Azure Key Vault klucze, wpisy tajne i certyfikaty — OmówienieAzure Key Vault keys, secrets and certificates overview

Azure Key Vault umożliwia aplikacjom Microsoft Azure i użytkownikom przechowywanie i używanie kilku typów danych tajnych/kluczy.Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data. Dostawca zasobów Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane sprzętowych modułów zabezpieczeń.Key Vault resource provider supports two resource types: vaults and managed HSMs.

Sufiksy DNS dla podstawowego adresu URLDNS suffixes for base URL

W poniższej tabeli przedstawiono sufiks DNS podstawowego adresu URL używany przez punkt końcowy płaszczyzny danych dla magazynów i zarządzane pule modułów HSM w różnych środowiskach chmurowych.The table below shows the base URL DNS suffix used by the data-plane endpoint for vaults and managed HSM pools in various cloud environments.

Środowisko chmuryCloud environment Sufiks DNS dla magazynówDNS suffix for vaults Sufiks DNS dla zarządzanego sprzętowych modułów zabezpieczeńDNS suffix for managed HSMs
Chmura platformy AzureAzure Cloud . vault.azure.net.vault.azure.net . managedhsm.azure.net.managedhsm.azure.net
Chmura Chińska platformy AzureAzure China Cloud . vault.azure.cn.vault.azure.cn NieobsługiwaneNot supported
Wersja platformy Azure dla administracji USAAzure US Government . vault.usgovcloudapi.net.vault.usgovcloudapi.net NieobsługiwaneNot supported
Chmura w języku niemieckim platformy AzureAzure German Cloud . vault.microsoftazure.de.vault.microsoftazure.de NieobsługiwaneNot supported

Typy obiektówObject types

W poniższej tabeli przedstawiono typy obiektów i ich sufiksy w podstawowym adresie URL.The table below shows object types and their suffixes in the base URL.

Typ obiektuObject type Sufiks adresu URLURL Suffix MagazynyVaults Zarządzane pule modułu HSMManaged HSM Pools
Klucze kryptograficzneCryptographic keys
Klucze chronione przez moduł HSMHSM-protected keys /keys/keys ObsługiwaneSupported ObsługiwaneSupported
Klucze chronione przez oprogramowanieSoftware-protected keys /keys/keys ObsługiwaneSupported NieobsługiwaneNot supported
Inne typy obiektówOther object types
Wpisy tajneSecrets /secrets/secrets ObsługiwaneSupported NieobsługiwaneNot supported
CertyfikatyCertificates /certificates/certificates ObsługiwaneSupported NieobsługiwaneNot supported
Klucze kont magazynuStorage account keys /storageaccount/storageaccount ObsługiwaneSupported NieobsługiwaneNot supported
  • Klucze kryptograficzne: obsługuje wiele typów kluczy i algorytmów oraz umożliwia korzystanie z kluczy chronionych przez moduł HSM i chronionych przez moduł zabezpieczeń.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of software-protected and HSM-protected keys. Aby uzyskać więcej informacji, zobacz Informacje o kluczach.For more information, see About keys.
  • Wpisy tajne: zapewnia bezpieczny magazyn wpisów tajnych, takich jak hasła i parametry połączenia bazy danych.Secrets: Provides secure storage of secrets, such as passwords and database connection strings. Aby uzyskać więcej informacji, zobacz Informacje o wpisach tajnych.For more information, see About secrets.
  • Certyfikaty: obsługuje certyfikaty, które są oparte na kluczach i wpisach tajnych i dodają funkcję automatycznego odnawiania.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. Aby uzyskać więcej informacji, zobacz Informacje o certyfikatach.For more information, see About certificates.
  • Klucze konta usługi Azure Storage: mogą zarządzać kluczami konta usługi Azure Storage.Azure Storage account keys: Can manage keys of an Azure Storage account for you. Wewnętrznie Key Vault mogą wyświetlać (synchronizować) klucze przy użyciu konta usługi Azure Storage i ponownie generować (obrócić) klucze okresowo.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami konta magazynu przy użyciu Key Vault.For more information, see Manage storage account keys with Key Vault.

Aby uzyskać więcej ogólnych informacji na temat Key Vault, zobacz Informacje o Azure Key Vault.For more general information about Key Vault, see About Azure Key Vault. Aby uzyskać więcej informacji na temat zarządzanych pul modułów HSM, zobacz co to jest Azure Key Vault zarządzany moduł HSM?For more information about Managed HSM pools, see What is Azure Key Vault Managed HSM?

Typy danychData types

Zapoznaj się ze specyfikacją JOSE dla odpowiednich typów danych dla kluczy, szyfrowania i podpisywania.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorytm — obsługiwany algorytm dla operacji Key, na przykład RSA1_5algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • tekst szyfrowany-wartość — umożliwia szyfrowanie oktetów tekstu zakodowanych przy użyciu Base64URLciphertext-value - cipher text octets, encoded using Base64URL
  • Digest-Value — dane wyjściowe algorytmu wyznaczania wartości skrótu zakodowane przy użyciu Base64URLdigest-value - the output of a hash algorithm, encoded using Base64URL
  • Typ klucza — jeden z obsługiwanych typów kluczy, na przykład RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • zwykły tekst — oktety w postaci zwykłego tekstu, kodowane przy użyciu Base64URLplaintext-value - plaintext octets, encoded using Base64URL
  • sygnatura-wartość — dane wyjściowe algorytmu podpisu zakodowane przy użyciu Base64URLsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL -a BASE64URL [RFC4648] zakodowana wartość binarnąbase64URL - a Base64URL [RFC4648] encoded binary value
  • wartość logiczna — true lub falseboolean - either true or false
  • Tożsamość — tożsamość z Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate — wartość dziesiętna JSON reprezentująca liczbę sekund od 1970-01-01T0:0: 0Z UTC do określonej daty/godziny UTC.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Zobacz RFC3339, aby uzyskać szczegółowe informacje dotyczące daty/godziny, ogólnie i czasu UTC.See RFC3339 for details regarding date/times, in general and UTC in particular.

Obiekty, identyfikatory i przechowywanie wersjiObjects, identifiers, and versioning

Obiekty przechowywane w Key Vault są używane w wersji za każdym razem, gdy zostanie utworzone nowe wystąpienie obiektu.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Każda wersja ma przypisany unikatowy identyfikator i adres URL.Each version is assigned a unique identifier and URL. Gdy obiekt jest tworzony, otrzymuje unikatowy identyfikator wersji i jest oznaczony jako bieżąca wersja obiektu.When an object is first created, it's given a unique version identifier and marked as the current version of the object. Utworzenie nowego wystąpienia o tej samej nazwie obiektu daje nowemu obiektowi unikatowy identyfikator wersji, powodując, że staje się on bieżącą wersją.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Obiekty w Key Vault mogą być rozkierowane przez określenie wersji lub pominięcie wersji dla operacji w bieżącej wersji obiektu.Objects in Key Vault can be addressed by specifying a version or by omitting version for operations on current version of the object. Na przykład, jeśli klucz o nazwie MasterKey , wykonywanie operacji bez określania wersji powoduje, że system używa najnowszej dostępnej wersji.For example, given a Key with the name MasterKey, performing operations without specifying a version causes the system to use the latest available version. Wykonywanie operacji z identyfikatorem specyficznym dla wersji powoduje, że system używa tej konkretnej wersji obiektu.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Magazyn — nazwa i nazwa obiektuVault-name and Object-name

Obiekty są jednoznacznie identyfikowane w Key Vault przy użyciu adresu URL.Objects are uniquely identified within Key Vault using a URL. Żadne dwa obiekty w systemie nie mają tego samego adresu URL, niezależnie od lokalizacji geograficznej.No two objects in the system have the same URL, regardless of geo-location. Pełny adres URL do obiektu jest nazywany identyfikatorem obiektu.The complete URL to an object is called the Object Identifier. Adres URL składa się z prefiksu, który identyfikuje Key Vault, typ obiektu, nazwę obiektu dostarczoną przez użytkownika i wersję obiektu.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Nazwa obiektu nie uwzględnia wielkości liter i jest niezmienna.The Object Name is case-insensitive and immutable. Identyfikatory, które nie zawierają wersji obiektu, są określane jako identyfikatory podstawowe.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Aby uzyskać więcej informacji, zobacz uwierzytelnianie, żądania i odpowiedziFor more information, see Authentication, requests, and responses

Identyfikator obiektu ma następujący format ogólny (w zależności od typu kontenera):An object identifier has the following general format (depending on container type):

  • W przypadku magazynów: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}For Vaults: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • W przypadku zarządzanych pul modułu HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}For Managed HSM pools: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Uwaga

Zobacz Obsługa typu obiektu dla typów obiektów obsługiwanych przez każdy typ kontenera.See Object type support for types of objects supported by each container type.

Gdzie:Where:

ElementElement OpisDescription
vault-name lub hsm-namevault-name or hsm-name Nazwa magazynu lub Zarządzana pula modułów HSM w usłudze Microsoft Azure Key Vault.The name for a vault or an Managed HSM pool in the Microsoft Azure Key Vault service.

Nazwy magazynów i zarządzane nazwy puli modułów HSM są wybierane przez użytkownika i globalnie unikatowe.Vault names and Managed HSM pool names are selected by the user and are globally unique.

Nazwa magazynu i Nazwa puli zarządzanych modułów HSM muszą być ciągiem znaków 3-24, zawierającym tylko 0-9, a-z, A-Z i-.Vault name and Managed HSM pool name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Typ obiektu, "Keys", "Secret" lub "Certificates".The type of the object, "keys", "secrets", or 'certificates'.
object-name object-nameA to nazwa podana przez użytkownika dla i musi być unikatowa w obrębie Key Vault.An object-name is a user provided name for and must be unique within a Key Vault. Nazwa musi być ciągiem znaków 1-127, rozpoczynając od litery i zawierającą tylko 0-9, a-z, A-Z, i-.The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version object-versionJest wygenerowanym przez system 32 identyfikatorem ciągu znaków, który jest opcjonalnie używany do adresowania unikatowej wersji obiektu.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Następne krokiNext steps