Руководство разработчика хранилища ключей AzureAzure Key Vault Developer's Guide

Хранилище Key Vault обеспечивает безопасный доступ к конфиденциальной информации из приложений:Key Vault allows you to securely access sensitive information from within your applications:

  • Ключи и секреты защищены без необходимости написания кода. Вы сможете легко использовать их в своих приложениях.Keys and secrets are protected without having to write the code yourself and you are easily able to use them from your applications.
  • Ваши клиенты смогут управлять собственными ключами, поэтому вы можете сосредоточиться на предоставлении базовых функций программного обеспечения.You are able to have your customers own and manage their own keys so you can concentrate on providing the core software features. В этом случае ваши приложения не будут отвечать за ключи и секреты клиентов.In this way, your applications will not own the responsibility or potential liability for your customers’ tenant keys and secrets.
  • Ваше приложение может использовать ключи для подписывания и шифрования, но осуществляет управление ключами во внешней среде, чтобы ваше решение могло работать в качестве географически распределенного приложения.Your application can use keys for signing and encryption yet keeps the key management external from your application, allowing your solution to be suitable as a geographically distributed app.
  • Начиная с выпуска Key Vault от сентября 2016 г., в приложениях можно использовать сертификаты Key Vault.As of the September 2016 release of Key Vault, your applications can now manage Key Vault certificates. См. дополнительные сведения о ключах, секретах и сертификатах.For more information, see About keys, secrets, and certificates.

Дополнительные сведения о хранилище ключей Azure см. в статье Что такое хранилище ключей Azure?.For more general information on Azure Key Vault, see What is Key Vault.

Общедоступные предварительные версииPublic Previews

Периодически мы выпускаем общедоступные предварительные версии нового компонента Key Vault.Periodically, we release a public preview of a new Key Vault feature. Предлагаем вам протестировать их и отправить отзыв по нашему адресу электронной почты для обратной связи: azurekeyvault@microsoft.com.Try out these and let us know what you think via azurekeyvault@microsoft.com, our feedback email address.

Создание хранилищ ключей и управление имиCreating and Managing Key Vaults

Azure Key Vault позволяет обеспечить безопасное хранение учетных данных, а также других ключей и секретов, но для их получения код должен выполнять аутентификацию в Key Vault.Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Управляемые удостоверения для ресурсов Azure упрощают решение этой задачи, предоставляя службам Azure автоматически управляемое удостоверение в Azure Active Directory (Azure AD).Managed identities for Azure resources makes solving this problem simpler by giving Azure services an automatically managed identity in Azure Active Directory (Azure AD). Это удостоверение можно использовать для аутентификации в любой службе, которая поддерживает аутентификацию Azure AD, включая Key Vault, не храня какие-либо учетные данные в коде.You can use this identity to authenticate to any service that supports Azure AD authentication, including Key Vault, without having any credentials in your code.

Дополнительные сведения об управляемых удостоверениях для ресурсов Azure см. в обзоре управляемых удостоверений.For more information on managed identities for Azure resources, see the managed identities overview. Дополнительные сведения о работе с AAD см. в статье Интеграция приложений с Azure Active Directory.For more information on working with AAD, see Integrating applications with Azure Active Directory.

Прежде чем приступить к работе с ключами, секретами и сертификатами в хранилище ключей, нужно создать его. Вы можете создать хранилище ключей и управлять им с помощью интерфейса командной строки (CLI), PowerShell, шаблонов Resource Manager или REST, как описано в следующих статьях:Before working with keys, secrets or certificates in your key vault, you'll create and manage your key vault through CLI, PowerShell, Resource Manager Templates or REST, as described in the following articles:

Программирование с помощью хранилища ключейCoding with Key Vault

Система управления Key Vault для программистов включает несколько интерфейсов.The Key Vault management system for programmers consists of several interfaces. В этом разделе содержится несколько примеров кода и ссылки на все языки.This section contains links to all of the languages as well as some code examples.

Поддерживаемые языки программирования и написания сценариевSupported programming and scripting languages

RESTREST

Интерфейс REST предоставляет доступ ко всем ресурсам Key Vault: хранилищам, ключам, секретам и т. д.All of your Key Vault resources are accessible through the REST interface; vaults, keys, secrets, etc.

Справочник по REST API для Key VaultKey Vault REST API Reference.

.NET.NET

Справочник по API .NET для Key Vault..NET API reference for Key Vault.

Дополнительные сведения о версии 2.x пакета SDK для .NET см. в заметках о выпуске.For more information on the 2.x version of the .NET SDK, see the Release notes.

JavaJava

Пакет Java SDK для Key VaultJava SDK for Key Vault

Node.jsNode.js

В Node.js API управления Key Vault не включен в API объекта Key Vault.In Node.js, the Key Vault management API and the Key Vault object API are separate. В следующей обзорной статье объясняется, как получить доступ к этим API.The following overview article gives you access to both.

Модули Azure Key Vault для Node.jsAzure Key Vault modules for Node.js

PythonPython

Библиотеки Azure Key Vault для PythonAzure Key Vault libraries for Python

Azure CLI 2Azure CLI 2

Azure CLI для Key VaultAzure CLI for Key Vault

Azure PowerShellAzure PowerShell

Azure PowerShell для Key VaultAzure PowerShell for Key Vault

Краткие руководстваQuickstart guides

Примеры кодаCode examples

Полные примеры использования хранилища ключей с приложениями см. в следующих документах:For complete examples using Key Vault with your applications, see:

ИнструкцииHow-tos

В следующих статьях приводятся рекомендации по решению конкретных задач при работе с Azure Key Vault:The following articles and scenarios provide task-specific guidance for working with Azure Key Vault:

Интеграция с хранилищем ключейIntegrated with Key Vault

Эти статьи посвящены другим сценариям и службам, использующим Key Vault или интегрирующимся с ним.These articles are about other scenarios and services that use or integrate with Key Vault.

  • Дисковое шифрование Azure использует стандартные для отрасли функции — BitLocker в Windows и DM-Crypt в Linux, — которые обеспечивают шифрование томов для системных дисков и дисков данных.Azure Disk Encryption leverages the industry standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. Это решение интегрировано с хранилищем ключей Azure. Решение позволяет управлять ключами и секретами дискового шифрования через подписку хранилища ключей. Шифрование выполняется для всех данных на дисках виртуальных машин в хранилище Azure.The solution is integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets in your key vault subscription, while ensuring that all data in the virtual machine disks are encrypted at rest in your Azure storage.
  • В Azure Data Lake Store можно включить шифрование данных, хранящихся в учетной записи.Azure Data Lake Store provides option for encryption of data that is stored in the account. Data Lake Store предоставляет два режима для управления главными ключами шифрования (MEKs), необходимыми для расшифровки любых данных, хранящихся в Data Lake Store.For key management, Data Lake Store provides two modes for managing your master encryption keys (MEKs), which are required for decrypting any data that is stored in the Data Lake Store. Вы можете позволить Data Lake Store управлять главными ключами шифрования или управлять ими самостоятельно с помощью учетной записи хранилища ключей Azure.You can either let Data Lake Store manage the MEKs for you, or choose to retain ownership of the MEKs using your Azure Key Vault account. Способ управления ключами можно задать во время создания учетной записи Data Lake Store.You specify the mode of key management while creating a Data Lake Store account.
  • Azure Information Protection позволяет управлять собственным ключом клиента.Azure Information Protection allows you to manager your own tenant key. Например, вместо того, чтобы вашим ключом клиента управляла корпорация Майкрософт (по умолчанию), вы можете сами управлять им в соответствии с определенными нормами своей организации.For example, instead of Microsoft managing your tenant key (the default), you can manage your own tenant key to comply with specific regulations that apply to your organization. Сценарий с использованием собственного ключа клиента называется BYOK.Managing your own tenant key is also referred to as bring your own key, or BYOK.

Основные сведения о Key VaultKey Vault overviews and concepts

Социальное взаимодействиеSocial

Поддержка библиотекSupporting Libraries