Co to jest usługa Azure Key Vault?What is Azure Key Vault?

Usługa Azure Key Vault jest dostępna w większości regionów.Azure Key Vault is available in most regions. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Key Vault.For more information, see the Key Vault pricing page.

WprowadzenieIntroduction

Usługa Azure Key Vault ułatwia ochronę kluczy kryptograficznych i kluczy tajnych używanych przez aplikacje i usługi w chmurze.Azure Key Vault helps safeguard cryptographic keys and secrets used by cloud applications and services. Za pomocą usługi Key Vault możesz szyfrować klucze i wpisy tajne (takie jak klucze uwierzytelniania, klucze konta magazynu, klucze szyfrowania danych, pliki PFX oraz hasła) przy użyciu kluczy chronionych przez sprzętowe moduły zabezpieczeń (HSM, hardware security module).By using Key Vault, you can encrypt keys and secrets (such as authentication keys, storage account keys, data encryption keys, .PFX files, and passwords) using keys protected by hardware security modules (HSMs). W celu zapewnienia dodatkowego bezpieczeństwa możesz zaimportować lub wygenerować klucze w modułach HSM.For added assurance, you can import or generate keys in HSMs. Jeśli się na to zdecydujesz, firma Microsoft będzie przetwarzać klucze w modułach HSM zweryfikowanych w trybie FIPS 140-2 poziom 2 (sprzęt i oprogramowanie układowe).If you choose to do this, Microsoft processes your keys in FIPS 140-2 Level 2 validated HSMs (hardware and firmware).

Usługa Key Vault usprawnia proces zarządzania kluczami i pozwala zachować kontrolę nad kluczami, które mają dostęp do danych i szyfrują je.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Deweloperzy mogą w klika minut utworzyć klucze do programowania i testowania, a następnie bezproblemowo przeprowadzić ich migrację do kluczy produkcji.Developers can create keys for development and testing in minutes, and then seamlessly migrate them to production keys. W razie potrzeby administratorzy zabezpieczeń mogą przydzielić (i cofnąć) uprawnienia do używania kluczy.Security administrators can grant (and revoke) permission to keys, as needed.

Użyj poniższej tabeli, aby lepiej zrozumieć, w jaki sposób usługa Key Vault może pomóc deweloperom i administratorom zabezpieczeń w spełnianiu ich potrzeb.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolaRole Opis problemuProblem statement Rozwiązanie usługi Azure Key VaultSolved by Azure Key Vault
Deweloper aplikacji platformy AzureDeveloper for an Azure application „Chcę napisać aplikację dla platformy Azure, która używa kluczy do logowania i szyfrowania, ale chcę, żeby te klucze znajdowały się poza moją aplikacją tak, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie.“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

Chcę także, aby klucze i klucze tajne były chronione, ale bez konieczności samodzielnego pisania kodu.I also want these keys and secrets to be protected, without having to write the code myself. Powinny też być łatwe w użyciu w moich aplikacjach i mieć optymalną wydajność”.I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ Klucze są przechowywane w magazynie i w razie potrzeby wywoływane przez identyfikator URI.√ Keys are stored in a vault and invoked by URI when needed.

√ Klucze są chronione przez platformę Azure przy użyciu branżowych standardów dotyczących algorytmów, długości klucza i sprzętowych modułów zabezpieczeń (HSM).√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs).

√ Klucze są przetwarzane w modułach HSM, które znajdują się w tych samych centrach danych platformy Azure co aplikacje.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Zapewnia to lepszą niezawodność i mniejsze opóźnienia, niż gdyby klucze były przechowywane w osobnej lokalizacji, na przykład lokalnie.This provides better reliability and reduced latency than if the keys reside in a separate location, such as on-premises.
Deweloper oprogramowania jako usługi (SaaS)Developer for Software as a Service (SaaS) „Nie chcę ponosić odpowiedzialności ani mieć potencjalnych problemów względem kluczy i kluczy tajnych dzierżawy moich klientów.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Chcę, aby klienci mogli niezależnie zarządzać swoimi kluczami. Dzięki temu będę w stanie się skupić na tym, co robię najlepiej – na tworzeniu podstawowych funkcji oprogramowania”.I want the customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Klienci mogą importować własne klucze do platformy Azure i zarządzać nimi.√ Customers can import their own keys into Azure, and manage them. Gdy aplikacja SaaS musi wykonać operacje kryptograficzne przy użyciu kluczy swoich klientów, usługa Key Vault wykonuje te operacje w jej imieniu.When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. Aplikacja nie ma wglądu w klucze klientów.The application does not see the customers’ keys.
Chief Security Officer (CSO)Chief security officer (CSO) „Chcę wiedzieć, że nasze aplikacje są zgodne z modułami HSM w trybie FIPS 140-2 poziom 2 w celu bezpiecznego zarządzania kluczami.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Chcę się upewnić, że moja organizacja kontroluje cykl życia klucza i monitoruje jego użycie.I want to make sure that my organization is in control of the key life cycle and can monitor key usage.

I chociaż korzystamy z wielu usług i zasobów platformy Azure, chcę mieć możliwość zarządzania kluczami z jednej lokalizacji na platformie Azure”.And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ Moduły HSM są zweryfikowane w trybie FIPS 140-2 poziom 2.√ HSMs are FIPS 140-2 Level 2 validated.

√ Usługa Key Vault jest zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje klucze ani nie mogła ich wyodrębnić.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Rejestrowanie użycia klucza niemal w czasie rzeczywistym.√ Near real-time logging of key usage.

√ Magazyn zapewnia jeden interfejs, niezależnie od tego, jak wiele magazynów masz na platformie Azure, które regiony są przez nie obsługiwane oraz które aplikacje ich używają.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Każdy posiadacz subskrypcji Azure może tworzyć magazyny kluczy i z nich korzystać.Anybody with an Azure subscription can create and use key vaults. Mimo że usługa Key Vault przynosi korzyści głównie deweloperom i administratorom zabezpieczeń, może być wdrażana i zarządzana przez administratora organizacji, który zarządza innymi usługami platformy Azure dla organizacji.Although Key Vault benefits developers and security administrators, it could be implemented and managed by an organization’s administrator who manages other Azure services for an organization. Administrator może na przykład zalogować się przy użyciu subskrypcji platformy Azure, utworzyć dla organizacji magazyn, w którym będą przechowywane klucze, a następnie odpowiadać za takie zadania operacyjne jak:For example, this administrator would sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • Tworzenie lub importowanie klucza lub klucza tajnegoCreate or import a key or secret
  • Odwoływanie lub usuwanie klucza lub klucza tajnegoRevoke or delete a key or secret
  • Zezwalanie użytkownikom lub aplikacjom na dostęp do magazynu kluczy, aby mogli zarządzać kluczami i kluczami tajnymi lub używać ichAuthorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Konfigurowanie użycia klucza (na przykład rejestrowanie lub szyfrowanie)Configure key usage (for example, sign or encrypt)
  • Monitorowanie użycia kluczaMonitor key usage

Administrator może następnie dostarczyć deweloperom identyfikatory URI w celu wywoływania z aplikacji oraz dostarczyć administratorom zabezpieczeń informacje o rejestrowaniu użycia klucza.This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

Omówienie usługi Azure Key Vault

Deweloperzy mogą również zarządzać kluczami bezpośrednio za pomocą interfejsów API.Developers can also manage the keys directly, by using APIs. Aby uzyskać więcej informacji, zobacz artykuł Przewodnik dewelopera usługi Key Vault.For more information, see the Key Vault developer's guide.

Następne krokiNext Steps

Aby zapoznać się z samouczkiem wprowadzającym dla administratora, zobacz Wprowadzenie do usługi Azure Key Vault.For a getting started tutorial for an administrator, see Get Started with Azure Key Vault.

Aby uzyskać więcej informacji na temat rejestrowania użycia usługi Key Vault, zobacz Rejestrowanie usługi Azure Key Vault.For more information about usage logging for Key Vault, see Azure Key Vault Logging.

Aby uzyskać więcej informacji na temat używania kluczy i kluczy tajnych w usłudze Azure Key Vault, zobacz Informacje o kluczach, kluczach tajnych i certyfikatach.For more information about using keys and secrets with Azure Key Vault, see About Keys, Secrets, and Certificates.