can import their own keys into Azure, and manage them. Wanneer een SaaS-toepassing nodig heeft om uit te voeren cryptografische bewerkingen met behulp van klanten-sleutels, wordt de Key Vault deze bewerkingen namens de toepassing.When a SaaS application needs to perform cryptographic operations by using customers’ keys, Key Vault does these operations on behalf of the application. De toepassing krijgt de sleutels van de klant niet te zien.The application does not see the customers’ keys.
Chief Security Officer (CSO)Chief security officer (CSO) "Ik wil weten of onze toepassingen voldoen aan de FIPS 140-2 Level 2 HSM's voor beveiligd sleutelbeheer.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Ik wil ervoor zorgen dat mijn organisatie de controle heeft over de levenscyclus van de sleutel en het sleutelgebruik kan bewaken.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

En hoewel we meerdere Azure-services en -resources gebruiken, wil ik de sleutels kunnen beheren vanaf één locatie in Azure."And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ HSM's zijn FIPS 140-2 Level 2-gevalideerde modules.√ HSMs are FIPS 140-2 Level 2 validated.

√ Key Vault is zodanig ontworpen dat Microsoft uw sleutels niet kan zien of extraheren.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Sleutelgebruik wordt vrijwel in realtime vastgelegd.√ Key usage is logged in near real time.

√ De kluis biedt één interface, ongeacht het aantal kluizen dat u in Azure hebt, welke regio's ze ondersteunen en door welke toepassingen ze worden gebruikt.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Iedereen met een Azure-abonnement kan sleutelkluizen maken en gebruiken.Anybody with an Azure subscription can create and use key vaults. Hoewel Key Vault voordelen biedt voor ontwikkelaars en beveiligingsadministrators, kan worden geïmplementeerd en beheerd door de beheerder van een organisatie van andere Azure-services.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization’s administrator who manages other Azure services. Deze beheerder kan zich aanmelden met een Azure-abonnement maakt bijvoorbeeld een kluis voor de organisatie waarin sleutels opslaan en vervolgens worden die verantwoordelijk is voor operationele taken zoals deze:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks like these:

  • Een sleutel of geheim maken of importeren.Create or import a key or secret
  • Een sleutel of geheim intrekken of verwijderen.Revoke or delete a key or secret
  • Gebruikers of toepassingen machtigingen verlenen voor toegang tot de sleutelkluis, zodat ze de sleutels en geheimen in de kluis kunnen beheren of gebruiken.Authorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Sleutelgebruik configureren (bijvoorbeeld ondertekenen of versleutelen).Configure key usage (for example, sign or encrypt)
  • Sleutelgebruik bewaken.Monitor key usage

Deze beheerder geeft ontwikkelaars URI's om aan te roepen via hun toepassingen.This administrator then gives developers URIs to call from their applications. Deze beheerder geeft ook logboekinformatie voor gebruik van de sleutel tot de beveiligingsbeheerder.This administrator also gives key usage logging information to the security administrator.

Overzicht van de werking van Azure Key Vault

Ontwikkelaars kunnen de sleutels ook rechtstreeks beheren door gebruik te maken van API's.Developers can also manage the keys directly, by using APIs. Zie Ontwikkelaarshandleiding voor Key Vault voor meer informatie.For more information, see the Key Vault developer's guide.

Volgende stappenNext steps

Meer informatie over het beveiligen van uw kluis.Learn how to secure your vault.

Azure Sleutelkluis is beschikbaar in de meeste regio's.Azure Key Vault is available in most regions. Zie de pagina Prijzen van Key Vault voor meer informatie.For more information, see the Key Vault pricing page.