Co to jest usługa Azure Key Vault?What is Azure Key Vault?

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:Azure Key Vault helps solve the following problems

  • Zarządzanie wpisami tajnymi — usługi Azure Key Vault pozwala bezpiecznie przechowywać i ściśle kontrolować dostęp do tokenów, hasła, certyfikaty, klucze interfejsu API i innych wpisów tajnychSecrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Zarządzanie kluczami — usługi Azure Key Vault umożliwia także jako rozwiązania do zarządzania kluczami.Key Management - Azure Key Vault can also be used as a Key Management solution. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Zarządzanie certyfikatami — usługi Azure Key Vault jest również usługa, która pozwala na łatwe aprowizowanie, zarządzanie i wdrażanie prywatnych i publicznych certyfikatów Secure Sockets Layer/Transport Layer Security (SSL/TLS) do użytku z platformą Azure i wewnętrznych połączone zasoby.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Store wpisów tajnych, wspierane przez sprzętowe moduły zabezpieczeń — klucze tajne i klucze mogą być chronione przez oprogramowanie lub ze standardem FIPS 140-2 Level 2 weryfikuje sprzętowych modułów zabezpieczeńStore secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

Podstawowe pojęciaBasic concepts

Usługa Azure Key Vault jest narzędziem do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do nich dostępu.Azure Key Vault is a tool for securely storing and accessing secrets. Wpis tajny to dowolny zasób, do którego dostęp powinien być ściśle kontrolowany. Przykładowe wpisy tajne to klucze interfejsu API, hasła i certyfikaty.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. A magazynu jest logiczną grupą wpisów tajnych.A Vault is logical group of secrets. Teraz można wykonywać wszystkie operacje za pomocą usługi Key Vault należy najpierw uwierzytelnić się do niego.Now to do any operations with Key Vault you first need to authenticate to it.

Zasadniczo są 3 sposoby uwierzytelniania w usłudze Key VaultFundamentally there are 3 ways to authenticate to Key Vault

  1. Za pomocą zarządzanych tożsamości dla zasobów platformy Azure (zalecane i najlepszych praktyk): podczas wdrażania aplikacji na maszynie wirtualnej na platformie Azure, można przypisać tożsamość maszyny wirtualnej który ma dostęp do usługi Key Vault.Using managed identities for Azure resources (Recommended and Best Practice): When you deploy an App on a Virtual Machine in Azure, you can assign an identity to your Virtual Machine that has access to Key Vault. Można także przypisać tożsamości do innych zasobów platformy azure, które są wymienione tutaj.You can also assign identities to other azure resources that are listed here. Korzyści w przypadku tej metody jest aplikacja / Usługa nie zarządza obrót pierwszy klucz tajny.The benefit with this approach is the app / service is not managing the rotation of the first secret. Azure automatycznie przełącza tożsamości.Azure automatically rotates the identity.
  2. Za pomocą jednostki usługi i certyfikatu: 2nd opcją jest użycie nazwy głównej usługi i jest skojarzony certyfikat, który ma dostęp do usługi Key Vault.Using Service Principal and Certificate: The 2nd option is to use a Service Principal and an associated certificate that has access to Key Vault. Ciężar rotacji certyfikatu znajduje się w właściciela aplikacji lub dla deweloperów i dlatego nie jest to zalecaneThe onus of rotating the certificate is on the application owner or developer and hence this is not recommended
  3. Za pomocą nazwy głównej usługi i klucza tajnego: opcja 3 (nie preferowaną opcję) jest użycie jednostki usługi oraz klucza tajnego do uwierzytelniania w usłudze Key VaultUsing Service Principal and Secret: The 3rd option (not preferred option) is to use a Service Principal and a secret to authenticate to Key Vault

Poniżej przedstawiono niektóre kluczowe terminy:Here are some key terms:

  • Dzierżawa — dzierżawa to organizacja, która jest właścicielem konkretnego wystąpienia usług firmy Microsoft w chmurze i zarządza nim.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Tym terminem najczęściej określa się zestaw usług platformy Azure i Office 365 dla organizacji.It’s most often used in an exact manner to refer to the set of Azure and Office 365 services for an organization.
  • Właściciel magazynu — właściciel magazynu może utworzyć magazyn kluczy, ma do niego pełny dostęp i kontrolę nad nim.Vault owner: A vault owner can create a key vault and gain full access and control over it. Właściciel magazynu może też skonfigurować inspekcję, aby rejestrować, kto uzyskuje dostęp do wpisów tajnych i kluczy.The vault owner can also set up auditing to log who accesses secrets and keys. Administratorzy mogą kontrolować cykl życia klucza.Administrators can control the key lifecycle. Mogą oni wdrażać nowe wersje klucza, tworzyć jego kopie zapasowe i wykonywać powiązane zadania.They can roll to a new version of the key, back it up, and do related tasks.
  • Użytkownik magazynu — użytkownik magazynu może wykonywać akcje na zasobach wewnątrz magazynu kluczy, jeśli właściciel magazynu udzieli mu dostępu.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. Dostępne akcje zależą od przyznanych uprawnień.The available actions depend on the permissions granted.
  • Zasób — zasób to dostępny za pośrednictwem platformy Azure element, którym można zarządzać.Resource: A resource is a manageable item that's available through Azure. Niektóre typowe zasoby to: maszyna wirtualna, konto magazynu, aplikacja internetowa czy sieć wirtualna. Istnieje ich jednak wiele więcej.Some common resources are a virtual machine, storage account, web app, database, and virtual network, but there are many more.
  • Grupa zasobów — grupa zasobów to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure.Resource group: A resource group is a container that holds related resources for an Azure solution. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.
  • Nazwa główna usługi — w celu uzyskania dostępu do zasobów, które są zabezpieczone przez dzierżawę usługi Azure AD, jednostka, która wymaga dostępu musi być reprezentowana przez podmiot zabezpieczeń.Service Principal - In order to access resources that are secured by an Azure AD tenant, the entity that requires access must be represented by a security principal. Ta zasada obowiązuje dla użytkowników (nazwy głównej użytkownika) i aplikacji (nazwy głównej usługi).This is true for both users (user principal) and applications (service principal). Podmiot zabezpieczeń definiuje zasady dostępu i uprawnień dla aplikacji/użytkownika w tej dzierżawie.The security principal defines the access policy and permissions for the user/application in that tenant. Dzięki temu podstawowe funkcje, takie jak uwierzytelnianie aplikacji/użytkownika podczas logowania i autoryzacji podczas uzyskiwania dostępu do zasobów.This enables core features such as authentication of the user/application during sign-in, and authorization during resource access.
  • Azure Active Directory (Azure AD): Azure AD to usługa Active Directory dla dzierżawy.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Każdy katalog ma co najmniej jedną domenę.Each directory has one or more domains. Katalog może mieć wiele skojarzonych subskrypcji, ale tylko jedną dzierżawę.A directory can have many subscriptions associated with it, but only one tenant.
  • Identyfikator dzierżawy Azure — identyfikator dzierżawy to unikatowy sposób identyfikacji wystąpienia usługi Azure AD w ramach subskrypcji platformy Azure.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.
  • Zarządzane tożsamości dla zasobów platformy Azure: usługi Azure Key Vault umożliwia bezpieczne przechowywanie poświadczeń i innych kluczy i wpisów tajnych, ale Twój kod będzie wymagała uwierzytelnienia do usługi Key Vault, aby je pobrać.Managed identities for Azure resources: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Za pomocą tożsamości zarządzanej sprawia, że rozwiązywania tego problemu, prostsze, zapewniając tożsamości automatycznie zarządzanych usług platformy Azure w usłudze Azure AD.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. Za pomocą tej tożsamości można uwierzytelnić się w usłudze Key Vault lub dowolnej innej usłudze obsługującej uwierzytelnianie usługi Azure AD bez konieczności przechowywania poświadczeń w kodzie.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Aby uzyskać więcej informacji, zobacz poniższy obraz i zarządzanych tożsamości dla zasobów platformy Azure — omówienie.For more information, see the image below and the managed identities for Azure resources overview.

    Diagram przedstawiający sposób zarządzać tożsamościami dla zasobów platformy Azure działa

Role usługi Key VaultKey Vault roles

Użyj poniższej tabeli, aby lepiej zrozumieć, w jaki sposób usługa Key Vault może pomóc deweloperom i administratorom zabezpieczeń w spełnianiu ich potrzeb.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolaRole Opis problemuProblem statement Rozwiązanie usługi Azure Key VaultSolved by Azure Key Vault
Deweloper aplikacji platformy AzureDeveloper for an Azure application „Chcę napisać aplikację dla platformy Azure, która używa kluczy do logowania i szyfrowania, ale chcę, żeby te klucze znajdowały się poza moją aplikacją tak, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie.“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

Chcę także, aby klucze i wpisy tajne były chronione, ale bez konieczności samodzielnego pisania kodu.I want these keys and secrets to be protected, without having to write the code myself. Powinny też być łatwe w użyciu w moich aplikacjach i mieć optymalną wydajność”.I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ Klucze są przechowywane w magazynie i w razie potrzeby wywoływane przez identyfikator URI.√ Keys are stored in a vault and invoked by URI when needed.

√ Klucze są chronione przez platformę Azure przy użyciu branżowych standardów dotyczących algorytmów, długości klucza i sprzętowych modułów zabezpieczeń (HSM, hardware security module).√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ Klucze są przetwarzane w modułach HSM, które znajdują się w tych samych centrach danych platformy Azure co aplikacje.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Ta metoda zapewnia większą niezawodność i mniejsze opóźnienia niż klucze przechowywane w osobnej lokalizacji, na przykład lokalnie.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
Deweloper oprogramowania jako usługi (SaaS)Developer for software as a service (SaaS) „Nie chcę ponosić odpowiedzialności ani mieć potencjalnych problemów względem kluczy i kluczy tajnych dzierżawy moich klientów.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Chcę, aby klienci mogli niezależnie zarządzać swoimi kluczami. Dzięki temu będę w stanie się skupić na tym, co robię najlepiej – na tworzeniu podstawowych funkcji oprogramowania”.I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Klienci mogą importować własne klucze do platformy Azure i zarządzać nimi.√ Customers can import their own keys into Azure, and manage them. Gdy aplikacja SaaS musi wykonać operacje kryptograficzne przy użyciu kluczy swoich klientów, usługa Key Vault wykonuje te operacje w jej imieniu.When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. Aplikacja nie ma wglądu w klucze klientów.The application does not see the customers’ keys.
Chief Security Officer (CSO)Chief security officer (CSO) „Chcę wiedzieć, że nasze aplikacje są zgodne z modułami HSM w trybie FIPS 140-2 poziom 2 w celu bezpiecznego zarządzania kluczami.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Chcę się upewnić, że moja organizacja kontroluje cykl życia klucza i monitoruje jego użycie.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

I chociaż korzystamy z wielu usług i zasobów platformy Azure, chcę mieć możliwość zarządzania kluczami z jednej lokalizacji na platformie Azure”.And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ Moduły HSM są zweryfikowane w trybie FIPS 140-2 poziom 2.√ HSMs are FIPS 140-2 Level 2 validated.

√ Usługa Key Vault jest zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje klucze ani nie mogła ich wyodrębnić.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Użycie klucza jest rejestrowane w czasie niemal rzeczywistym.√ Key usage is logged in near real time.

√ Magazyn zapewnia jeden interfejs, niezależnie od tego, jak wiele magazynów masz na platformie Azure, które regiony są przez nie obsługiwane oraz które aplikacje ich używają.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Każdy posiadacz subskrypcji Azure może tworzyć magazyny kluczy i z nich korzystać.Anybody with an Azure subscription can create and use key vaults. Mimo że usługa Key Vault przynosi korzyści głównie deweloperom i administratorom zabezpieczeń, może być wdrażana i zarządzana przez administratora organizacji, który zarządza innymi usługami platformy Azure dla organizacji.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization’s administrator who manages other Azure services for an organization. Administrator może na przykład zalogować się przy użyciu subskrypcji platformy Azure, utworzyć dla organizacji magazyn, w którym będą przechowywane klucze, a następnie odpowiadać za takie zadania operacyjne jak:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • Tworzenie lub importowanie klucza lub klucza tajnegoCreate or import a key or secret
  • Odwoływanie lub usuwanie klucza lub klucza tajnegoRevoke or delete a key or secret
  • Zezwalanie użytkownikom lub aplikacjom na dostęp do magazynu kluczy, aby mogli zarządzać kluczami i kluczami tajnymi lub używać ichAuthorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Konfigurowanie użycia klucza (na przykład rejestrowanie lub szyfrowanie)Configure key usage (for example, sign or encrypt)
  • Monitorowanie użycia kluczaMonitor key usage

Administrator może następnie dostarczyć deweloperom identyfikatory URI w celu wywoływania z aplikacji oraz dostarczyć administratorom zabezpieczeń informacje o rejestrowaniu użycia klucza.This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

Omówienie usługi Azure Key Vault

Deweloperzy mogą również zarządzać kluczami bezpośrednio za pomocą interfejsów API.Developers can also manage the keys directly, by using APIs. Aby uzyskać więcej informacji, zobacz artykuł Przewodnik dewelopera usługi Key Vault.For more information, see the Key Vault developer's guide.

Kolejne krokiNext steps

Aby zapoznać się z samouczkiem wprowadzającym dla administratora, zobacz Rozpoczynanie pracy z usługą Azure Key Vault.For a getting-started tutorial for an administrator, see Get started with Azure Key Vault.

Aby uzyskać więcej informacji na temat rejestrowania użycia usługi Key Vault, zobacz Funkcja rejestrowania usługi Azure Key Vault.For more information about usage logging for Key Vault, see Azure Key Vault logging.

Aby uzyskać więcej informacji na temat używania kluczy i wpisów tajnych w usłudze Azure Key Vault, zobacz Informacje o kluczach, wpisach tajnych i certyfikatach.For more information about using keys and secrets with Azure Key Vault, see About keys, secrets, and certificates.

Usługa Azure Key Vault jest dostępna w większości regionów.Azure Key Vault is available in most regions. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Key Vault.For more information, see the Key Vault pricing page.