Сведения о ключах, секретах и сертификатахAbout keys, secrets, and certificates

Azure Key Vault позволяет пользователям и приложениям Microsoft Azure хранить и использовать несколько типов данных ключей или секретов:Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data:

  • Криптографические ключи. Решение поддерживает несколько типов ключей и алгоритмов и позволяет использовать аппаратные модули безопасности (HSM) для важных ключей.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of Hardware Security Modules (HSM) for high value keys.
  • Секреты. Обеспечивается безопасное хранение секретов, таких как пароли и строки подключения к базам данных.Secrets: Provides secure storage of secrets, such as passwords and database connection strings.
  • Сертификаты. Поддерживаются сертификаты, которые создаются поверх ключей и секретов и добавляют функцию автоматического обновления.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature.
  • Служба хранилища Azure. Может управлять ключами учетной записи хранения Azure.Azure Storage: Can manage keys of an Azure Storage account for you. На внутреннем уровне Key Vault может перечислять (синхронизировать) ключи с учетными записями хранения Azure и периодически повторно создавать (заменять) ключи.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically.

Дополнительные сведения об Azure Key Vault см. в этой статье.For more general information about Key Vault, see What is Azure Key Vault?

Azure Key Vault.Azure Key Vault

В следующих разделах представлены общие сведения, применимые к реализации службы Key Vault.The following sections offer general information applicable across the implementation of the Key Vault service.

Поддерживаемые стандартыSupporting standards

Спецификации JSON (нотация объектов JavaScript) и JOSE (подпись и шифрование объектов JavaScript) являются важной справочной информацией.The JavaScript Object Notation (JSON) and JavaScript Object Signing and Encryption (JOSE) specifications are important background information.

Типы данныхData types

Обратитесь к спецификациям JOSE для соответствующих типов данных ключей, шифрования и подписей.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorithm — поддерживаемый алгоритм для операции ключа, например RSA1_5.algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • ciphertext-value — октеты зашифрованного текста, закодированные с помощью Base64URL.ciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value — выходные данные хэш-алгоритма, зашифрованные с помощью Base64URL.digest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type — один из поддерживаемых типов ключей, например RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • plaintext-value — октеты открытого текста, закодированные с помощью Base64URL.plaintext-value - plaintext octets, encoded using Base64URL
  • signature-value — выходные данные алгоритма подписи, закодированные с помощью Base64URL.signature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL — двоичное значение в кодировке Base64URL [RFC4648].base64URL - a Base64URL [RFC4648] encoded binary value
  • boolean — значение true или false.boolean - either true or false
  • Identity — удостоверение из Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate — десятичное значение JSON, представляющее число секунд, начиная с 1970-01-01T0:0:0Z UTC до указанной даты или времени в формате UTC.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Дополнительные сведения о дате и времени в общем формате и в UTC в частности см. в [RFC3339].See RFC3339 for details regarding date/times, in general and UTC in particular.

Объекты, идентификаторы и управление версиямиObjects, identifiers, and versioning

Объекты, хранящиеся в Azure Key Vault, сохраняют версии всякий раз, когда создается экземпляр объекта.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Каждая версия имеет уникальный идентификатор и URL-адрес.Each version is assigned a unique identifier and URL. Когда объект создается впервые, ему присваивается уникальный идентификатор версии, а также метка с текущей версией.When an object is first created, it's given a unique version identifier and marked as the current version of the object. При создании экземпляра с тем же именем объекта новому объекту присваивается уникальный идентификатор версии и эта версия становится текущей.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

К объектам в Key Vault можно получить доступ с использованием текущего идентификатора или идентификатора версии.Objects in Key Vault can be addressed using the current identifier or a version-specific identifier. Например, если ключ с именем MasterKey выполняет операции с текущим идентификатором, система будет использовать последнюю доступную версию.For example, given a Key with the name MasterKey, performing operations with the current identifier causes the system to use the latest available version. В случае выполнения операций с идентификатором, зависящим от версии, система использует эту конкретную версию объекта.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

В Key Vault объекты уникально идентифицированы с использованием URL-адреса.Objects are uniquely identified within Key Vault using a URL. Так что два объекта в системе, независимо от географического местоположения, не могут иметь один и тот же URL-адрес.No two objects in the system have the same URL, regardless of geo-location. Полный URL-адрес к объекту называется идентификатором объекта.The complete URL to an object is called the Object Identifier. Он состоит из части префикса, которая идентифицирует Key Vault, типа объекта, указанного пользователем имени объекта и версии объекта.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Имя объекта не учитывает регистр и является неизменяемым.The Object Name is case-insensitive and immutable. Идентификаторы, которые не включают версию объекта, называются базовыми.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Дополнительные сведения см. в статье Authentication, requests and responses (Проверка подлинности, запросы и ответы).For more information, see Authentication, requests, and responses

Идентификатор объекта имеет следующий общий формат:An object identifier has the following general format:

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

Где:Where:

keyvault-name Имя хранилища ключей в службе Microsoft Azure Key Vault.The name for a key vault in the Microsoft Azure Key Vault service.

Имена хранилищ ключей выбираются пользователем и являются глобально уникальными.Key Vault names are selected by the user and are globally unique.

Имя Key Vault должно быть строкой длиной от 3 до 24 знаков, содержащей только цифры (0–9), буквы (a–z, A–Z) и знак "-".Key Vault name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Тип объекта: "keys" либо "secrets".The type of the object, either "keys" or "secrets".
object-name object-name — предоставленное пользователем имя, которое должно быть уникальным в Key Vault.An object-name is a user provided name for and must be unique within a Key Vault. Имя должно быть строкой длиной от 1 до 127 знаков, содержащей только цифры (0–9), буквы (a–z, A–Z) и знак "-".The name must be a 1-127 character string, containing only 0-9, a-z, A-Z, and -.
object-version object-version — созданный системой 32-знаковый идентификатор строки, который при необходимости используется для обозначения уникальной версии объекта.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Ключи Key VaultKey Vault keys

Ключи и их типыKeys and key types

Ключи шифрования в Key Vault представлены объектами веб-ключей JSON (JWK).Cryptographic keys in Key Vault are represented as JSON Web Key [JWK] objects. Базовые спецификации JWK и JWA также расширены, чтобы включать типы ключей, уникальные для реализации Key Vault.The base JWK/JWA specifications are also extended to enable key types unique to the Key Vault implementation. Например, импорт ключей с использованием упаковки конкретного поставщика HSM, обеспечивающей безопасную транспортировку ключей, что позволяет использовать их только в HSM Key Vault.For example, importing keys using HSM vendor-specific packaging, enables secure transportation of keys that may only be used in Key Vault HSMs.

  • "Программные" ключи обрабатываются в программном обеспечении с помощью Key Vault, но шифруются при хранении с использованием системного ключа в HSM."Soft" keys: A key processed in software by Key Vault, but is encrypted at rest using a system key that is in an HSM. Клиенты могут импортировать имеющийся ключ RSA или EC (эллиптическая кривая) либо запросить создание ключа в Key Vault.Clients may import an existing RSA or EC (Elliptic Curve) key, or request that Key Vault generate one.

  • "Аппаратные" ключи обрабатываются в HSM (аппаратный модуль безопасности)."Hard" keys: A key processed in an HSM (Hardware Security Module). Такие ключи защищены одной из систем безопасности HSM Key Vault (в каждом регионе есть системы безопасности для обеспечения изоляции).These keys are protected in one of the Key Vault HSM Security Worlds (there's one Security World per geography to maintain isolation). Клиенты могут импортировать ключ RSA или EC (программными средствами либо путем экспорта с совместимого устройства HSM).Clients may import an RSA or EC key, in soft form or by exporting from a compatible HSM device. Клиенты могут также запросить создание ключа в Key Vault.Clients may also request Key Vault to generate a key. Этот тип ключа добавляет атрибут key_hsm в ЖВК для получения материала ключа HSM.This key type adds the key_hsm attribute to the JWK obtain to carry the HSM key material.

    Дополнительные сведения о географических ограничениях см. в центре управления безопасностью Microsoft Azure.For more information on geographical boundaries, see Microsoft Azure Trust Center

Key Vault поддерживает только ключи RSA и EC.Key Vault supports RSA and Elliptic Curve keys only.

  • EC — "программный" ключ эллиптической кривой.EC: "Soft" Elliptic Curve key.
  • EC-HSM — "аппаратный" ключ эллиптической кривой.EC-HSM: "Hard" Elliptic Curve key.
  • RSA — "программный" ключ RSA.RSA: "Soft" RSA key.
  • RSA-HSM — "аппаратный" ключ RSA.RSA-HSM: "Hard" RSA key.

Key Vault поддерживает ключи RSA таких размеров: 2048, 3072 и 4096.Key Vault supports RSA keys of sizes 2048, 3072 and 4096. Кроме того, поддерживаются типы ключей EC P-256, P-384, P-521, и P-256K (SECP256K1).Key Vault supports Elliptic Curve key types P-256, P-384, P-521, and P-256K (SECP256K1).

Криптографическая защитаCryptographic protection

Криптографические модули, используемые Key Vault, будь то HSM или программные модули, соответствуют стандартам FIPS.The cryptographic modules that Key Vault uses, whether HSM or software, are FIPS (Federal Information Processing Standards) validated. Для выполнения в режиме FIPS не требуется каких-либо дополнительных действий.You don’t need to do anything special to run in FIPS mode. Все ключи, которые создаются или импортируются с защитой HSM, обрабатываются в HSM, соответствующих требованиям FIPS 140-2 уровня 2 или более высокого.Keys created or imported as HSM-protected are processed inside an HSM, validated to FIPS 140-2 Level 2. Все ключи, которые создаются или импортируются с программной защитой, обрабатываются в криптографических модулях, соответствующих требованиям FIPS 140-2 уровня 1.Keys created or imported as software-protected, are processed inside cryptographic modules validated to FIPS 140-2 Level 1. Дополнительные сведения см. в разделе Ключи и их типы.For more information, see Keys and key types.

Алгоритмы ECEC algorithms

Ниже приведены идентификаторы алгоритмов, которые поддерживаются ключами EC и EC-HSM в Key Vault.The following algorithm identifiers are supported with EC and EC-HSM keys in Key Vault.

Типы кривыхCurve Types

SIGN/VERIFYSIGN/VERIFY

  • ES256 — ECDSA для хэшей SHA-256 и ключей, созданных на основе кривой P-256.ES256 - ECDSA for SHA-256 digests and keys created with curve P-256. Этот алгоритм описан в документации по RFC7518.This algorithm is described at RFC7518.
  • ES256K — ECDSA для хэшей SHA-256 и ключей, созданных на основе кривой P-256K.ES256K - ECDSA for SHA-256 digests and keys created with curve P-256K. Этот алгоритм находится на этапе ожидания стандартизации.This algorithm is pending standardization.
  • ES384 — ECDSA для хэшей SHA-384 и ключей, созданных на основе кривой P-384.ES384 - ECDSA for SHA-384 digests and keys created with curve P-384. Этот алгоритм описан в документации по RFC7518.This algorithm is described at RFC7518.
  • ES512 — ECDSA для хэшей SHA-512 и ключей, созданных на основе кривой P-521.ES512 - ECDSA for SHA-512 digests and keys created with curve P-521. Этот алгоритм описан в документации по RFC7518.This algorithm is described at RFC7518.

Алгоритмы RSARSA algorithms

Ниже приведены идентификаторы алгоритмов, которые поддерживаются ключами RSA и RSA-HSM в Key Vault.The following algorithm identifiers are supported with RSA and RSA-HSM keys in Key Vault.

WRAPKEY/UNWRAPKEY, ENCRYPT/DECRYPTWRAPKEY/UNWRAPKEY, ENCRYPT/DECRYPT

  • RSA1_5 — это шифрование ключа RSAES-PKCS1-V1_5 [RFC3447].RSA1_5 - RSAES-PKCS1-V1_5 [RFC3447] key encryption
  • RSA-OAEP — алгоритм RSAES, использующий оптимальное асимметричное шифрование с дополнением (OAEP) [RFC3447], с параметрами по умолчанию, указанными в RFC 3447 в разделе A.2.1.RSA-OAEP - RSAES using Optimal Asymmetric Encryption Padding (OAEP) [RFC3447], with the default parameters specified by RFC 3447 in Section A.2.1. В этих параметрах по умолчанию используется хэш-функция SHA-1 и функция генерации маски MGF1 с помощью SHA-1.Those default parameters are using a hash function of SHA-1 and a mask generation function of MGF1 with SHA-1.

SIGN/VERIFYSIGN/VERIFY

  • RS256 — RSASSA-PKCS-v1_5, использующий SHA-256.RS256 - RSASSA-PKCS-v1_5 using SHA-256. Предоставленное приложением значение хэш-кода должно быть вычислено с помощью SHA-256 и иметь длину в 32 байта.The application supplied digest value must be computed using SHA-256 and must be 32 bytes in length.
  • RS384 — RSASSA-PKCS-v1_5, использующий SHA-384.RS384 - RSASSA-PKCS-v1_5 using SHA-384. Предоставленное приложением значение хэш-кода должно быть вычислено с помощью SHA-384 и иметь длину в 48 байтов.The application supplied digest value must be computed using SHA-384 and must be 48 bytes in length.
  • RS512 — RSASSA-PKCS-v1_5, использующий SHA-512.RS512 - RSASSA-PKCS-v1_5 using SHA-512. Предоставленное приложением значение хэш-кода должно быть вычислено с помощью SHA-512 и иметь длину в 64 байта.The application supplied digest value must be computed using SHA-512 and must be 64 bytes in length.
  • RSNULL — специализированный вариант использования для реализации определенных сценариев TLS (см. [RFC2437]).RSNULL - See [RFC2437], a specialized use-case to enable certain TLS scenarios.

Операции с ключамиKey operations

Key Vault поддерживает следующие операции с объектами ключей:Key Vault supports the following operations on key objects:

  • Создание. Клиенты могут создавать ключи в Key Vault.Create: Allows a client to create a key in Key Vault. Значение ключа создается в Key Vault и хранится в нем. Оно не выдается клиенту.The value of the key is generated by Key Vault and stored, and isn't released to the client. В Key Vault можно создать асимметричные ключи.Asymmetric keys may be created in Key Vault.
  • Импорт. Клиенты могут импортировать имеющиеся ключи в Key Vault.Import: Allows a client to import an existing key to Key Vault. В Key Vault можно импортировать асимметричные ключи с помощью нескольких различных способов упаковки внутри конструкции JWK.Asymmetric keys may be imported to Key Vault using a number of different packaging methods within a JWK construct.
  • Обновление. Клиенты с достаточными разрешениями могут изменять метаданные (атрибуты ключей), связанные с ключами, ранее сохраненными в Key Vault.Update: Allows a client with sufficient permissions to modify the metadata (key attributes) associated with a key previously stored within Key Vault.
  • Удаление. Клиенты с достаточными разрешениями могут удалять ключи из Key Vault.Delete: Allows a client with sufficient permissions to delete a key from Key Vault.
  • Вывод списка. Клиенты могут вывести список всех ключей в данном Key Vault.List: Allows a client to list all keys in a given Key Vault.
  • Вывод списка версий. Клиенты могут вывести список всех версий данного ключа в данном Key Vault.List versions: Allows a client to list all versions of a given key in a given Key Vault.
  • Получение. Клиенты могут извлечь открытые части данного ключа в Key Vault.Get: Allows a client to retrieve the public parts of a given key in a Key Vault.
  • Резервное копирование. Экспорт ключей в защищенной форме.Backup: Exports a key in a protected form.
  • Восстановление. Импорт ранее заархивированного ключа.Restore: Imports a previously backed up key.

Дополнительные сведения о работе с ключами см. в справочнике по работе с Azure Key Vault с помощью REST API.For more information, see Key operations in the Key Vault REST API reference.

После создания ключа в Key Vault с его использованием можно выполнять следующие криптографические операции:Once a key has been created in Key Vault, the following cryptographic operations may be performed using the key:

  • Подпись и проверка. Строго говоря, эта операция является подписью или проверкой хэша, так как Key Vault не поддерживает хэширование содержимого в рамках создания подписи.Sign and Verify: Strictly, this operation is "sign hash" or "verify hash", as Key Vault doesn't support hashing of content as part of signature creation. Приложения должны хэшировать данные для подписи локально, а затем запрашивать подпись хэша в Key Vault.Applications should hash the data to be signed locally, then request that Key Vault sign the hash. Проверка подписанных хэшей поддерживается в качестве удобного механизма для приложений, у которых нет доступа к материалам открытого ключа.Verification of signed hashes is supported as a convenience operation for applications that may not have access to [public] key material. Для оптимизации производительности приложений рекомендуется выполнять операции проверки локально.For best application performance, verify that operations are performed locally.
  • Шифрование и упаковка ключа. Ключ, хранимый в Key Vault, можно использовать для защиты другого ключа, как правило, симметричного ключа шифрования содержимого (CEK).Key Encryption / Wrapping: A key stored in Key Vault may be used to protect another key, typically a symmetric content encryption key (CEK). Если ключ в Azure Key Vault асимметричен, используется шифрование ключа.When the key in Key Vault is asymmetric, key encryption is used. Например RSA-OAEP, а операции WRAPKEY/UNWRAPKEY эквивалентны операциям ENCRYPT/DECRYPT.For example, RSA-OAEP and the WRAPKEY/UNWRAPKEY operations are equivalent to ENCRYPT/DECRYPT. Если ключ в Azure Key Vault симметричен, применяется упаковка ключа.When the key in Key Vault is symmetric, key wrapping is used. Например, AES-KW.For example, AES-KW. Операция WRAPKEY поддерживается в качестве удобного механизма для приложений, у которых нет доступа к материалам открытого ключа.The WRAPKEY operation is supported as a convenience for applications that may not have access to [public] key material. Для оптимизации производительности приложений рекомендуется выполнять операции WRAPKEY локально.For best application performance, WRAPKEY operations should be performed locally.
  • Шифрование и расшифровка. Ключ, хранимый в Azure Key Vault, можно использовать для шифрования или расшифровки одного блока данных,Encrypt and Decrypt: A key stored in Key Vault may be used to encrypt or decrypt a single block of data. размер которого определяется типом ключа и выбранным алгоритмом шифрования.The size of the block is determined by the key type and selected encryption algorithm. Операция шифрования предоставляется в качестве удобного механизма для приложений, у которых нет доступа к материалам открытого ключа.The Encrypt operation is provided for convenience, for applications that may not have access to [public] key material. Для оптимизации производительности приложений рекомендуется выполнять операции шифрования локально.For best application performance, encrypt operations should be performed locally.

Хотя операции WRAPKEY и UNWRAPKEY с использованием асимметричных ключей могут показаться излишними (так как они эквивалентны операции ENCRYPT и DECRYPT), важно использовать различные операции.While WRAPKEY/UNWRAPKEY using asymmetric keys may seem superfluous (as the operation is equivalent to ENCRYPT/DECRYPT), the use of distinct operations is important. Это обеспечивает разделение семантики и авторизации этих операций, а также целостность в случаях, когда служба поддерживает другие типы ключей.The distinction provides semantic and authorization separation of these operations, and consistency when other key types are supported by the service.

Azure Key Vault не поддерживает операции EXPORT.Key Vault doesn't support EXPORT operations. Как только ключ подготовлен в системе, нельзя извлечь его или изменить его материал.Once a key is provisioned in the system, it cannot be extracted or its key material modified. Однако пользователям Key Vault ключ может потребоваться для других вариантов использования, например при его удалении.However, users of Key Vault may require their key for other use cases, such as after it has been deleted. В этом случае они могут использовать операции BACKUP и RESTORE для экспорта или импорта ключей в защищенной форме.In this case, they may use the BACKUP and RESTORE operations to export/import the key in a protected form. Ключи, созданные в ходе операции BACKUP, не могут использоваться за пределами Key Vault.Keys created by the BACKUP operation are not usable outside Key Vault. Кроме того, в различных экземплярах Key Vault также можно использовать операцию IMPORT.Alternatively, the IMPORT operation may be used against multiple Key Vault instances.

Пользователи могут ограничивать любую из криптографических операций, поддерживаемых Key Vault, для каждого ключа с помощью свойства key_ops объекта JWK.Users may restrict any of the cryptographic operations that Key Vault supports on a per-key basis using the key_ops property of the JWK object.

Дополнительные сведения об объектах JWK см. в статье о веб-ключе JSON (JWK).For more information on JWK objects, see JSON Web Key (JWK).

Атрибуты ключейKey attributes

В дополнение к материалу ключа можно указать следующие атрибуты.In addition to the key material, the following attributes may be specified. В запросе JSON ключевое слово атрибутов и кавычки ‘{‘ ‘}’ необходимы, даже если атрибуты не указаны.In a JSON Request, the attributes keyword and braces, ‘{‘ ‘}’, are required even if there are no attributes specified.

  • enabled. Необязательный атрибут с логическим значением, по умолчанию — true.enabled: boolean, optional, default is true. Указывает, является ли ключ активным и подходит ли для операций шифрования.Specifies whether the key is enabled and useable for cryptographic operations. Атрибут Enabled используется в сочетании с NBF и exp. Если операция выполняется между NBF и exp, она будет разрешена только в том случае, если параметр Enabled имеет значение true.The enabled attribute is used in conjunction with nbf and exp. When an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Операции вне окна nbf / exp автоматически запрещаются, за исключением определенных типов операции в разделе определенных условий.Operations outside the nbf / exp window are automatically disallowed, except for certain operation types under particular conditions.
  • nbf. Необязательный атрибут со значением в формате IntDate, значение по умолчанию — "now".nbf: IntDate, optional, default is now. Атрибут nbf (не ранее) определяет время, до которого ключ не должен использоваться для криптографических операций, за исключением определенных типов операций в разделе определенных условий.The nbf (not before) attribute identifies the time before which the key MUST NOT be used for cryptographic operations, except for certain operation types under particular conditions. Обработка атрибута nbf требует, чтобы текущая дата и время наступали позже или соответствовали дате и времени, перечисленным в атрибуте nbf.The processing of the nbf attribute requires that the current date/time MUST be after or equal to the not-before date/time listed in the nbf attribute. Key Vault может предоставить кратковременную отсрочку, обычно не более чем несколько минут, чтобы учесть разницу в показаниях часов.Key Vault MAY provide for some small leeway, normally no more than a few minutes, to account for clock skew. Нужно указать число, содержащее значение IntDate.Its value MUST be a number containing an IntDate value.
  • exp. Необязательный атрибут со значением в формате IntDate, значение по умолчанию — "forever".exp: IntDate, optional, default is "forever". Атрибут exp (время окончания срока действия) определяет время, до которого или после которого ключ не должен использоваться для криптографических операций, за исключением определенных типов операций в разделе определенных условий.The exp (expiration time) attribute identifies the expiration time on or after which the key MUST NOT be used for cryptographic operation, except for certain operation types under particular conditions. Обработка атрибута exp требует, чтобы текущая дата и время наступали раньше или соответствовали дате и времени, перечисленным в атрибуте exp.The processing of the exp attribute requires that the current date/time MUST be before the expiration date/time listed in the exp attribute. Key Vault может предоставить кратковременную отсрочку, обычно не более чем несколько минут, чтобы учесть разницу в показаниях часов.Key Vault MAY provide for some small leeway, typically no more than a few minutes, to account for clock skew. Нужно указать число, содержащее значение IntDate.Its value MUST be a number containing an IntDate value.

Есть дополнительные атрибуты только для чтения, которые включены в любой ответ, содержащий атрибуты ключей:There are additional read-only attributes that are included in any response that includes key attributes:

  • created. Необязательный атрибут со значением в формате IntDate.created: IntDate, optional. Атрибут created указывает, когда была создана эта версия ключа.The created attribute indicates when this version of the key was created. Это значение равно NULL для ключей, созданных перед добавлением данного атрибута.The value is null for keys created prior to the addition of this attribute. Нужно указать число, содержащее значение IntDate.Its value MUST be a number containing an IntDate value.
  • updated. Необязательный атрибут со значением в формате IntDate.updated: IntDate, optional. Атрибут updated указывает, когда была обновлена эта версия ключа.The updated attribute indicates when this version of the key was updated. Это значение равно NULL для ключей, которые в последний раз обновлялись перед добавлением данного атрибута.The value is null for keys that were last updated prior to the addition of this attribute. Нужно указать число, содержащее значение IntDate.Its value MUST be a number containing an IntDate value.

Дополнительные сведения об IntDate и других типах данных см. в разделе о типах данных.For more information on IntDate and other data types, see Data types

Операции, зависящие от даты и времениDate-time controlled operations

Пока еще не проверенные ключи и ключи с истекшим сроком действия за пределами окна nbf / exp будут использоваться для операций расшифровки, развертывания и проверки (не будут возвращать код 403, запрещено).Not-yet-valid and expired keys, outside the nbf / exp window, will work for decrypt, unwrap, and verify operations (won’t return 403, Forbidden). Основной причиной использования ключа в состоянии "еще не проверено" является возможность проверить ключ перед использованием в рабочей среде.The rationale for using the not-yet-valid state is to allow a key to be tested before production use. Основная причина использования ключа в состоянии "истекший срок действия" — возможность выполнения операций восстановления в данных, которые были созданы, когда ключ был допустим.The rationale for using the expired state is to allow recovery operations on data that was created when the key was valid. Кроме того, можно отключить доступ к ключу с помощью политик Key Vault или изменения значения атрибута ключа enabled на false.Also, you can disable access to a key using Key Vault policies, or by updating the enabled key attribute to false.

Дополнительные сведения о типах данных см. в этом разделе.For more information on data types, see Data types.

Дополнительные сведения о других возможных атрибутах см. в разделе о веб-ключе JSON (JWK).For more information on other possible attributes, see the JSON Web Key (JWK).

Теги ключейKey tags

В форме тегов можно указать дополнительные метаданные для конкретного приложения.You can specify additional application-specific metadata in the form of tags. Key Vault поддерживает до 15 тегов, каждый из которых может иметь имя и значение длиной 256 знаков.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Примечание

Теги могут быть прочитаны вызывающим объектом, если он имеет разрешения list или get на такие типы объектов: ключи, секреты или сертификаты.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Контроль доступа к ключамKey access control

Контроль доступа к ключам, управляемым Key Vault, предоставляется на уровне хранилища ключей, которое выступает в роли контейнера ключей.Access control for keys managed by Key Vault is provided at the level of a Key Vault that acts as the container of keys. Политика контроля доступа для ключей отличается от политики контроля доступа для секретов в том же Key Vault.The access control policy for keys is distinct from the access control policy for secrets in the same Key Vault. Пользователи могут создать одно или несколько хранилищ для хранения ключей и должны поддерживать соответствующую сценарию сегментацию и управление ключами.Users may create one or more vaults to hold keys, and are required to maintain scenario appropriate segmentation and management of keys. Контроль доступа к ключам не зависит от контроля доступа к секретам.Access control for keys is independent of access control for secrets.

Следующие разрешения могут быть предоставлены на каждого пользователя или субъект-службу в записи управления доступом к ключам в хранилище.The following permissions can be granted, on a per user / service principal basis, in the keys access control entry on a vault. Эти разрешения точно отражают операции, разрешенные для ключевого объекта.These permissions closely mirror the operations allowed on a key object. Предоставление доступа к субъекту-службе в хранилище ключей является OneTime операцией и остается одинаковой для всех подписок Azure.Granting access to an service principal in key vault is a onetime operation, and it will remain same for all Azure subscriptions. Его можно использовать для развертывания требуемого количества сертификатов.You can use it to deploy as many certificates as you want.

  • Разрешения для операций управления ключамиPermissions for key management operations

    • get. Чтение открытой части ключа и его атрибутов.get: Read the public part of a key, plus its attributes
    • list. Вывод списка ключей или версий ключа, хранимых в хранилище ключей.list: List the keys or versions of a key stored in a key vault
    • update. Обновление атрибутов ключей.update: Update the attributes for a key
    • create. Создание ключей.create: Create new keys
    • import. Импорт ключа в хранилище ключей.import: Import a key to a key vault
    • delete. Удаление объектов ключей.delete: Delete the key object
    • recover. Восстановление удаленного ключа.recover: Recover a deleted key
    • backup. Архивация ключа в хранилище ключей.backup: Back up a key in a key vault
    • restore. Восстановление заархивированного ключа в хранилище ключей.restore: Restore a backed up key to a key vault
  • Разрешения для криптографических операцийPermissions for cryptographic operations

    • decrypt. Использование ключа для снятия защиты с последовательности байтов.decrypt: Use the key to unprotect a sequence of bytes
    • encrypt. Использование ключа для защиты произвольной последовательности байтов.encrypt: Use the key to protect an arbitrary sequence of bytes
    • unwrapKey. Использование ключа для снятия защиты с упакованных симметричных ключей.unwrapKey: Use the key to unprotect wrapped symmetric keys
    • wrapKey. Использование ключа для защиты симметричного ключа.wrapKey: Use the key to protect a symmetric key
    • verify. Использование ключа для проверки хэш-кодов.verify: Use the key to verify digests
    • sign. Использование ключа для подписи хэш-кодов.sign: Use the key to sign digests
  • Разрешения для привилегированных операцийPermissions for privileged operations

    • purge. Очистка (удаление без возможности восстановления) удаленных ключей.purge: Purge (permanently delete) a deleted key

Дополнительные сведения о работе с ключами см. в статье Azure Key Vault REST API reference (Справочник по REST API для Azure Key Vault).For more information on working with keys, see Key operations in the Key Vault REST API reference. Сведения об установке разрешений см. в статьях Vaults — Create Or Update (Хранилища. Создание или обновление) и Vaults — Update Access Policy (Хранилища. Обновление политики доступа).For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Секреты Key VaultKey Vault secrets

Работа с секретамиWorking with secrets

С точки зрения разработчика API-интерфейсы Key Vault принимают и возвращают значения секретов в виде строк.From a developer's perspective, Key Vault APIs accept and return secret values as strings. На внутреннем уровне Key Vault хранит секреты и управляет ими в виде последовательности октетов (8 бит) максимальным объемом 25 килобайтов каждый.Internally, Key Vault stores and manages secrets as sequences of octets (8-bit bytes), with a maximum size of 25k bytes each. Служба Key Vault не предоставляет никакой семантики для секретов.The Key Vault service doesn't provide semantics for secrets. Она просто принимает данные, шифрует и сохраняет их, возвращая идентификатор секрета — "id".It merely accepts the data, encrypts it, stores it, and returns a secret identifier ("id"). Идентификатор может использоваться, чтобы получить секрет позже.The identifier can be used to retrieve the secret at a later time.

Клиентам следует рассмотреть дополнительные уровни защиты конфиденциальных данных.For highly sensitive data, clients should consider additional layers of protection for data. Шифрование данных с помощью отдельного ключа защиты перед помещением в хранилище в Key Vault является одним из примеров.Encrypting data using a separate protection key prior to storage in Key Vault is one example.

Key Vault также поддерживает поле contentType для секретов.Key Vault also supports a contentType field for secrets. Клиенты могут указать тип содержимого секрета, чтобы помочь в интерпретации данных секрета при извлечении.Clients may specify the content type of a secret to assist in interpreting the secret data when it's retrieved. Максимальная длина этого поля — 255 символов.The maximum length of this field is 255 characters. Предварительно определенные значения отсутствуют.There are no pre-defined values. Предлагаемое использование — это подсказка для интерпретации данных секрета.The suggested usage is as a hint for interpreting the secret data. Например, реализация может сохранить пароли и сертификаты как секреты, а затем использовать это поле для их распознания.For instance, an implementation may store both passwords and certificates as secrets, then use this field to differentiate. Предварительно определенные значения отсутствуют.There are no predefined values.

Атрибуты секретовSecret attributes

В дополнение к секретным данным можно указать следующие атрибуты:In addition to the secret data, the following attributes may be specified:

  • exp. Необязательный атрибут со значением в формате IntDate, значение по умолчанию — forever.exp: IntDate, optional, default is forever. Атрибут exp (время окончания срока действия) определяет срок действия, в течение или после которого данные секрета НЕ ДОЛЖНЫ быть получены, за исключением определенных ситуаций.The exp (expiration time) attribute identifies the expiration time on or after which the secret data SHOULD NOT be retrieved, except in particular situations. Это поле предназначено для информационных целей только потому, что оно информирует пользователей службы хранилища ключей, что конкретный секрет не может использоваться.This field is for informational purposes only as it informs users of key vault service that a particular secret may not be used. Нужно указать число, содержащее значение IntDate.Its value MUST be a number containing an IntDate value.
  • nbf. Необязательный атрибут со значением в формате IntDate, значение по умолчанию — now.nbf: IntDate, optional, default is now. Атрибут nbf (не ранее) определяет время, до которого данные секрета НЕ ДОЛЖНЫ быть получены, за исключением определенных ситуаций.The nbf (not before) attribute identifies the time before which the secret data SHOULD NOT be retrieved, except in particular situations. Это поле предназначено только для информационных целей.This field is for informational purposes only. Нужно указать число, содержащее значение IntDate.Its value MUST be a number containing an IntDate value.
  • enabled. Необязательный атрибут с логическим значением, по умолчанию — true.enabled: boolean, optional, default is true. Этот атрибут указывает, можно ли извлечь данные секрета.This attribute specifies whether the secret data can be retrieved. Атрибут enabled используется совместно с nbf и exp при выполнении операции между nbf и exp. Она будет разрешена, только если атрибут enabled имеет значение true.The enabled attribute is used in conjunction with nbf and exp when an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Операции вне окон nbf и exp автоматически запрещаются, за исключением определенных ситуаций.Operations outside the nbf and exp window are automatically disallowed, except in particular situations.

Есть дополнительные атрибуты только для чтения, которые включены в любой ответ, который содержит атрибуты секрета:There are additional read-only attributes that are included in any response that includes secret attributes:

  • created. Необязательный атрибут со значением в формате IntDate.created: IntDate, optional. Атрибут created указывает, когда была создана эта версия секрета.The created attribute indicates when this version of the secret was created. Это значение равно NULL для секретов, созданных перед добавлением данного атрибута.This value is null for secrets created prior to the addition of this attribute. Нужно указать число, содержащее значение IntDate.Its value must be a number containing an IntDate value.
  • updated. Необязательный атрибут со значением в формате IntDate.updated: IntDate, optional. Атрибут updated указывает, когда была обновлена эта версия секрета.The updated attribute indicates when this version of the secret was updated. Это значение равно NULL для секретов, которые в последний раз обновлялись перед добавлением данного атрибута.This value is null for secrets that were last updated prior to the addition of this attribute. Нужно указать число, содержащее значение IntDate.Its value must be a number containing an IntDate value.

Операции, зависящие от даты и времениDate-time controlled operations

Операцию получения секрета можно применять для еще не проверенных секретов и просроченных секретов за пределами окна nbf / exp.A secret's get operation will work for not-yet-valid and expired secrets, outside the nbf / exp window. Вызов операции секрета get для еще не проверенных секретов может использоваться для тестирования.Calling a secret's get operation, for a not-yet-valid secret, can be used for test purposes. Извлечение (получение) просроченного секрета может использоваться в операциях восстановления.Retrieving (getting) an expired secret, can be used for recovery operations.

Дополнительные сведения о типах данных см. в этом разделе.For more information on data types, see Data types.

Контроль доступа к секретамSecret access control

Контроль доступа к секретам, управляемым в Key Vault, предоставляется на уровне Key Vault, который содержит эти секреты.Access Control for secrets managed in Key Vault, is provided at the level of the Key Vault that contains those secrets. Существует политика управления доступом к секретам, отличная от политики управления доступом к секретам в том же Key Vault.The access control policy for secrets, is distinct from the access control policy for keys in the same Key Vault. Пользователи могут создать одно или несколько хранилищ для хранения секретов и должны поддерживать соответствующую сценарию сегментацию и управление секретами.Users may create one or more vaults to hold secrets, and are required to maintain scenario appropriate segmentation and management of secrets.

Следующие разрешения могут использоваться на уровне субъекта в записи управления доступом к секретам в хранилище. Они практически точно отражают операции, разрешенные в объекте секрета.The following permissions can be used, on a per-principal basis, in the secrets access control entry on a vault, and closely mirror the operations allowed on a secret object:

  • Разрешения для операций управления секретамиPermissions for secret management operations

    • get. Чтение секрета.get: Read a secret
    • list. Вывод списка секретов или их версий, хранимых в Key Vault.list: List the secrets or versions of a secret stored in a Key Vault
    • set. Создание секрета.set: Create a secret
    • delete. Удаление секрета.delete: Delete a secret
    • recover. Восстановление удаленного секрета.recover: Recover a deleted secret
    • backup. Архивация секрета в хранилище ключей.backup: Back up a secret in a key vault
    • restore. Восстановление заархивированного секрета в хранилище ключей.restore: Restore a backed up secret to a key vault
  • Разрешения для привилегированных операцийPermissions for privileged operations

    • purge. Очистка (удаление без возможности восстановления) удаленных секретов.purge: Purge (permanently delete) a deleted secret

Дополнительные сведения о работе с секретами см. в справочнике по работе с Azure Key Vault с помощью REST API.For more information on working with secrets, see Secret operations in the Key Vault REST API reference. Сведения об установке разрешений см. в статьях Vaults — Create Or Update (Хранилища. Создание или обновление) и Vaults — Update Access Policy (Хранилища. Обновление политики доступа).For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Теги секретовSecret tags

В форме тегов можно указать дополнительные метаданные для конкретного приложения.You can specify additional application-specific metadata in the form of tags. Key Vault поддерживает до 15 тегов, каждый из которых может иметь имя и значение длиной 256 знаков.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Примечание

Теги могут быть прочитаны вызывающим объектом, если он имеет разрешения list или get на такие типы объектов: ключи, секреты или сертификаты.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Сертификаты Key VaultKey Vault Certificates

Поддержка сертификатов хранилища ключей не только позволяет управлять сертификатами x509, но и предоставляет следующие возможности.Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Владелец сертификата может создать сертификат при создании хранилища ключей или импорте существующего сертификата.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Это применимо как для самозаверяющих сертификатов, так и для сертификатов, созданных центром сертификации.Includes both self-signed and Certificate Authority generated certificates.
  • Владелец сертификата хранилища ключей может безопасно хранить сертификаты X509 и управлять ими без необходимости использовать закрытый ключ.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Владелец сертификата может создать политику, которая определяет для хранилища ключей параметры управления жизненным циклом сертификата.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Владелец сертификата может предоставить контактные данные для получения уведомлений о таких событиях жизненного цикла, как истечение срока действия и обновление сертификата.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Автоматическое обновление с возможностью выбора издателей сертификатов хранилища ключей — партнерских поставщиков сертификатов X509 и центров сертификации.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Примечание

Также разрешено использовать сертификаты, которые предоставляют поставщики и центры, не являющиеся партнерами. Но в таком случае функция автоматического обновления недоступна.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Создание сертификатовComposition of a Certificate

Когда создается сертификат Key Vault, адресуемые ключ и секрет также создаются с тем же именем.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. Ключ Key Vault разрешает операции с ключами, а секрет Key Vault позволяет извлечь значение сертификата в виде секрета.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Сертификат Key Vault также содержит открытые метаданные сертификата x509.A Key Vault certificate also contains public x509 certificate metadata.

Идентификатор и версия сертификатов аналогичны этим объектам у ключей и секретов.The identifier and version of certificates is similar to that of keys and secrets. Определенная версия адресуемого ключа и секрета, созданная с помощью версии сертификата Key Vault, доступна в ответе сертификата Key Vault.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Сертификаты — составные объекты

Доступный или недоступный для экспорта ключExportable or Non-exportable key

Созданный сертификат Key Vault можно извлечь из адресуемого секрета с помощью закрытого ключа в формате PFX или PEM.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. Политика, используемая для создания сертификата, указывает, что ключ доступен для экспорта.The policy used to create the certificate must indicate that the key is exportable. Если политика указывает, что ключ недоступен для экспорта, тогда закрытый ключ не будет частью значения при извлечении в качестве секрета.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

Адресуемый ключ становится более релевантным с недоступными для экспорта сертификатами Key Vault.The addressable key becomes more relevant with non-exportable KV certificates. Операции с адресуемыми ключами Key Vault сопоставляются из поля keyusage политики сертификата Key Vault, используемой для его создания.The addressable KV key’s operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

С сертификатом поддерживается два типа ключей: RSA или RSA HSM.Two types of key are supported – RSA or RSA HSM with certificates. Для экспорта доступен только ключ RSA, но не RSA HSM.Exportable is only allowed with RSA, not supported by RSA HSM.

Атрибуты и теги сертификатаCertificate Attributes and Tags

Помимо метаданных сертификата, адресуемых ключа и секрета, сертификат Key Vault также содержит атрибуты и теги.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

АтрибутыAttributes

Атрибуты сертификатов зеркально отражают атрибуты адресуемых ключей и секретов, созданные вместе с сертификатом Key Vault.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Сертификат Key Vault имеет следующие атрибуты:A Key Vault certificate has the following attributes:

  • enabled. Необязательный атрибут с логическим значением, по умолчанию — true.enabled: boolean, optional, default is true. Этот атрибут можно задать для указания возможности извлекать данные сертификата в виде секрета или использовать их в качестве ключа.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Он используется совместно с nbf и exp при возникновении операции между nbf и exp. Она будет разрешена, только если атрибут enabled имеет значение true.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp, and will only be permitted if enabled is set to true. Операции вне окна nbf и exp автоматически запрещаются.Operations outside the nbf and exp window are automatically disallowed.

Есть дополнительные атрибуты только для чтения, которые включены в ответ:There are additional read-only attributes that are included in response:

  • created. Указывает, когда была создана эта версия сертификата. Значение в формате IntDate.created: IntDate: indicates when this version of the certificate was created.
  • updated. Указывает, когда была обновлена эта версия сертификата. Значение в формате IntDate.updated: IntDate: indicates when this version of the certificate was updated.
  • exp. Содержит значение даты истечения срока действия сертификата x509. Значение в формате IntDate.exp: IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf. Содержит значение даты сертификата x509. Значение в формате IntDate.nbf: IntDate: contains the value of the date of the x509 certificate.

Примечание

Если срок действия сертификата в Key Vault истекает, адресуемый ключ и секрет становятся неработоспособными.If a Key Vault certificate expires, it’s addressable key and secret become inoperable.

ТегиTags

Клиент указал словарь пар значений и ключей, аналогичный тегам в ключах и секретах.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Примечание

Теги могут быть прочитаны вызывающим объектом, если он имеет разрешения list или get на такие типы объектов: ключи, секреты или сертификаты.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Политика сертификатаCertificate policy

Политика сертификата содержит сведения о способах создания сертификатов Key Vault и об управлении их жизненным циклом.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. При импорте сертификата с закрытым ключом в хранилище ключей создается политика по умолчанию путем чтения сертификата x509.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

При создании сертификата Key Vault с нуля необходимо предоставить политику для Key Vault.When a Key Vault certificate is created from scratch, a policy needs to be supplied. Политика указывает, как создать эту или следующую версию сертификата Key Vault.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. После создания политики при последующих операциях создания не требуется создавать следующие версии сертификатов.Once a policy has been established, it isn't required with successive create operations for future versions. Есть только один экземпляр политики для всех версий сертификата Key Vault.There's only one instance of a policy for all the versions of a Key Vault certificate.

На высоком уровне политика сертификата содержит следующие элементы:At a high level, a certificate policy contains the following information:

  • Свойства сертификата X509. Это имя субъекта, альтернативные имена субъекта и другие свойства, используемые для создания запроса на сертификат X509.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Свойства ключей. Это поля типа ключа, длины ключа, доступности для экспорта и повторного использования ключа.Key Properties: contains key type, key length, exportable, and reuse key fields. Эти поля инструктируют хранилище ключей о том, как создать ключ.These fields instruct key vault on how to generate a key.

  • Свойства секрета. Это такие свойства, как тип содержимого адресуемого секрета для создания значения секрета, а также для извлечения сертификата в качестве секрета.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Действия на протяжении времени существования. Это соответствующие действия для сертификата Key Vault.Lifetime Actions: contains lifetime actions for the KV Certificate. Каждое такое действие содержит:Each lifetime action contains:

    • Триггер. Указывается с помощью дней до истечения срока действия или процента времени существования.Trigger: specified via days before expiry or lifetime span percentage

    • Действие. Указывается тип действия: emailContacts или autoRenew.Action: specifying action type – emailContacts or autoRenew

  • Издатель. Параметры, касающиеся издателя сертификата, который выдает сертификаты x509.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Атрибуты политики. Атрибуты, связанные с политикой.Policy Attributes: contains attributes associated with the policy

Сопоставление использования параметров X509 и операций Key VaultX509 to Key Vault usage mapping

В следующей таблице представлено сопоставление политики использования ключа x509 с эффективными операциями с ключами, созданными как часть создания сертификата Key Vault.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

Параметры использования ключей X509X509 Key Usage flags Операции с ключами Key VaultKey Vault key ops Поведение по умолчаниюDefault behavior
DataEnciphermentDataEncipherment шифрование, расшифровкаencrypt, decrypt Н/ДN/A
DecipherOnlyDecipherOnly расшифровкаdecrypt Н/ДN/A
DigitalSignatureDigitalSignature подпись, проверкаsign, verify Key Vault по умолчанию не имеет определения использования при создании сертификатаKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt Н/ДN/A
KeyCertSignKeyCertSign подпись, проверкаsign, verify Н/ДN/A
KeyEnciphermentKeyEncipherment упаковка и разворачивание ключаwrapKey, unwrapKey Key Vault по умолчанию не имеет определения использования при создании сертификатаKey Vault default without a usage specification at certificate creation time
NonRepudiationNonRepudiation подпись, проверкаsign, verify Н/ДN/A
crlsigncrlsign подпись, проверкаsign, verify Н/ДN/A

Издатель сертификатаCertificate Issuer

Объект сертификата Key Vault содержит конфигурацию, используемую для обмена данными с выбранным поставщиком издателей сертификатов для заказа сертификатов x509.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Key Vault партнеров со следующими поставщиками поставщиков сертификатов для TLS/SSL-сертификатовKey Vault partners with following certificate issuer providers for TLS/SSL certificates
Имя поставщикаProvider Name РасположенияLocations
DigiCert;DigiCert Поддерживается во всех расположениях службы хранилища ключей в общедоступном облаке и в Azure для государственных организацийSupported in all key vault service locations in public cloud and Azure Government
GlobalSign;GlobalSign Поддерживается во всех расположениях службы хранилища ключей в общедоступном облаке и в Azure для государственных организацийSupported in all key vault service locations in public cloud and Azure Government

Перед созданием издателя сертификата в Key Vault необходимо выполнить приведенные ниже обязательные шаги 1 и 2.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. Подключение к поставщикам центра сертификации (ЦС).Onboard to Certificate Authority (CA) Providers

    • Администратор организации должен подключить свою компаниюAn organization administrator must on-board their company (ex. (например, Contoso) хотя бы к одному поставщику ЦС.Contoso) with at least one CA provider.
  2. Администратор создает учетные данные запросившего для Key Vault регистрации (и продления) сертификатов TLS/SSL.Admin creates requester credentials for Key Vault to enroll (and renew) TLS/SSL certificates

    • Предоставляет конфигурацию, используемую для создания объекта издателя поставщика в хранилище ключей.Provides the configuration to be used to create an issuer object of the provider in the key vault

Дополнительные сведения о создании объектов издателя на портале сертификатов см. в записи блога по сертификатам Key Vault.For more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

Key Vault позволяет создать несколько объектов издателей с различной конфигурацией поставщиков издателей.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. После создания объекта издателя на его имя можно ссылаться в одной или нескольких политиках сертификата.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Ссылка на объект издателя указывает, чтобы Key Vault использовал указанную в этом объекте конфигурацию при запросе сертификата x509 из поставщика ЦС во время создания или обновления сертификата.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Объекты издателя создаются в хранилище и могут использоваться только с сертификатами в том же хранилище.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

Контакты сертификатовCertificate contacts

Контакты сертификатов содержат контактную информацию для отправки уведомлений, активируемых событиями времени существования сертификата.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. Информация о контактах совместно используется всеми сертификатами в хранилище ключей.The contacts information is shared by all the certificates in the key vault. Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей.A notification is sent to all the specified contacts for an event for any certificate in the key vault.

Если в политике сертификата настроено автоматическое продление, уведомление отправляется для следующих событий.If a certificate's policy is set to auto renewal, then a notification is sent on the following events.

  • Перед продлением сертификата.Before certificate renewal

  • После продления сертификата. Указывает, был ли сертификат успешно продлен или произошла ошибка, требующая продления сертификата вручную.After certificate renewal, stating if the certificate was successfully renewed, or if there was an error, requiring manual renewal of the certificate.

    Если для политики сертификата настроено продление вручную (только по электронной почте), тогда уведомление отправляется, когда пришло время продлить сертификат.When a certificate policy that is set to be manually renewed (email only), a notification is sent when it’s time to renew the certificate.

Контроль доступа к сертификатуCertificate Access Control

Контролем доступа к сертификатам управляет Key Vault. Его предоставляет Key Vault, которое выступает в роли контейнера для этих сертификатов.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. Существует политика управления доступом к сертификатам, отличная от политики управления доступом к ключам и секретам в том же Key Vault.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Пользователи могут создать одно или несколько хранилищ для хранения сертификатов и должны поддерживать соответствующую сценарию сегментацию и управление сертификатами.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates.

Следующие разрешения могут использоваться на уровне субъекта в записи управления доступом к секретам в хранилище ключей. Они точно отражают операции, разрешенные в объекте секрета:The following permissions can be used, on a per-principal basis, in the secrets access control entry on a key vault, and closely mirrors the operations allowed on a secret object:

  • Разрешения для операций управления сертификатамиPermissions for certificate management operations

    • get. Получение текущей или любой версии сертификата.get: Get the current certificate version, or any version of a certificate
    • list. Перечисление текущих сертификатов или версий сертификатов.list: List the current certificates, or versions of a certificate
    • update. Обновление сертификата.update: Update a certificate
    • create. Создание сертификата Key Vault.create: Create a Key Vault certificate
    • import. Импорт материала сертификата в сертификат Key Vault.import: Import certificate material into a Key Vault certificate
    • delete. Удаление сертификата, его политики и всех его версий.delete: Delete a certificate, its policy, and all of its versions
    • recover. Восстановление удаленного сертификата.recover: Recover a deleted certificate
    • backup. Архивация сертификата в хранилище ключей.backup: Back up a certificate in a key vault
    • restore. Восстановление заархивированного сертификата в хранилище ключей.restore: Restore a backed-up certificate to a key vault
    • managecontacts. Управление контактами сертификата Key Vault.managecontacts: Manage Key Vault certificate contacts
    • manageissuers. Управление ЦС и издателями сертификатов Key Vault.manageissuers: Manage Key Vault certificate authorities/issuers
    • getissuers. Получение сведений о ЦС и издателях сертификатов.getissuers: Get a certificate's authorities/issuers
    • listissuers. Вывод списка ЦС и издателей сертификатов.listissuers: List a certificate's authorities/issuers
    • setissuers. Создание и обновление издателей сертификатов и ЦС Key Vault.setissuers: Create or update a Key Vault certificate's authorities/issuers
    • deleteissuers. Удаление издателей сертификатов и ЦС Key Vault.deleteissuers: Delete a Key Vault certificate's authorities/issuers
  • Разрешения для привилегированных операцийPermissions for privileged operations

    • purge. Очистка (удаление без возможности восстановления) удаленных сертификатов.purge: Purge (permanently delete) a deleted certificate

Дополнительные сведения о работе с сертификатами см. в справочнике по работе с Azure Key Vault с помощью REST API.For more information, see the Certificate operations in the Key Vault REST API reference. Сведения об установке разрешений см. в статьях Vaults — Create Or Update (Хранилища. Создание или обновление) и Vaults — Update Access Policy (Хранилища. Обновление политики доступа).For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Управление ключами учетных записей хранения AzureAzure Storage account key management

Key Vault может управлять ключами учетных записей хранения Azure:Key Vault can manage Azure storage account keys:

  • На внутреннем уровне Key Vault может выводить список ключей (синхронизировать их) с помощью учетной записи хранения Azure.Internally, Key Vault can list (sync) keys with an Azure storage account.
  • Key Vault периодически повторно создает (сменяет) ключи.Key Vault regenerates (rotates) the keys periodically.
  • Значения ключей никогда не возвращаются в ответе вызывающему объекту.Key values are never returned in response to caller.
  • Azure Key Vault управляет ключами как учетных записей хранения, так и классических учетных записей хранения.Key Vault manages keys of both storage accounts and classic storage accounts.

Дополнительные сведения см. в статье Ключи учетной записи хранения Azure Key Vaults.For more information, see Azure Key Vault Storage Account Keys

Управление доступом к учетной записи храненияStorage account access control

Следующие разрешения можно использовать при авторизации пользователя или субъекта приложения для выполнения операций с управляемой учетной записью хранения:The following permissions can be used when authorizing a user or application principal to perform operations on a managed storage account:

  • Разрешения для управляемой учетной записи хранения и операции определения SaSPermissions for managed storage account and SaS-definition operations

    • get. Получение сведений об учетной записи хранения.get: Gets information about a storage account
    • list. Список учетных записей хранения, управляемых Key Vault.list: List storage accounts managed by a Key Vault
    • update. Обновление учетной записи хранения.update: Update a storage account
    • delete. Удаление учетной записи хранения.delete: Delete a storage account
    • recover. Восстановление удаленной учетной записи хранения.recover: Recover a deleted storage account
    • backup. Резервное копирование учетной записи хранения.backup: Back up a storage account
    • restore. Восстановление заархивированной учетной записи хранения в Key Vault.restore: Restore a backed-up storage account to a Key Vault
    • set. Обновление или создание учетной записи хранения.set: Create or update a storage account
    • regeneratekey. Повторное создание заданного значения ключа для учетной записи хранения.regeneratekey: Regenerate a specified key value for a storage account
    • getsas. Получение сведений об определении SAS для учетной записи хранения.getsas: Get information about a SAS definition for a storage account
    • listsas. Вывод списка определений SAS хранилища для учетной записи хранения.listsas: List storage SAS definitions for a storage account
    • deletesas. Удаление определения SAS из учетной записи хранения.deletesas: Delete a SAS definition from a storage account
    • setsas. Создание или обновление нового определения или атрибутов SAS для учетной записи хранения.setsas: Create or update a new SAS definition/attributes for a storage account
  • Разрешения для привилегированных операцийPermissions for privileged operations

    • purge. Очистка (удаление без возможности восстановления) управляемой учетной записи хранения.purge: Purge (permanently delete) a managed storage account

Дополнительные сведения о работе с сертификатами см. в статье Azure Key Vault REST API reference (Справочник по REST API для Azure Key Vault).For more information, see the Storage account operations in the Key Vault REST API reference. Сведения об установке разрешений см. в статьях Vaults — Create Or Update (Хранилища. Создание или обновление) и Vaults — Update Access Policy (Хранилища. Обновление политики доступа).For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

См. также:See Also