Общие сведения о ключах, секретах и сертификатах Azure Key VaultAzure Key Vault keys, secrets and certificates overview

Azure Key Vault позволяет пользователям и приложениям Microsoft Azure хранить и использовать несколько типов данных ключей или секретов.Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data. Поставщик ресурсов Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM.Key Vault resource provider supports two resource types: vaults and managed HSMs.

DNS-суффиксы для базового URL-адресаDNS suffixes for base URL

В таблице ниже показан DNS-суффикс для базового URL-адреса, используемый конечной точкой плоскости данных для хранилищ и пулов управляемых устройств HSM в различных облачных средах.The table below shows the base URL DNS suffix used by the data-plane endpoint for vaults and managed HSM pools in various cloud environments.

Облачная средаCloud environment DNS-суффикс для хранилищDNS suffix for vaults DNS-суффикс для управляемых устройств HSMDNS suffix for managed HSMs
Облако AzureAzure Cloud vault.azure.net.vault.azure.net .managedhsm.azure.net.managedhsm.azure.net
Облако Azure для КитаяAzure China Cloud .vault.azure.cn.vault.azure.cn Не поддерживаетсяNot supported
Azure для государственных организаций СШАAzure US Government *.vault.usgovcloudapi.net.vault.usgovcloudapi.net Не поддерживаетсяNot supported
Облако Azure для Германии.Azure German Cloud .vault.microsoftazure.de.vault.microsoftazure.de Не поддерживаетсяNot supported

Типы ObjectObject types

В таблице ниже показаны типы объектов и их суффиксы в базовом URL-адресе.The table below shows object types and their suffixes in the base URL.

Тип объектаObject type Суффикс URL-адресаURL Suffix ХранилищаVaults Пулы управляемых устройств HSMManaged HSM Pools
Криптографические ключиCryptographic keys
Ключи, защищенные модулем HSMHSM-protected keys /keys/keys ПоддерживаетсяSupported ПоддерживаетсяSupported
Ключи, защищенные программным обеспечениемSoftware-protected keys /keys/keys ПоддерживаетсяSupported Не поддерживаетсяNot supported
Другие типы объектовOther object types
СекретыSecrets /secrets/secrets ПоддерживаетсяSupported Не поддерживаетсяNot supported
СертификатыCertificates /certificates/certificates ПоддерживаетсяSupported Не поддерживаетсяNot supported
Ключи учетной записи храненияStorage account keys /storageaccount/storageaccount ПоддерживаетсяSupported Не поддерживаетсяNot supported
  • Криптографические ключи. Поддерживает несколько типов ключей и алгоритмов, позволяет использовать ключи, защищенные с помощью ПО или модуля HSM.Cryptographic keys : Supports multiple key types and algorithms, and enables the use of software-protected and HSM-protected keys. См. сведения о ключах.For more information, see About keys.
  • Секреты. Обеспечивает безопасное хранение секретов, таких как пароли и строки подключения к базам данных.Secrets : Provides secure storage of secrets, such as passwords and database connection strings. См. сведения о секретах.For more information, see About secrets.
  • Сертификаты. Поддерживает сертификаты, которые создаются поверх ключей и секретов и добавляют функцию автоматического обновления.Certificates : Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. См. сведения о сертификатах.For more information, see About certificates.
  • Ключи учетной записи службы хранилища Azure. Может управлять ключами учетной записи хранения Azure.Azure Storage account keys : Can manage keys of an Azure Storage account for you. На внутреннем уровне Key Vault может перечислять (синхронизировать) ключи с учетными записями хранения Azure и периодически повторно создавать (заменять) ключи.Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. См. сведения об управлении ключами учетной записи хранения с помощью Key Vault.For more information, see Manage storage account keys with Key Vault.

См. сведения об Azure Key Vault.For more general information about Key Vault, see About Azure Key Vault. Дополнительные сведения о пулах управляемых устройств HSM см. в статье Что собой представляет управляемое устройство HSM в Azure Key Vault?For more information about Managed HSM pools, see What is Azure Key Vault Managed HSM?

Типы данныхData types

Обратитесь к спецификациям JOSE для соответствующих типов данных ключей, шифрования и подписей.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algorithm — поддерживаемый алгоритм для операции ключа, например RSA1_5.algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • ciphertext-value — октеты зашифрованного текста, закодированные с помощью Base64URL.ciphertext-value - cipher text octets, encoded using Base64URL
  • digest-value — выходные данные хэш-алгоритма, зашифрованные с помощью Base64URL.digest-value - the output of a hash algorithm, encoded using Base64URL
  • key-type — один из поддерживаемых типов ключей, например RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • plaintext-value — октеты открытого текста, закодированные с помощью Base64URL.plaintext-value - plaintext octets, encoded using Base64URL
  • signature-value — выходные данные алгоритма подписи, закодированные с помощью Base64URL.signature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL — двоичное значение в кодировке Base64URL [RFC4648].base64URL - a Base64URL [RFC4648] encoded binary value
  • boolean — значение true или false.boolean - either true or false
  • Identity — удостоверение из Azure Active Directory (AAD).Identity - an identity from Azure Active Directory (AAD).
  • IntDate — десятичное значение JSON, представляющее число секунд, начиная с 1970-01-01T0:0:0Z UTC до указанной даты или времени в формате UTC.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Дополнительные сведения о дате и времени в общем формате и в UTC в частности см. в [RFC3339].See RFC3339 for details regarding date/times, in general and UTC in particular.

Объекты, идентификаторы и управление версиямиObjects, identifiers, and versioning

Объекты, хранящиеся в Azure Key Vault, сохраняют версии всякий раз, когда создается экземпляр объекта.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Каждая версия имеет уникальный идентификатор и URL-адрес.Each version is assigned a unique identifier and URL. Когда объект создается впервые, ему присваивается уникальный идентификатор версии, а также метка с текущей версией.When an object is first created, it's given a unique version identifier and marked as the current version of the object. При создании экземпляра с тем же именем объекта новому объекту присваивается уникальный идентификатор версии и эта версия становится текущей.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

К объектам в Key Vault можно обращаться, определяя или игнорируя версию для операций с текущей версией объекта.Objects in Key Vault can be addressed by specifying a version or by omitting version for operations on current version of the object. Например, если ключ MasterKey выполняет операции без определения версии, система будет использовать последнюю доступную.For example, given a Key with the name MasterKey, performing operations without specifying a version causes the system to use the latest available version. В случае выполнения операций с идентификатором, зависящим от версии, система использует эту конкретную версию объекта.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

В Key Vault объекты уникально идентифицированы с использованием URL-адреса.Objects are uniquely identified within Key Vault using a URL. Так что два объекта в системе, независимо от географического местоположения, не могут иметь один и тот же URL-адрес.No two objects in the system have the same URL, regardless of geo-location. Полный URL-адрес к объекту называется идентификатором объекта.The complete URL to an object is called the Object Identifier. Он состоит из части префикса, которая идентифицирует Key Vault, типа объекта, указанного пользователем имени объекта и версии объекта.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Имя объекта не учитывает регистр и является неизменяемым.The Object Name is case-insensitive and immutable. Идентификаторы, которые не включают версию объекта, называются базовыми.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Дополнительные сведения см. в статье Authentication, requests and responses (Проверка подлинности, запросы и ответы).For more information, see Authentication, requests, and responses

Идентификатор объекта имеет следующий общий формат (в зависимости от типа контейнера):An object identifier has the following general format (depending on container type):

  • Для хранилищ : https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}.For Vaults : https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Для пулов управляемых устройств HSM : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}.For Managed HSM pools : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Примечание

Сведения о типах объектов, поддерживаемых каждым типом контейнера, см. в этом разделе.See Object type support for types of objects supported by each container type.

Где:Where:

ЭлементElement ОписаниеDescription
vault-name или hsm-namevault-name or hsm-name Имя хранилища или пула управляемых устройств HSM в службе Microsoft Azure Key Vault.The name for a vault or an Managed HSM pool in the Microsoft Azure Key Vault service.

Имена хранилищ и пулов управляемых устройств HSM выбираются пользователем и являются глобально уникальными.Vault names and Managed HSM pool names are selected by the user and are globally unique.

Имя хранилища или пула управляемых устройств HSM должно быть строкой длиной 3–24 знака, содержащей только цифры (0–9), буквы (a–z, A–Z) и знак "-".Vault name and Managed HSM pool name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Тип объекта: keys, secrets или certificates.The type of the object, "keys", "secrets", or 'certificates'.
object-name object-name — предоставленное пользователем имя, которое должно быть уникальным в Key Vault.An object-name is a user provided name for and must be unique within a Key Vault. Имя должно быть строкой длиной от 1 до 127 символов, начинаться с буквы и содержать только цифры (0–9), буквы (a–z, A–Z) и дефис (-).The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version object-version — созданный системой 32-знаковый идентификатор строки, который при необходимости используется для обозначения уникальной версии объекта.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Дальнейшие действияNext steps