Informacje o wpisach tajnych usługi Azure Key Vault

Key Vault bezpieczny magazyn ogólnych wpisów tajnych, takich jak hasła i parametry połączenia bazy danych.

Z perspektywy dewelopera interfejsy API Key Vault akceptować i zwracać wartości tajne jako ciągi. Wewnętrznie Key Vault wpisy tajne i zarządza nimi jako sekwencjami oktetów (8-bitowych bajtów) o maksymalnym rozmiarze 25 tys. bajtów. Usługa Key Vault nie zapewnia semantyki wpisów tajnych. Jedynie akceptuje dane, szyfruje je, przechowuje i zwraca identyfikator klucza tajnego ("id"). Identyfikator może służyć do pobierania klucza tajnego w późniejszym czasie.

W przypadku wysoce poufnych danych klienci powinni rozważyć zastosowanie dodatkowych warstw ochrony danych. Jednym z przykładów jest szyfrowanie danych przy użyciu oddzielnego klucza ochrony w celu przechowywania ich w usłudze Key Vault.

Key Vault obsługuje również pole contentType dla wpisów tajnych. Klienci mogą określać typ zawartości wpisów tajnych, aby pomóc w interpretowaniu danych wpisów tajnych podczas ich pobierania. Maksymalna długość tego pola to 255 znaków. Sugerowane użycie jest wskazówką do interpretowania danych tajnych. Na przykład implementacja może przechowywać hasła i certyfikaty jako wpisy tajne, a następnie używać tego pola do rozróżnienia. Nie ma żadnych wstępnie zdefiniowanych wartości.

Szyfrowanie

Wszystkie wpisy tajne w Key Vault są przechowywane w postaci zaszyfrowanej. Key Vault wpisy tajne są szyfrowane przy użyciu hierarchii kluczy szyfrowania, a wszystkie klucze w tej hierarchii są chronione przez moduły zgodne ze standardem FIPS 140-2. To szyfrowanie jest przezroczyste i nie wymaga żadnej akcji ze strony użytkownika. Usługa Azure Key Vault szyfruje Wpisy tajne podczas dodawania i odszyfrowuje je automatycznie podczas ich odczytywania.

Klucz liścia szyfrowania hierarchii kluczy jest unikatowy dla każdego magazynu kluczy. Klucz główny szyfrowania hierarchii kluczy jest unikatowy dla środowiska zabezpieczeń Security World, a jego poziom ochrony różni się w zależności od regionu:

  • Chiny: klucz główny jest chroniony przez moduł zweryfikowany pod względem bezpieczeństwa w trybie FIPS 140-2 poziom 1.
  • Inne regiony: klucz główny jest chroniony przez moduł zweryfikowany pod względem poziomu FIPS 140-2 poziom 2 lub wyższego.

Atrybuty tajne

Oprócz danych tajnych można określić następujące atrybuty:

  • exp: IntDate, optional, default is forever. Atrybut exp (czas wygaśnięcia) identyfikuje czas wygaśnięcia w dniu lub po upływie którego NIE NALEŻY pobierać danych tajnych, z wyjątkiem określonych sytuacji. To pole służy wyłącznie do celów informacyjnych, ponieważ informuje użytkowników usługi Key Vault o tym, że nie można użyć określonego klucza tajnego. Jej wartość MUSI być liczbą zawierającą wartość IntDate.
  • nbf: IntDate, optional, default is now. Atrybut nbf (nie przed) identyfikuje czas, przed którym NIE NALEŻY pobierać danych tajnych, z wyjątkiem określonych sytuacji. To pole jest tylko do celów informacyjnych. Jej wartość MUSI być liczbą zawierającą wartość IntDate.
  • enabled: wartość logiczna, opcjonalna, wartość domyślna to true. Ten atrybut określa, czy można pobrać dane tajne. Atrybut enabled jest używany w połączeniu z nbf i exp, gdy operacja występuje między nbf i exp, będzie dozwolone tylko wtedy, gdy włączone jest ustawiona na true. Operacje poza oknem nbf i exp są automatycznie niedozwolone, z wyjątkiem określonych sytuacji.

Istnieją dodatkowe atrybuty tylko do odczytu, które są zawarte w każdej odpowiedzi, która zawiera atrybuty tajne:

  • created: IntDate, optional (Opcjonalnie). Utworzony atrybut wskazuje, kiedy ta wersja tajnego została utworzona. Ta wartość ma wartość null dla wpisów tajnych utworzonych przed dodaniem tego atrybutu. Jej wartość musi być liczbą zawierającą wartość IntDate.
  • updated: IntDate, optional. Zaktualizowany atrybut wskazuje, kiedy ta wersja tajnego została zaktualizowana. Ta wartość ma wartość null dla wpisów tajnych, które zostały ostatnio zaktualizowane przed dodaniem tego atrybutu. Jej wartość musi być liczbą zawierającą wartość IntDate.

Aby uzyskać informacje na temat typowych atrybutów dla każdego typu obiektu magazynu kluczy, zobacz Azure Key Vault kluczy tajnych i certyfikatów — omówienie

Operacje sterowane datą i godziną

Operacja get wpisów tajnych będzie działać dla nieuważnych i wygasłych wpisów tajnych poza oknem exp nbf. / Do celów testowych można użyć wywołania operacji get tajnego, aby uzyskać klucz tajny, który nie jest jeszcze prawidłowy. Pobieranie (pobieranie)wygasłego hasła może służyć do operacji odzyskiwania.

Kontrola dostępu do wpisów tajnych

Access Control wpisów tajnych zarządzanych w Key Vault, jest dostarczany na poziomie Key Vault, który zawiera te wpisy tajne. Zasady kontroli dostępu dla wpisów tajnych różnią się od zasad kontroli dostępu dla kluczy w tym samym Key Vault. Użytkownicy mogą tworzyć co najmniej jeden magazyn do przechowywania wpisów tajnych i muszą utrzymywać odpowiednią segmentację wpisów tajnych i zarządzanie nimi.

Następujące uprawnienia mogą być używane dla każdego podmiotu zabezpieczeń we wpisie kontroli dostępu do wpisów tajnych w magazynie i ściśle dublować operacje dozwolone dla obiektu wpisu tajnego:

  • Uprawnienia do operacji zarządzania kluczami tajnymi

    • get: odczytywanie tajnego
    • list: Lista wpisów tajnych lub wersji wpisów tajnych przechowywanych w Key Vault
    • set: Create a secret (ustaw: tworzenie tajnego)
    • delete: usuwanie tajnego
    • odzyskiwanie: odzyskiwanie usuniętego tajnego
    • kopia zapasowa: tworzenie kopii zapasowej klucza tajnego w magazynie kluczy
    • przywracanie: przywracanie kopii zapasowej klucza tajnego do magazynu kluczy
  • Uprawnienia dla operacji uprzywilejowanych

    • przeczyszczanie: przeczyszczanie (trwałe usuwanie) usuniętego tajnego

Aby uzyskać więcej informacji na temat pracy z wpisami tajnymi, zobacz Secret operations (Operacje na wpisach tajnych) w Key Vault API REST . Aby uzyskać informacje na temat ustanawiania uprawnień, zobacz Magazyny — tworzenie lub aktualizowanie i magazyny — aktualizowanie zasad dostępu.

Przewodniki z instrukcje dotyczące kontrolowania dostępu w Key Vault:

Tagi tajnych

Dodatkowe metadane specyficzne dla aplikacji można określić w postaci tagów. Key Vault obsługuje do 15 tagów, z których każdy może mieć nazwę 256 znaków i wartość 256 znaków.

Uwaga

Tagi są czytelne dla wywołującego, jeśli ma listę lub uprawnienie do uzyskania.

Scenariusze użycia

Kiedy stosować Przykłady
Bezpieczne przechowywanie i zarządzanie cyklem życia oraz monitorowanie poświadczeń komunikacji między usługami, takich jak hasła, klucze dostępu i wpisy tajne klienta jednostki usługi. - Używanie Azure Key Vault z maszyną wirtualną
- Używanie Azure Key Vault z aplikacją internetową platformy Azure

Następne kroki