Guia do Programador do Azure Key VaultAzure Key Vault Developer's Guide

• 10/05/2020
• 7 minutos para ler
• • m
  • o

O Key Vault permite-lhe aceder de forma segura a informações sensíveis a partir das suas aplicações:Key Vault allows you to securely access sensitive information from within your applications:

• Chaves, segredos e certificados estão protegidos sem ter de escrever o código por si mesmo e você pode facilmente usá-los a partir das suas aplicações.Keys, secrets, and certificates are protected without having to write the code yourself and you're easily able to use them from your applications.
• Permite que os clientes possuam e gerem as suas próprias chaves, segredos e certificados para que possa concentrar-se em fornecer as principais funcionalidades de software.You allow customers to own and manage their own keys, secrets, and certificates so you can concentrate on providing the core software features. Desta forma, as suas aplicações não serão proprietárias da responsabilidade ou potencial responsabilidade pelas chaves, segredos e certificados dos seus clientes.In this way, your applications will not own the responsibility or potential liability for your customers' tenant keys, secrets, and certificates.
• A sua aplicação pode usar chaves para a assinatura e encriptação, mas mantém a gestão da chave externa da sua aplicação.Your application can use keys for signing and encryption yet keeps the key management external from your application. Para mais informações sobre as chaves, consulte Sobre ChavesFor more information about keys, see About Keys
• Você pode gerir credenciais como palavras-passe, chaves de acesso e fichas sas armazenando-as em Key Vault como segredos, ver Sobre SegredosYou can manage credentials like passwords, access keys, and sas tokens by storing them in Key Vault as secrets, see About Secrets
• Gerir certificados.Manage certificates. Para mais informações, consulte Sobre CertificadosFor more information, see About Certificates

Para obter informações mais gerais sobre o Cofre da Chave Azure, consulte o que é o Cofre de Chaves.For more general information on Azure Key Vault, see What is Key Vault.

Pré-visualizações públicasPublic Previews

Periodicamente, lançamos uma pré-visualização pública de um novo recurso key vault.Periodically, we release a public preview of a new Key Vault feature. Experimente as funcionalidades de pré-visualização do público e informe-nos sobre o que pensa através azurekeyvault@microsoft.com do nosso endereço de e-mail de feedback.Try out public preview features and let us know what you think via azurekeyvault@microsoft.com, our feedback email address.

Criar e gerir cofres-chaveCreating and Managing Key Vaults

A gestão key Vault, semelhante a outros serviços Azure, é feita através do serviço Azure Resource Manager.Key Vault management, similar to other Azure services, is done through Azure Resource Manager service. O Azure Resource Manager é o serviço de implementação e gestão do Azure.Azure Resource Manager is the deployment and management service for Azure. Fornece uma camada de gestão que lhe permite criar, atualizar e eliminar recursos na sua conta do Azure.It provides a management layer that enables you to create, update, and delete resources in your Azure account. Para mais informações, consulte o Gestor de Recursos AzureFor more information, see Azure Resource Manager

O acesso à camada de gestão é controlado pelo controlo de acesso baseado em funções Azure.Access to management layer is controlled by Azure role-based access control. No Key Vault, a camada de gestão, também conhecida como avião de gestão ou controlo, permite-lhe criar e gerir cofres-chave e seus atributos, incluindo políticas de acesso, mas não chaves, segredos e certificados, que são geridos em plano de dados.In Key Vault, management layer, also known as management or control plane, let you create and manage Key Vaults and its attributes including access policies, but not keys, secrets and certificates, which are managed on data plane. Pode utilizar um papel pré-definido Key Vault Contributor para conceder acesso à gestão ao Key Vault.You can use pre-defined Key Vault Contributor role to grant management access to Key Vault.

API's e SDKs para gestão de cofres chave:API's and SDKs for key vault management:

Consulte as Bibliotecas do Cliente para obter pacotes de instalação e código fonte.See Client Libraries for installation packages and source code.

Para obter mais informações sobre o avião de gestão key vault, consulte o Key Vault Management PlaneFor more information about Key Vault management plane, see Key Vault Management Plane

Autenticar para cofre de chave em códigoAuthenticate to Key Vault in code

O Key Vault está a usar a autenticação AD AZure que requer o diretor de segurança AZure AD para conceder acesso.Key Vault is using Azure AD authentication that requires Azure AD security principal to grant access. Um diretor de segurança Azure AD pode ser um utilizador, um diretor de serviço de aplicação, uma identidade gerida para os recursos Azure,ou um grupo de qualquer tipo de princípios de segurança.An Azure AD security principal may be a user, an application service principal, a managed identity for Azure resources, or a group of any type of security principals.

Melhores práticas de autenticaçãoAuthentication best practices

Recomenda-se a utilização de identidade gerida para aplicações implantadas no Azure.It is recommended to use managed identity for applications deployed to Azure. Se utilizar os serviços Azure, que não suportam a identidade gerida ou se os pedidos forem implementados no local, o principal de serviço com um certificado é uma alternativa possível.If you use Azure services, which do not support managed identity or if applications are deployed on premise, service principal with a certificate is a possible alternative. Nesse cenário, o certificado deve ser armazenado no Cofre de Chaves e rodado frequentemente.In that scenario, certificate should be stored in Key Vault and rotated often. Recomenda-se o principal do serviço com segredo para ambientes de desenvolvimento e teste, e localmente ou em Cloud Shell usando o principal utilizador é recomendado.Service principal with secret can be used for development and testing environments, and locally or in Cloud Shell using user principal is recommended.

Princípios de segurança recomendados por ambiente:Recommended security principals per environment:

• Ambiente de produção:Production environment:
  • Com certificado de identidade ou serviço geridoManaged identity or service principal with a certificate
• Ambientes de ensaio e desenvolvimento:Test and development environments:
  • Identidade gerida, principal de serviço com certificado ou principal de serviço com segredoManaged identity, service principal with certificate or service principal with secret
• Desenvolvimento local:Local development:
  • Diretor de utilizadores ou diretor de serviço com segredoUser principal or service principal with secret

Acima, os cenários de autenticação são suportados pela biblioteca de clientes da Azure Identity e integrados com Key Vault SDKs.Above authentications scenarios are supported by Azure Identity client library and integrated with Key Vault SDKs. A biblioteca de identidade Azure pode ser usada em diferentes ambientes e plataformas sem alterar o seu código.Azure Identity library can be used across different environments and platforms without changing your code. A Azure Identity também recuperaria automaticamente o token de autenticação de iniciar sessão no utilizador Azure com Azure CLI, Visual Studio, Visual Studio Code, entre outros.Azure Identity would also automatically retrieve authentication token from logged in to Azure user with Azure CLI, Visual Studio, Visual Studio Code, and others.

Para obter mais informações sobre o libarário do cliente da Identidade Azure, consulte:For more information about Azure Identity client libarary, see:

Bibliotecas de clientes de identidade AzureAzure Identity client libraries

Para tutoriais sobre como autenticar o Key Vault em aplicações, consulte:For tutorials on how to authenticate to Key Vault in applications, see:

• Autenticar para Key Vault na aplicação hospedada em VM em .NETAuthenticate to Key Vault in application hosted in VM in .NET
• Autenticar para Key Vault na aplicação hospedada em VM em PythonAuthenticate to Key Vault in application hosted in VM in Python
• Autenticar para cofre de chaves com serviço de aplicaçõesAuthenticate to Key Vault with App Service

Gerir chaves, certificados e segredosManage keys, certificates, and secrets

O acesso a chaves, segredos e certificados é controlado por um plano de dados.Access to keys, secrets, and certificates is controlled by data plane. O controlo de acesso a planos de dados pode ser feito usando políticas locais de acesso ao cofre ou Azure RBAC (pré-visualização).Data plane access control can be done using local vault access policies or Azure RBAC (preview).

Chaves API's e SDKsKeys API's and SDKs

Certificados API's e SDKsCertificates API's and SDKs

Segredos API's e SDKsSecrets API's and SDKs

Consulte as Bibliotecas do Cliente para obter pacotes de instalação e código fonte.See Client Libraries for installation packages and source code.

Para obter mais informações sobre a segurança do plano de dados do Key Vault, consulte o Key Vault Data Plane e as políticas de acesso e Key Vault Data Plane e Azure RBAC (pré-visualização)For more information about Key Vault data plane security, see Key Vault Data Plane and access policies and Key Vault Data Plane and Azure RBAC (preview)

Exemplos de códigoCode examples

Para obter exemplos completos utilizando o Key Vault com as suas aplicações, consulte:For complete examples using Key Vault with your applications, see:

• Amostras de código Azure Key Vault - Amostras de código para cofre de chave Azure.Azure Key Vault code samples - Code Samples for Azure Key Vault.

ProcedimentosHow-tos

Os seguintes artigos e cenários fornecem orientações específicas para a tarefa para trabalhar com o Cofre da Chave Azure:The following articles and scenarios provide task-specific guidance for working with Azure Key Vault:

• Aceder ao Key Vault atrás da firewall - Para aceder a um cofre chave, a aplicação do cliente do cofre principal precisa de ser capaz de aceder a vários pontos finais para várias funcionalidades.Accessing Key Vault behind firewall - To access a key vault your key vault client application needs to be able to access multiple end-points for various functionalities.
• Como implementar Certificados para VMs do Key Vault - Windows, Linux - Uma aplicação em nuvem em execução num VM em Azure precisa de um certificado.How to deploy Certificates to VMs from Key Vault - Windows, Linux - A cloud application running in a VM on Azure needs a certificate. Como é que se consegue este certificado neste VM hoje?How do you get this certificate into this VM today?
• Implementação do Certificado de Aplicação Web Azure através do Cofre de ChavesDeploying Azure Web App Certificate through Key Vault
• Atribuir uma política de acesso(Portal CLI | PowerShell). | Assign an access policy (CLI | PowerShell | Portal).
• Como utilizar o Key Vault soft-delete com O CLI guia-o através da utilização e ciclo de vida de um cofre de chaves e vários objetos chave do cofre com eliminação suave ativado.How to use Key Vault soft-delete with CLI guides you through the use and lifecycle of a key vault and various key vault objects with soft-delete enabled.
• Como passar valores seguros (como palavras-passe) durante a implementação - Quando precisa de passar um valor seguro (como uma palavra-passe) como parâmetro durante a implementação, pode armazenar esse valor como segredo num Cofre de Chave Azure e fazer referência ao valor em outros modelos do Gestor de Recursos.How to pass secure values (such as passwords) during deployment - When you need to pass a secure value (like a password) as a parameter during deployment, you can store that value as a secret in an Azure Key Vault and reference the value in other Resource Manager templates.

Integrado com Cofre-ChaveIntegrated with Key Vault

Estes artigos são sobre outros cenários e serviços que usam ou integram com o Key Vault.These articles are about other scenarios and services that use or integrate with Key Vault.

• A encriptação em repouso permite a codificação (encriptação) dos dados quando estes são persistidos.Encryption at rest allows the encoding (encryption) of data when it is persisted. As chaves de encriptação de dados são frequentemente encriptadas com uma chave de encriptação chave no Cofre da Chave Azure para limitar ainda mais o acesso.Data encryption keys are often encrypted with a key encryption key in Azure Key Vault to further limit access.
• A Azure Information Protection permite-lhe gerente da sua própria chave de inquilino.Azure Information Protection allows you to manager your own tenant key. Por exemplo, em vez de a Microsoft gerir a chave do seu inquilino (o padrão), pode gerir a sua própria chave de inquilino para cumprir os regulamentos específicos que se aplicam à sua organização.For example, instead of Microsoft managing your tenant key (the default), you can manage your own tenant key to comply with specific regulations that apply to your organization. A gestão da sua própria chave de inquilino também é referida como Bring Your Own Key (Traga a Sua Própria Chave) ou BYOK.Managing your own tenant key is also referred to as bring your own key, or BYOK.
• O Azure Private Link Service permite-lhe aceder aos Serviços Azure (por exemplo, Azure Key Vault, Azure Storage e Azure Cosmos DB) e a Azure acolheu serviços de cliente/parceiro sobre um Ponto Final Privado na sua rede virtual.Azure Private Link Service enables you to access Azure Services (for example, Azure Key Vault, Azure Storage, and Azure Cosmos DB) and Azure hosted customer/partner services over a Private Endpoint in your virtual network.
• A integração do Key Vault com a Grade de Eventos permite que os utilizadores sejam notificados quando o estado de um segredo armazenado no cofre da chave tiver mudado.Key Vault integration with Event Grid allows users to be notified when the status of a secret stored in key vault has changed. Pode distribuir nova versão de segredos para aplicações ou rodar perto de segredos de validade para evitar interrupções.You can distribute new version of secrets to applications or rotate near expiry secrets to prevent outages.
• Pode proteger os seus segredos do Azure Devops de acesso indesejado no Key Vault.You can protect your Azure Devops secrets from unwanted access in Key Vault.
• Use segredo armazenado no Cofre de Chaves em DataBricks para ligar ao Azure StorageUse secret stored in Key Vault in DataBricks to connect to Azure Storage
• Configure e executar o fornecedor Azure Key Vault para o motorista CSI Secrets Store em KubernetesConfigure and run the Azure Key Vault provider for the Secrets Store CSI driver on Kubernetes

Principais visões e conceitos do CofreKey Vault overviews and concepts

• O comportamento de eliminação suave do Key Vault descreve uma funcionalidade que permite a recuperação de objetos eliminados, quer a eliminação tenha sido acidental ou intencional.Key Vault soft-delete behavior describes a feature that allows recovery of deleted objects, whether the deletion was accidental or intentional.
• O cliente Key Vault o orienta para os conceitos básicos de estrangulamento e oferece uma abordagem para a sua aplicação.Key Vault client throttling orients you to the basic concepts of throttling and offers an approach for your app.
• Os principais mundos de segurança do Cofre descrevem as relações entre regiões e áreas de segurança.Key Vault security worlds describes the relationships between regions and security areas.

SocialSocial

• Key Vault BlogKey Vault Blog
• Fórum do Cofre-ChaveKey Vault Forum