Co to jest usługa Azure Key Vault?What is Azure Key Vault?

Usługa Azure Key Vault ułatwia ochronę kluczy kryptograficznych i kluczy tajnych używanych przez aplikacje i usługi w chmurze.Azure Key Vault helps safeguard cryptographic keys and secrets used by cloud applications and services. Za pomocą usługi Key Vault możesz szyfrować klucze i wpisy tajne (takie jak klucze uwierzytelniania, klucze konta magazynu, klucze szyfrowania danych, pliki PFX oraz hasła) przy użyciu kluczy chronionych przez sprzętowe moduły zabezpieczeń (HSM, hardware security module).By using Key Vault, you can encrypt keys and secrets (such as authentication keys, storage account keys, data encryption keys, .PFX files, and passwords) using keys protected by hardware security modules (HSMs). W celu zapewnienia dodatkowego bezpieczeństwa możesz zaimportować lub wygenerować klucze w modułach HSM.For added assurance, you can import or generate keys in HSMs. Jeśli się na to zdecydujesz, firma Microsoft będzie przetwarzać klucze w modułach HSM zweryfikowanych w trybie FIPS 140-2 poziom 2 (sprzęt i oprogramowanie układowe).If you choose to do this, Microsoft processes your keys in FIPS 140-2 Level 2 validated HSMs (hardware and firmware).

Usługa Key Vault usprawnia proces zarządzania kluczami i pozwala zachować kontrolę nad kluczami, które mają dostęp do danych i szyfrują je.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Deweloperzy mogą w klika minut utworzyć klucze do programowania i testowania, a następnie bezproblemowo przeprowadzić ich migrację do kluczy produkcji.Developers can create keys for development and testing in minutes, and then seamlessly migrate them to production keys. W razie potrzeby administratorzy zabezpieczeń mogą przydzielić (i cofnąć) uprawnienia do używania kluczy.Security administrators can grant (and revoke) permission to keys, as needed.

Podstawowe pojęciaBasic concepts

Usługa Azure Key Vault jest narzędziem do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do nich dostępu.Azure Key Vault is a tool for securely storing and accessing secrets. Wpis tajny to dowolny zasób, do którego dostęp powinien być ściśle kontrolowany. Przykładowe wpisy tajne to klucze interfejsu API, hasła i certyfikaty.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. Poniżej przedstawiono niektóre kluczowe terminy:Below are some key terms:

  • Dzierżawa — dzierżawa to organizacja, która jest właścicielem konkretnego wystąpienia usług firmy Microsoft w chmurze i zarządza nim.Tenant - A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Tym terminem najczęściej określa się zestaw usług platformy Azure i Office 365 dla organizacji.It’s most often used in an exact manner to refer to the set of Azure and Office 365 services for an organization
  • Właściciel magazynu — może utworzyć magazyn kluczy, ma do niego pełny dostęp i całkowicie go kontroluje.Vault Owner - can create a Key Vault gaining full access and control over it. Właściciel magazynu może też skonfigurować inspekcję, aby rejestrować, kto uzyskuje dostęp do wpisów tajnych i kluczy.The vault owner can also set up auditing to log who accesses secrets & keys. Administratorzy mogą kontrolować cykl życia klucza.Administrators can control the key lifecycle. Mogą oni wdrażać nowe wersje klucza, tworzyć jego kopie zapasowe itd.They can roll to a new version of the key, back it up, etc.
  • Zasób — dostępny za pośrednictwem platformy Azure element, którym można zarządzać.Resource - A manageable item that is available through Azure. Niektóre typowe zasoby to: maszyna wirtualna, konto magazynu, aplikacja internetowa czy sieć wirtualna. Istnieje ich jednak wiele więcej.Some common resources are a virtual machine, storage account, web app, database, and virtual network, but there are many more.
  • Grupa zasobów — kontener, który zawiera powiązane zasoby rozwiązania dla platformy Azure.Resource group - A container that holds related resources for an Azure solution. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji.You decide how you want to allocate resources to resource groups based on what makes the most sense for your organization. Zobacz Grupy zasobów.See Resource groups.
  • Użytkownik magazynu — może wykonywać akcje na zasobach wewnątrz magazynu kluczy, jeśli właściciel magazynu udzieli mu dostępu, co jest zależne od nadanych uprawnień.Vault Consumer - can perform actions on the assets inside the Key Vault when the vault owner grants him/her access which depend on the permissions granted.
  • Azure Active Directory jest usługą Azure AD dla danej dzierżawy.Azure Active Directory is the Azure AD service for a given tenant. Każdy katalog ma co najmniej jedną domenę.Each directory has one or more domains. Katalog może mieć wiele skojarzonych subskrypcji, ale tylko jedną dzierżawę.A directory can have many subscriptions associated with it, but only one tenant.
  • Identyfikator dzierżawy Azure — jest to unikatowy sposób identyfikacji usługi Azure Active Directory w ramach subskrypcji platformy Azure.Azure Tenant ID - This is a unique way to identify an Azure Active Directory within a Azure Subscription.
  • Tożsamość usługi zarządzanej — usługa Azure Key Vault oferuje bezpieczny sposób przechowywania poświadczeń oraz innych kluczy i wpisów tajnych, ale w celu ich pobrania należy uwierzytelnić kod w usłudze Key Vault.Managed Service Identity - Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Tożsamość usługi zarządzanej (MSI) ułatwia rozwiązywanie tego problemu, udostępniając usługom platformy Azure automatycznie zarządzaną tożsamość w usłudze Azure Active Directory (Azure AD).Managed Service Identity(MSI) makes solving this problem simpler by giving Azure services an automatically managed identity in Azure Active Directory (Azure AD). Za pomocą tej tożsamości można uwierzytelnić się w usłudze Key Vault lub dowolnej innej usłudze obsługującej uwierzytelnianie usługi Azure AD bez konieczności przechowywania poświadczeń w kodzie.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Więcej informacji o tożsamości usługi zarządzanej można znaleźć tutaj.To read more about MSI refer here

    Grafika MSI

Role usługi Key VaultKey vault roles

Użyj poniższej tabeli, aby lepiej zrozumieć, w jaki sposób usługa Key Vault może pomóc deweloperom i administratorom zabezpieczeń w spełnianiu ich potrzeb.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolaRole Opis problemuProblem statement Rozwiązanie usługi Azure Key VaultSolved by Azure Key Vault
Deweloper aplikacji platformy AzureDeveloper for an Azure application „Chcę napisać aplikację dla platformy Azure, która używa kluczy do logowania i szyfrowania, ale chcę, żeby te klucze znajdowały się poza moją aplikacją tak, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie.“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

Chcę także, aby klucze i klucze tajne były chronione, ale bez konieczności samodzielnego pisania kodu.I also want these keys and secrets to be protected, without having to write the code myself. Powinny też być łatwe w użyciu w moich aplikacjach i mieć optymalną wydajność”.I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ Klucze są przechowywane w magazynie i w razie potrzeby wywoływane przez identyfikator URI.√ Keys are stored in a vault and invoked by URI when needed.

√ Klucze są chronione przez platformę Azure przy użyciu branżowych standardów dotyczących algorytmów, długości klucza i sprzętowych modułów zabezpieczeń (HSM).√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs).

√ Klucze są przetwarzane w modułach HSM, które znajdują się w tych samych centrach danych platformy Azure co aplikacje.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Zapewnia to lepszą niezawodność i mniejsze opóźnienia, niż gdyby klucze były przechowywane w osobnej lokalizacji, na przykład lokalnie.This provides better reliability and reduced latency than if the keys reside in a separate location, such as on-premises.
Deweloper oprogramowania jako usługi (SaaS)Developer for Software as a Service (SaaS) „Nie chcę ponosić odpowiedzialności ani mieć potencjalnych problemów względem kluczy i kluczy tajnych dzierżawy moich klientów.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Chcę, aby klienci mogli niezależnie zarządzać swoimi kluczami. Dzięki temu będę w stanie się skupić na tym, co robię najlepiej – na tworzeniu podstawowych funkcji oprogramowania”.I want the customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Klienci mogą importować własne klucze do platformy Azure i zarządzać nimi.√ Customers can import their own keys into Azure, and manage them. Gdy aplikacja SaaS musi wykonać operacje kryptograficzne przy użyciu kluczy swoich klientów, usługa Key Vault wykonuje te operacje w jej imieniu.When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. Aplikacja nie ma wglądu w klucze klientów.The application does not see the customers’ keys.
Chief Security Officer (CSO)Chief security officer (CSO) „Chcę wiedzieć, że nasze aplikacje są zgodne z modułami HSM w trybie FIPS 140-2 poziom 2 w celu bezpiecznego zarządzania kluczami.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Chcę się upewnić, że moja organizacja kontroluje cykl życia klucza i monitoruje jego użycie.I want to make sure that my organization is in control of the key life cycle and can monitor key usage.

I chociaż korzystamy z wielu usług i zasobów platformy Azure, chcę mieć możliwość zarządzania kluczami z jednej lokalizacji na platformie Azure”.And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ Moduły HSM są zweryfikowane w trybie FIPS 140-2 poziom 2.√ HSMs are FIPS 140-2 Level 2 validated.

√ Usługa Key Vault jest zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje klucze ani nie mogła ich wyodrębnić.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Rejestrowanie użycia klucza niemal w czasie rzeczywistym.√ Near real-time logging of key usage.

√ Magazyn zapewnia jeden interfejs, niezależnie od tego, jak wiele magazynów masz na platformie Azure, które regiony są przez nie obsługiwane oraz które aplikacje ich używają.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Każdy posiadacz subskrypcji Azure może tworzyć magazyny kluczy i z nich korzystać.Anybody with an Azure subscription can create and use key vaults. Mimo że usługa Key Vault przynosi korzyści głównie deweloperom i administratorom zabezpieczeń, może być wdrażana i zarządzana przez administratora organizacji, który zarządza innymi usługami platformy Azure dla organizacji.Although Key Vault benefits developers and security administrators, it could be implemented and managed by an organization’s administrator who manages other Azure services for an organization. Administrator może na przykład zalogować się przy użyciu subskrypcji platformy Azure, utworzyć dla organizacji magazyn, w którym będą przechowywane klucze, a następnie odpowiadać za takie zadania operacyjne jak:For example, this administrator would sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • Tworzenie lub importowanie klucza lub klucza tajnegoCreate or import a key or secret
  • Odwoływanie lub usuwanie klucza lub klucza tajnegoRevoke or delete a key or secret
  • Zezwalanie użytkownikom lub aplikacjom na dostęp do magazynu kluczy, aby mogli zarządzać kluczami i kluczami tajnymi lub używać ichAuthorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Konfigurowanie użycia klucza (na przykład rejestrowanie lub szyfrowanie)Configure key usage (for example, sign or encrypt)
  • Monitorowanie użycia kluczaMonitor key usage

Administrator może następnie dostarczyć deweloperom identyfikatory URI w celu wywoływania z aplikacji oraz dostarczyć administratorom zabezpieczeń informacje o rejestrowaniu użycia klucza.This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

Omówienie usługi Azure Key Vault

Deweloperzy mogą również zarządzać kluczami bezpośrednio za pomocą interfejsów API.Developers can also manage the keys directly, by using APIs. Aby uzyskać więcej informacji, zobacz artykuł Przewodnik dewelopera usługi Key Vault.For more information, see the Key Vault developer's guide.

Następne krokiNext steps

Aby zapoznać się z samouczkiem wprowadzającym dla administratora, zobacz Wprowadzenie do usługi Azure Key Vault.For a getting started tutorial for an administrator, see Get Started with Azure Key Vault.

Aby uzyskać więcej informacji na temat rejestrowania użycia usługi Key Vault, zobacz Rejestrowanie usługi Azure Key Vault.For more information about usage logging for Key Vault, see Azure Key Vault Logging.

Aby uzyskać więcej informacji na temat używania kluczy i kluczy tajnych w usłudze Azure Key Vault, zobacz Informacje o kluczach, kluczach tajnych i certyfikatach.For more information about using keys and secrets with Azure Key Vault, see About Keys, Secrets, and Certificates.

Usługa Azure Key Vault jest dostępna w większości regionów.Azure Key Vault is available in most regions. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Key Vault.For more information, see the Key Vault pricing page.