Introdução ao Key Vault no Hub Azure Stack

Pré-requisitos

Noções básicas do Key Vault

Key Vault no Hub Azure Stack ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços de nuvem. Usando Key Vault, você pode criptografar chaves e segredos, como:

  • Chaves de autenticação
  • Chaves de conta de armazenamento
  • Chaves de criptografia de dados
  • Arquivos .pfx
  • Senhas

O Key Vault simplifica o processo de gerenciamento de chaves e habilita você a ter controle das chaves que acessam e criptografam seus dados. Desenvolvedores podem criar chaves para desenvolvimento e teste em minutos e depois migrá-las diretamente para chaves de produção. Os administradores de segurança podem conceder (e revogar) permissões às chaves conforme necessário.

Qualquer pessoa com uma assinatura de Hub de Azure Stack pode criar e usar cofres de chaves. Embora Key Vault beneficia os desenvolvedores e administradores de segurança, o operador que gerencia outros serviços de Hub de Azure Stack para uma organização pode implementá-lo e gerenciá-lo. Por exemplo, o operador Hub Azure Stack pode entrar com uma assinatura de Hub de Azure Stack e criar um cofre para a organização na qual armazenar chaves. Depois disso, eles podem:

  • Criar ou importar uma chave ou segredo.
  • Revogar ou excluir uma chave ou segredo.
  • Autorize os usuários ou aplicativos a acessar o cofre de chaves para que possam gerenciar ou usar suas chaves e segredos.
  • Configure o uso da chave (por exemplo, assinar ou criptografar).

O operador pode então fornecer aos desenvolvedores identificadores de recursos uniformes (URIs) para chamar de seus aplicativos.

Os desenvolvedores também podem gerenciar as chaves diretamente usando APIs. Para obter mais informações, consulte o Guia do desenvolvedor do Key Vault.

Cenários

Os cenários a seguir descrevem como o Key Vault pode ajudar a atender às necessidades de desenvolvedores e administradores de segurança.

Desenvolvedor para um aplicativo de Hub de Azure Stack

Problema: Quero escrever um aplicativo para Azure Stack Hub que usa chaves para assinatura e criptografia. Quero que essas chaves sejam externas do meu aplicativo para que a solução seja adequada para um aplicativo distribuído geograficamente.

Instrução: As chaves são armazenadas em um cofre e invocadas por um URI quando necessário.

Desenvolvedor de SaaS (software como serviço)

Problema: Não quero a responsabilidade ou a responsabilidade potencial das chaves e dos segredos do cliente. Quero que os clientes tenham e gerenciem suas chaves para que eu possa me concentrar em fazer o que eu faço melhor, que fornece os principais recursos de software.

Instrução: Os clientes podem importar e gerenciar suas próprias chaves no Hub Azure Stack.

Diretor de segurança (CSO)

Problema: Quero garantir que minha organização esteja no controle do ciclo de vida da chave e possa monitorar o uso da chave.

Instrução: O Key Vault foi projetado para que a Microsoft não veja nem Extraia suas chaves. Quando um aplicativo precisa executar operações criptográficas usando chaves do cliente, Key Vault usa as chaves em nome do aplicativo. O aplicativo não vê as chaves do cliente. Embora possamos usar vários serviços e recursos do Hub Azure Stack, você pode gerenciar as chaves de um único local no Hub Azure Stack. O cofre fornece uma única interface, independentemente de quantos cofres você tem no Hub Azure Stack, quais regiões eles dão suporte e quais aplicativos os usam.

Próximas etapas