Visão geral das chaves, dos segredos e dos certificados do Azure Key Vault

O Azure Key Vault permite que aplicativos do Microsoft Azure e usuários armazenem e usem vários tipos de dados de chave/segredo. O provedor de recursos do Key Vault dá suporte a dois tipos de recursos: cofres e HSMs gerenciados.

Sufixos DNS para URL base

A tabela a seguir mostra o sufixo DNS da URL base usado pelo ponto de extremidade do plano de dados para cofres e pools do HSM gerenciado em vários ambientes de nuvem.

Ambiente de nuvem Sufixo DNS para cofres Sufixo DNS para HSMs gerenciados
Nuvem do Azure .vault.azure.net .managedhsm.azure.net
Nuvem do Azure China .vault.azure.cn Sem suporte
Azure US Government .vault.usgovcloudapi.net Sem suporte
Nuvem Alemã do Azure .vault.microsoftazure.de Sem suporte

Tipos de objeto

A tabela a seguir mostra os tipos de objeto e os sufixos na URL base.

Tipo de objeto Sufixo de URL Cofres Pools HSM gerenciados
Chaves protegidas por HSM /keys Com suporte Com suporte
Chaves protegidas por software /keys Com suporte Sem suporte
Segredos /secrets Com suporte Sem suporte
Certificados /certificates Com suporte Sem suporte
Chaves de conta de armazenamento /storage Com suporte Sem suporte
  • Chaves de criptografia: Dá suporte a vários tipos de chave e algoritmos e habilita o uso de chaves protegidas por HSM e por software. Para obter mais informações, confira Sobre chaves.
  • Segredos: Fornece armazenamento seguro de segredos, como senhas e cadeias de conexão de banco de dados. Para obter mais informações, confira Sobre segredos.
  • Certificados: Oferece suporte a certificados, que são criados sobre chaves e segredos e adicionam um recurso de renovação automática. Lembre-se que quando um certificado é criado, uma chave endereçável e o segredo também são criados com o mesmo nome. Para obter mais informações, confira Sobre certificados.
  • Chaves de conta de Armazenamento do Azure: Pode gerenciar chaves de uma conta de Armazenamento do Microsoft Azure para você. Internamente, o Key Vault pode listar (sincronizar) chaves com uma conta de Armazenamento do Azure e gerar novamente (gira) as chaves periodicamente. Para obter mais informações, confira Gerenciar chaves de acesso da conta de armazenamento com o Key Vault.

Para obter mais informações gerais sobre o Key Vault, confira Sobre o Azure Key Vault. Para obter mais informações sobre os pools do HSM Gerenciado, confira O que é o HSM Gerenciado do Azure Key Vault?

Tipos de dados

Consulte as especificações JOSE para tipos de dados relevantes para as chaves, criptografia e assinatura.

  • algoritmo - um algoritmo com suporte para uma operação de chave, por exemplo, RSA1_5
  • valor de texto cifrado - octetos de texto cifrado, codificado usando Base64URL
  • valor de Digest - a saída de um algoritmo de hash, codificado usando Base64URL
  • tipo de chave - um dos tipos de chave com suporte, por exemplo, RSA (Rivest-Shamir-Adleman).
  • valor de texto sem formatação - octetos de texto sem formatação, codificado usando Base64URL
  • valor de assinatura - a saída de um algoritmo de assinatura, codificado usando Base64URL
  • base64URL - um Base64URL [RFC4648] codificado valor binário
  • boolean - seja true ou false
  • Identity - uma identidade do Azure Active Directory (AAD).
  • IntDate - um valor decimal de JSON que representa o número de segundos desde 1970-01-01T0:0:0Z UTC até a data/hora de UTC especificada. Consulte RFC3339 para obter detalhes sobre data/hora em geral e o UTC em particular.

Objetos, identificadores e controle de versão

Objetos armazenados no Key Vault são submetidos ao controle de versão sempre que uma nova instância de um objeto é criada. Cada versão é atribuída a um identificador exclusivo e a uma URL. Quando um objeto é criado pela primeira vez, ele recebe um identificador de versão exclusivo e é marcado como a versão atual do objeto. A criação de uma nova instância com o mesmo nome de objeto fornece ao novo objeto um identificador de versão exclusivo, fazendo com que ele se torne a versão atual.

Os objetos no Key Vault podem ser abordados especificando uma versão ou omitindo a versão para operações na versão atual do objeto. Por exemplo, dada uma Chave com o nome MasterKey, executar operações sem especificar uma versão faz o sistema usar a versão mais recente disponível. Executar operações com o identificador de versão específico faz com que o sistema use essa versão específica do objeto.

Nome do cofre e nome do objeto

Os objetos são identificados de forma exclusiva no Key Vault usando uma URL. Não há dois objetos no sistema com a mesma URL, independentemente da localização geográfica. A URL completa para um objeto é chamada de Identificador do Objeto. A URL consiste em um prefixo que identifica o Key Vault, o tipo de objeto, o Nome do Objeto fornecido pelo usuário e uma Versão do Objeto. O nome do objeto é imutável e diferencia maiusculas de minúsculas. Identificadores que não incluem a versão do objeto são chamados de Identificadores de Base.

Para mais informações, consulte Autenticação, solicitações e respostas

Um identificador de objeto tem o seguinte formato geral (dependendo do tipo de contêiner):

  • Para Cofres: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Para pools do HSM Gerenciado: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Observação

Confira Suporte de tipo de objeto para tipos de objetos com suporte em cada tipo de contêiner.

Em que:

Elemento Descrição
vault-name ou hsm-name O nome de um cofre ou de um pool do HSM Gerenciado no serviço do Microsoft Azure Key Vault.

Os nomes do cofre e do pool do HSM Gerenciado são selecionados pelo usuário e são globalmente exclusivos.

O nome do cofre e do pool do HSM Gerenciado precisa ser uma sequência de 3 a 24 caracteres que contenha somente 0 a 9, a a z, A a Z, e -.
object-type O tipo do objeto, "chaves", "segredos" ou "certificados".
object-name Um object-name é um nome fornecido por usuário e deve ser exclusivo em um Cofre de Chaves. O nome deve ser uma sequência de 1 a 127 caracteres, que começam com uma letra e contêm somente 0 – 9, a – z, A – Z e -.
object-version Um object-version é um identificador de cadeia de caracteres de 32 caracteres gerado pelo sistema, que é opcionalmente usado para direcionar uma versão exclusiva de um objeto.

Próximas etapas