Informacje o usłudze Azure Key VaultAbout Azure Key Vault

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:Azure Key Vault helps solve the following problems:

  • Zarządzanie wpisami tajnymi — usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Zarządzanie kluczami — usługa Azure Key Vault może być także używana jako rozwiązanie do zarządzania kluczami.Key Management - Azure Key Vault can also be used as a Key Management solution. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Zarządzanie certyfikatami — Azure Key Vault to również usługa, która umożliwia łatwe inicjowanie obsługi i wdrażanie publicznych i prywatnych certyfikatów Transport Layer Security/SSL (TLS/SSL) do użycia z platformą Azure i wewnętrznymi zasobami połączonymi.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Transport Layer Security/Secure Sockets Layer (TLS/SSL) certificates for use with Azure and your internal connected resources.

Azure Key Vault ma dwie warstwy usług: standardowa, która szyfruje za pomocą klucza programowego i warstwy Premium, która obejmuje klucze chronione przez moduł HSM.Azure Key Vault has two service tiers: Standard, which encrypts with a software key, and a Premium tier, which includes HSM-protected keys. Aby wyświetlić porównanie warstw standardowa i Premium, zobacz stronę z cennikiem Azure Key Vault.To see a comparison between the Standard and Premium tiers, see the Azure Key Vault pricing page.

Jakie są zalety korzystania z usługi Azure Key Vault?Why use Azure Key Vault?

Scentralizowana obsługa wpisów tajnych aplikacjiCentralize application secrets

Centralny magazyn wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Usługa Key Vault znacznie ogranicza prawdopodobieństwo przypadkowego ujawnienia wpisów tajnych.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Korzystając z usługi Key Vault, deweloperzy aplikacji nie muszą już przechowywać informacji zabezpieczeń w aplikacji.When using Key Vault, application developers no longer need to store security information in their application. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie.Not having to store security information in applications eliminates the need to make this information part of the code. Na przykład aplikacja może potrzebować połączenia z bazą danych.For example, an application may need to connect to a database. Zamiast przechowywać parametry połączenia w kodzie aplikacji można je przechowywać bezpiecznie w usłudze Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI.Your applications can securely access the information they need by using URIs. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego.These URIs allow the applications to retrieve specific versions of a secret. Nie ma konieczności pisania niestandardowego kodu w celu ochrony poufnych informacji przechowywanych w usłudze Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Bezpieczne przechowywanie wpisów tajnych i kluczySecurely store secrets and keys

Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. Uwierzytelnianie ustala tożsamość elementu wywołującego, a autoryzacja określa, jakie operacje może on wykonywać.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

Uwierzytelnianie jest wykonywane za pośrednictwem usługi Azure Active Directory.Authentication is done via Azure Active Directory. Autoryzację można przeprowadzić za pomocą kontroli dostępu opartej na rolach (Azure RBAC) lub Key Vault zasad dostępu.Authorization may be done via Azure role-based access control (Azure RBAC) or Key Vault access policy. Kontrola dostępu do platformy Azure jest używana podczas rozwiązywania problemów z zarządzaniem magazynami, a przy próbie uzyskania dostępu do danych przechowywanych w magazynie jest używana.Azure RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Magazyny kluczy platformy Azure mogą być chronione przez oprogramowanie lub, w Azure Key Vault warstwy Premium, chronione sprzętowo przez sprzętowe moduły zabezpieczeń (sprzętowych modułów zabezpieczeń).Azure Key Vaults may be either software-protected or, with the Azure Key Vault Premium tier, hardware-protected by hardware security modules (HSMs). Klucze chronione przez oprogramowanie, wpisy tajne i certyfikaty są zabezpieczane przez platformę Azure przy użyciu standardowych algorytmów i długości kluczy.Software-protected keys, secrets, and certificates are safeguarded by Azure, using industry-standard algorithms and key lengths. W sytuacjach, gdy wymagana jest dodatkowa gwarancja, można importować lub generować klucze w sprzętowych modułów zabezpieczeń, które nigdy nie pozostawiają granicy modułu HSM.For situations where you require added assurance, you can import or generate keys in HSMs that never leave the HSM boundary. Azure Key Vault korzysta z oprogramowanie wspomagające nCipher sprzętowych modułów zabezpieczeń, które są zweryfikowane w trybie FIPS (Federal Information Processing Standards) 140-2 Level 2.Azure Key Vault uses nCipher HSMs, which are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated. Za pomocą narzędzi oprogramowanie wspomagające nCipher można przenieść klucz z modułu HSM do Azure Key Vault.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Usługa Azure Key Vault została zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje dane ani nie mogła ich wyodrębnić.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Monitorowanie dostępu i użyciaMonitor access and use

Po utworzeniu kilku magazynów usługi Key Vault może zajść potrzeba monitorowania sposobu oraz czasu dostępu do kluczy i wpisów tajnych.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Działanie można monitorować przez włączenie rejestrowania dla magazynów.You can monitor activity by enabling logging for your vaults. Usługę Azure Key Vault można skonfigurować w następujących celach:You can configure Azure Key Vault to:

  • Archiwizowanie na koncie magazynu.Archive to a storage account.
  • Przesyłanie strumieniowe do centrum zdarzeń.Stream to an event hub.
  • Wyślij dzienniki do Azure Monitor dzienników.Send the logs to Azure Monitor logs.

Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Uproszczone administrowanie wpisami tajnymi aplikacjiSimplified administration of application secrets

W przypadku przechowywania cennych danych należy wykonać kilka czynności.When storing valuable data, you must take several steps. Informacje o zabezpieczeniach muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne.Security information must be secured, it must follow a life cycle, and it must be highly available. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:Azure Key Vault simplifies the process of meeting these requirements by:

  • Usunięcie potrzeby znajomości sprzętowych modułów zabezpieczeń.Removing the need for in-house knowledge of Hardware Security Modules.
  • Skalowanie w górę w krótkiej postaci, aby sprostać wzrostom użycia w organizacji.Scaling up on short notice to meet your organization's usage spikes.
  • Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego.Replicating the contents of your Key Vault within a region and to a secondary region. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji.In addition, Azure Key Vaults allow you to segregate application secrets. Aplikacje mają dostęp tylko do magazynu, do którego zezwolono im na dostęp, i mogą zostać ograniczone do wykonywania tylko określonych operacji.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integracja z innymi usługami platformy AzureIntegrate with other Azure services

Jako bezpieczny magazyn na platformie Azure usługa Key Vault jest używana do upraszczania takich scenariuszy jak:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Samą usługę Key Vault można zintegrować z kontami magazynu, centrami zdarzeń i analizą dzienników.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Następne krokiNext steps