Visão geral de chaves, segredos e certificados do Azure Key Vault
O Azure Key Vault permite que aplicativos e usuários do Microsoft Azure armazenem e usem vários tipos de dados secretos/chave: chaves, segredos e certificados. Chaves, segredos e certificados são coletivamente chamados de "objetos".
Identificadores de objeto
Os objetos são identificados exclusivamente no Cofre da Chave usando um identificador que não diferencia maiúsculas de minúsculas chamado identificador de objeto. Não há dois objetos no sistema com o mesmo identificador, independentemente da geolocalização. O identificador consiste em um prefixo que identifica o cofre de chaves, o tipo de objeto, o nome do objeto fornecido pelo usuário e uma versão do objeto. Os identificadores que não incluem a versão do objeto são chamados de "identificadores de base". Os identificadores de objeto do Cofre da Chave também são URLs válidos, mas devem sempre ser comparados como cadeias de caracteres que não diferenciam maiúsculas de minúsculas.
Para obter mais informações, consulte Autenticação, solicitações e respostas
Um identificador de objeto tem o seguinte formato geral (dependendo do tipo de contêiner):
Para Vaults:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}Para pools de HSM gerenciados:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Nota
Consulte Suporte a tipo de objeto para tipos de objetos suportados por cada tipo de contêiner.
Em que:
| Elemento | Descrição |
|---|---|
vault-name ou hsm-name |
O nome de um cofre de chaves ou de um pool de HSM gerenciado no serviço Cofre de Chaves do Microsoft Azure. Os nomes do vault e do pool do HSM gerenciado são selecionados pelo usuário e são globalmente exclusivos. O nome do vault e o nome do pool do HSM gerenciado devem ser uma cadeia de caracteres de 3 a 24 caracteres, contendo apenas 0-9, a-z, A-Z e não consecutivos -. |
object-type |
O tipo do objeto, "chaves", "segredos" ou "certificados". |
object-name |
Um object-name é um nome fornecido pelo usuário e deve ser exclusivo dentro de um cofre de chaves. O nome deve ser uma cadeia de caracteres de 1-127, começando com uma letra e contendo apenas 0-9, a-z, A-Z e -. |
object-version |
Um object-version é um identificador de cadeia de caracteres de 32 caracteres gerado pelo sistema que é opcionalmente usado para endereçar uma versão exclusiva de um objeto. |
Sufixos DNS para identificadores de objeto
O provedor de recursos do Azure Key Vault dá suporte a dois tipos de recursos: cofres e HSMs gerenciados. Esta tabela mostra o sufixo DNS usado pelo ponto de extremidade do plano de dados para cofres e pools HSM gerenciados em vários ambientes de nuvem.
| Ambiente na nuvem | Sufixo DNS para cofres | Sufixo DNS para HSMs gerenciados |
|---|---|---|
| Cloud do Azure | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure operado pela 21Vianet Cloud | .vault.azure.cn | Não suportado |
| Azure US Government | .vault.usgovcloudapi.net | Não suportado |
| Azure Nuvem Alemã | .vault.microsoftazure.de | Não suportado |
Tipos de objeto
Esta tabela mostra os tipos de objeto e seus sufixos no identificador de objeto.
| Object type | Sufixo identificador | Cofres | Conjuntos HSM geridos |
|---|---|---|---|
| Chaves protegidas por HSM | /chaves | Suportado | Suportado |
| Chaves protegidas por software | /chaves | Suportado | Não suportado |
| Segredos | /segredos | Suportado | Não suportado |
| Certificados | /certificados | Suportado | Não suportado |
| Chaves de contas de armazenamento | /armazenamento | Suportado | Não suportado |
- Chaves criptográficas: Suporta vários tipos de chaves e algoritmos e permite o uso de chaves protegidas por software e HSM. Para obter mais informações, consulte Sobre chaves.
- Segredos: fornece armazenamento seguro de segredos, como senhas e cadeias de conexão de banco de dados. Para obter mais informações, consulte Sobre segredos.
- Certificados: Suporta certificados, que são construídos sobre chaves e segredos e adicionam um recurso de renovação automática. Tenha em mente que, quando um certificado é criado, uma chave endereçável e um segredo também são criados com o mesmo nome. Para obter mais informações, consulte Sobre certificados.
- Chaves de conta do Armazenamento do Azure: pode gerenciar chaves de uma conta de Armazenamento do Azure para você. Internamente, o Cofre da Chave pode listar (sincronizar) chaves com uma Conta de Armazenamento do Azure e regenerar (girar) as chaves periodicamente. Para obter mais informações, consulte Gerenciar chaves de conta de armazenamento com o Cofre de Chaves.
Para obter mais informações gerais sobre o Cofre da Chave, consulte Sobre o Cofre da Chave do Azure. Para obter mais informações sobre pools de HSM gerenciados, consulte O que é o HSM gerenciado do Azure Key Vault?
Tipos de dados
Consulte as especificações do JOSE para obter os tipos de dados relevantes para chaves, criptografia e assinatura.
- algoritmo - um algoritmo suportado para uma operação de chave, por exemplo, RSA1_5
- ciphertext-value - octetos de texto cifrado, codificados usando Base64URL
- digest-value – a saída de um algoritmo hash, com codificação Base64URL
- key-type - um dos tipos de chave suportados, por exemplo RSA (Rivest-Shamir-Adleman).
- plaintext-value - octetos de texto simples, codificados usando Base64URL
- signature-value - saída de um algoritmo de assinatura, codificado usando Base64URL
- base64URL - um valor binário codificado Base64URL [RFC4648]
- Booleano - verdadeiro ou falso
- Identity - uma identidade do Microsoft Entra ID.
- IntDate - um valor decimal JSON que representa o número de segundos de 1970-01-01T0:0:0Z UTC até a data/hora UTC especificada. Consulte RFC3339 para obter detalhes sobre data/horas, em geral, e UTC em particular.
Objetos, identificadores e controle de versão
Os objetos armazenados no Cofre da Chave são versionados sempre que uma nova instância de um objeto é criada. A cada versão é atribuído um identificador de objeto exclusivo. Quando um objeto é criado pela primeira vez, ele recebe um identificador de versão exclusivo e é marcado como a versão atual do objeto. A criação de uma nova instância com o mesmo nome de objeto dá ao novo objeto um identificador de versão exclusivo, fazendo com que ele se torne a versão atual.
Os objetos no Cofre da Chave podem ser recuperados especificando uma versão ou omitindo a versão para obter a versão mais recente do objeto. A execução de operações em objetos requer o fornecimento de uma versão para usar uma versão específica do objeto.
Nota
Os valores fornecidos para recursos do Azure ou IDs de objeto podem ser copiados globalmente com a finalidade de executar o serviço. O valor fornecido não deve incluir informações pessoais identificáveis ou confidenciais.