Общие сведения о хранилище ключей Azure Stack Hub
Предварительные требования
- Подписка на предложение, которое включает службу Azure Key Vault.
- PowerShell должен быть установлен и настроен для использования с Azure Stack Hub.
Основные сведения о хранилище ключей
Хранилище ключей в Azure Stack Hub помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. С помощью Key Vault можно зашифровать ключи и секреты, например:
- ключи проверки подлинности;
- Ключи учетной записи хранения
- ключи шифрования данных;
- PFX-файлы;
- Пароли
Хранилище Key Vault упрощает управление ключами и позволяет поддерживать контроль над ключами, которые предоставляют доступ к вашим данным и шифруют их. Разработчики могут за считанные минуты создавать ключи для разработки и тестирования, а затем с легкостью использовать их в рабочей среде. По необходимости администраторы безопасности могут предоставлять (и отзывать) разрешения на использование ключей.
Хранилища ключей может создавать и использовать любой пользователь, у которого есть подписка Azure Stack Hub. Хотя хранилища ключей предоставляют преимущества для разработчиков и администраторов безопасности, оператор организации, который управляет в ней другими службами Azure Stack Hub, может также реализовать хранилища и управлять ими. Например, оператор Azure Stack Hub может войти в систему, используя подписку Azure Stack Hub, и создать для организации хранилище для размещения ключей. После этого будут доступны следующие возможности:
- создание или импорт ключа или секрета;
- отзыв или удаление ключа или секрета;
- авторизация пользователей или приложений для доступа к хранилищу ключей с возможностью использования и администрирования ключей и секретов;
- настройка использования ключей (например, подписи и шифрования).
Оператор может предоставить разработчикам универсальные коды ресурсов (URI) для вызова из приложений.
Разработчики могут управлять ключами напрямую с помощью API. См. руководство разработчика Key Vault.
Сценарии
В следующих сценариях демонстрируется, как Key Vault помогает выполнять требования разработчиков и администраторов систем безопасности.
Разработчик приложения Azure Stack Hub
Проблема. Я хочу написать приложение для центра Azure Stack, в котором используются ключи для подписывания и шифрования. Но эти ключи должны быть внешними по отношению к приложению, чтобы решение подходило для географически удаленного приложения.
Инструкция: Ключи хранятся в хранилище и вызываются с помощью URI при необходимости.
Разработчик программного обеспечения как услуги (SaaS)
Проблема. Я не хочу отвечать за ваши ключи и секреты клиента. Мне нужно, чтобы заказчики владели и управляли своими ключами, а мне можно было полностью сосредоточиться на своей основной работе, а именно предоставлении базовых функций программного обеспечения.
Инструкция: Клиенты могут импортировать собственные ключи и управлять ими в центре Azure Stack.
Руководитель службы безопасности
Проблема. Я также хочу убедиться, что моя организация может управлять жизненным циклом ключей и отслеживать их использование.
Инструкция: Key Vault разработана таким образом, чтобы корпорация Майкрософт не могла видеть и извлекать ваши ключи. Когда приложению нужно выполнять операции шифрования, используя пользовательские ключи, Key Vault делает это от имени приложения. Приложение не видит эти ключи. Кроме того, хотя мы используем множество служб и ресурсов Azure Stack Hub, необходимо, чтобы ключами можно было управлять из одного расположения в Azure Stack Hub. Хранилище предоставляет единый интерфейс, независимо от количества хранилищ в Azure Stack Hub, поддерживаемых регионов и использующих их приложений.