Vad är Azure Key Vault?What is Azure Key Vault?

Molnbaserade program och tjänster kan du använda kryptografiska nycklar och hemligheter för att hålla informationen säkra.Cloud applications and services use cryptographic keys and secrets to help keep information secure. Azure Key Vault skyddar dessa nycklar och hemligheter.Azure Key Vault safeguards these keys and secrets. När du använder Key Vault kan kryptera du autentiseringsnycklar, lagringskontonycklar, datakrypteringsnycklar, PFX-filer och lösenord med hjälp av nycklar som skyddas av maskinvarusäkerhetsmoduler (HSM).When you use Key Vault, you can encrypt authentication keys, storage account keys, data encryption keys, .pfx files, and passwords by using keys that are protected by hardware security modules (HSMs).

Key Vault hjälper dig att lösa följande problem:Key Vault helps solve the following problems:

  • Hemlighetshantering: Lagra säkert och väl styr åtkomsten till token, lösenord, certifikat, API-nycklar och andra hemligheter.Secret management: Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets.
  • Nyckelhantering: Skapa och styra krypteringsnycklar som krypterar dina data.Key management: Create and control encryption keys that encrypt your data.
  • Certifikathantering: Etablera, hantera och distribuera offentliga och privata Secure Sockets Layer/Transport Layer Security (SSL/TLS)-certifikat för användning med Azure och din interna anslutna resurser.Certificate management: Provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Store hemligheter som backas upp av HSM: er: Använda programvara eller FIPS 140-2 Level 2-verifierade HSM: er för att skydda hemligheter och nycklar.Store secrets backed by HSMs: Use either software or FIPS 140-2 Level 2 validated HSMs to help protect secrets and keys.

Grundläggande begreppBasic concepts

Azure Key Vault är ett verktyg för att lagra och komma åt hemligheter på ett säkert sätt.Azure Key Vault is a tool for securely storing and accessing secrets. En hemlighet är något som du vill begränsa åtkomst till, till exempel API-nycklar, lösenord eller certifikat.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. Ett valv är en logisk grupp av hemligheter.A vault is logical group of secrets.

Här följer andra viktiga termer:Here are other important terms:

  • Klientorganisation: En klient är den organisation som äger och hanterar en specifik instans av Microsoft-molntjänster.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Det används oftast för att referera till uppsättningen med Azure och Office 365-tjänster för en organisation.It’s most often used to refer to the set of Azure and Office 365 services for an organization.

  • Vault-ägaren: Vault-ägaren kan skapa ett nyckelvalv och få fullständig åtkomst och kontroll över den.Vault owner: A vault owner can create a key vault and gain full access and control over it. Valvägaren kan även konfigurera granskning för att logga vem som använder hemligheter och nycklar.The vault owner can also set up auditing to log who accesses secrets and keys. Administratörer kan styra nyckelns livscykel.Administrators can control the key lifecycle. De kan distribuera en ny version av nyckeln, säkerhetskopiera den och utföra andra relaterade uppgifter.They can roll to a new version of the key, back it up, and do related tasks.

  • Valvet konsument: Valvet konsument kan utföra åtgärder på tillgångar i nyckelvalvet när vault-ägaren beviljar konsument-åtkomst.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. Vilka åtgärder som är tillgängliga beror på vilka behörigheter som beviljats.The available actions depend on the permissions granted.

  • Resurs: En resurs är ett hanterbart objekt som är tillgänglig via Azure.Resource: A resource is a manageable item that's available through Azure. Vanliga exempel är virtuell dator, storage-konto, webbapp, databas och virtuella nätverk.Common examples are virtual machine, storage account, web app, database, and virtual network. Det finns många fler.There are many more.

  • Resursgrupp: En resursgrupp är en container som innehåller relaterade resurser för en Azure-lösning.Resource group: A resource group is a container that holds related resources for an Azure solution. Resursgruppen kan innehålla alla resurser för lösningen, eller endast de resurser som du vill hantera som en grupp.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. Du bestämmer hur du vill allokera resurser till resursgrupper baserat på vad som passar din organisation bäst.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.

  • Tjänstens huvudnamn: Ett huvudnamn för Azure-tjänsten är en säkerhetsidentitet som appar som skapats av användare, tjänster och automatiseringsverktyg använder för att få åtkomst till specifika Azure-resurser.Service principal: An Azure service principal is a security identity that user-created apps, services, and automation tools use to access specific Azure resources. Se det som en ”användaridentitet” (användarnamn och lösenord eller certifikat) med en viss roll och väl kontrollerad behörighet.Think of it as a "user identity" (username and password or certificate) with a specific role, and tightly controlled permissions. Ett huvudnamn för tjänsten bör bara behöva utföra vissa åtgärder, till skillnad från en allmän användaridentitet.A service principal should only need to do specific things, unlike a general user identity. Det ger bättre säkerhet om beviljas endast den lägsta behörighetsnivån som krävs för att utföra sina administrativa uppgifter.It improves security if you grant it only the minimum permission level that it needs to perform its management tasks.

  • Azure Active Directory (Azure AD): Azure AD är Active Directory-tjänsten för en klient.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Varje katalog har en eller flera domäner.Each directory has one or more domains. En katalog kan ha många prenumerationer som är associerade med den, men endast en klientorganisation.A directory can have many subscriptions associated with it, but only one tenant.

  • Azure klient-ID: En klient-ID är ett unikt sätt att identifiera en Azure AD-instans i en Azure-prenumeration.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.

  • Hanterade identiteter: Azure Key Vault är ett sätt att lagra autentiseringsuppgifter samt andra nycklar och hemligheter på ett säkert sätt, men din kod måste autentiseras till Key Vault för att kunna hämta dem.Managed identities: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Om du använder en hanterad identitet blir lösa problemet enklare genom att ge Azure-tjänster en automatiskt hanterad identitet i Azure AD.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. Du kan använda den här identiteten för att autentisera till Key Vault eller alla tjänster som stöder Azure AD-autentisering utan att behöva ha några autentiseringsuppgifter i koden.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Mer information finns i följande bild och översikt över hanterade identiteter för Azure-resurser.For more information, see the following image and the overview of managed identities for Azure resources.

    Diagram över hur hanterade identiteter för Azure-resurser

AutentiseringAuthentication

För att göra någon åtgärd med Key Vault, måste du först autentisera till den.To do any operations with Key Vault, you first need to authenticate to it. Det finns tre sätt att autentisera till Key Vault:There are three ways to authenticate to Key Vault:

  • Hanterade identiteter för Azure-resurser: När du distribuerar en app på en virtuell dator i Azure kan tilldela du en identitet till din virtuella dator som har åtkomst till Key Vault.Managed identities for Azure resources: When you deploy an app on a virtual machine in Azure, you can assign an identity to your virtual machine that has access to Key Vault. Du kan också tilldela identiteter som andra Azure-resurser.You can also assign identities to other Azure resources. Fördelen med den här metoden är att appen eller tjänsten inte är hanterar rotation för den första hemligheten.The benefit of this approach is that the app or service isn't managing the rotation of the first secret. Azure roterar automatiskt identiteten.Azure automatically rotates the identity. Vi rekommenderar den här metoden som bästa praxis.We recommend this approach as a best practice.
  • Tjänsten huvudnamn och certifikatet: Du kan använda ett huvudnamn för tjänsten och en tillhörande certifikat som har åtkomst till Key Vault.Service principal and certificate: You can use a service principal and an associated certificate that has access to Key Vault. Vi rekommenderar inte den här metoden eftersom programmets ägare eller utvecklare måste rotera certifikatet.We don't recommend this approach because the application owner or developer must rotate the certificate.
  • Tjänstens huvudnamn och hemlighet: Men du kan använda ett huvudnamn för tjänsten och en hemlighet för att autentisera till Key Vault, rekommenderas det inte.Service principal and secret: Although you can use a service principal and a secret to authenticate to Key Vault, we don't recommend it. Det är svårt att rotera automatiskt bootstrap hemligheten som används för att autentisera till Key Vault.It's hard to automatically rotate the bootstrap secret that's used to authenticate to Key Vault.

NyckelvalvrollerKey Vault roles

Använd följande tabell för att bättre förstå hur Key Vault kan hjälpa utvecklare och säkerhetsadministratörer.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RollRole ProblembeskrivningProblem statement Åtgärdas av Azure Key VaultSolved by Azure Key Vault
Azure-programutvecklareDeveloper for an Azure application ”Jag vill skriva ett program för Azure som använder nycklar för signering och kryptering.“I want to write an application for Azure that uses keys for signing and encryption. Men jag vill dessa nycklar ska vara externa från mitt program så att lösningen passar ett geografiskt distribuerat program.But I want these keys to be external from my application so that the solution is suitable for an application that's geographically distributed.

Jag vill att de här nycklarna och hemligheterna ska skyddas utan att behöva skriva koden själv.I want these keys and secrets to be protected, without having to write the code myself. Jag vill också att nycklarna och hemligheterna ska vara lätta för mig att använda från mina program med optimala prestanda."I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ Nycklar lagras i ett valv och anropas av en URI vid behov.√ Keys are stored in a vault and invoked by URI when needed.

√ Nycklar skyddas av Azure med branschstandardalgoritmer, nyckellängder och maskinvarusäkerhetsmoduler.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ Nycklar bearbetas i HSM-modulerna som finns i samma Azure-datacenter som programmen.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Denna metod ger bättre tillförlitlighet och kortare svarstider än om nycklarna finns på en annan plats, till exempel lokalt.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
Utvecklare av programvara som en tjänst (SaaS)Developer for software as a service (SaaS) ”Jag vill inte ha ansvaret för mina kunders klientnycklar och hemligheter.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Jag vill att kunderna ska äga och hantera sina nycklar så att jag kan koncentrera mig på att göra det jag gör bäst, dvs. erbjuda kärnprogramfunktioner.”I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Kunder kan importera sina egna nycklar till Azure och hantera dem.√ Customers can import their own keys into Azure, and manage them. När ett SaaS-program behöver utföra kryptografiska åtgärder med hjälp av kunders nycklar, detta Key Vault åt programmet.When a SaaS application needs to perform cryptographic operations by using customers’ keys, Key Vault does these operations on behalf of the application. Programmet kan inte se kundernas nycklar.The application does not see the customers’ keys.
SäkerhetschefChief security officer (CSO) ”Jag vill vara säker på att våra program uppfyller kraven för HSM-moduler med FIPS 140-2 Level 2 för säker nyckelhantering.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Jag vill vara säker på att min organisation har kontrollen över nycklarnas livscykel och kan övervaka nyckelanvändningen.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

Och även om vi använder flera Azure-tjänster och Azure-resurser vill jag hantera nycklarna från en enda plats i Azure.”And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ HSM-modulerna är FIPS 140-2 Level 2-verifierade.√ HSMs are FIPS 140-2 Level 2 validated.

√ Key Vault är utformat så att Microsoft inte kan se eller extrahera dina nycklar.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Nyckelanvändningen loggas i nära realtid.√ Key usage is logged in near real time.

√ Valvet tillhandahåller ett enda gränssnitt, oavsett hur många valv du har i Azure, vilka regioner de stöder och vilka program använder dem.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Vem som helst med en Azure-prenumeration kan skapa och använda nyckelvalv.Anybody with an Azure subscription can create and use key vaults. Även om Key Vault hjälper utvecklare och säkerhetsadministratörer, kan de implementeras och hanteras av en organisations administratör som hanterar andra Azure-tjänster.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization’s administrator who manages other Azure services. Den här administratören kan logga in med en Azure-prenumeration, till exempel skapa ett valv för organisationen där du vill lagra nycklar och sedan utföra olika driftåtgärder som dessa:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks like these:

  • Skapa eller importera en nyckel eller hemlighet.Create or import a key or secret
  • Återkalla eller ta bort en nyckel eller hemlighet.Revoke or delete a key or secret
  • Ge användare eller program åtkomst till nyckelvalvet, så att de kan hantera eller använda sina nycklar och hemligheter.Authorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Konfigurera nyckelanvändningen (till exempel signera eller kryptera).Configure key usage (for example, sign or encrypt)
  • Övervaka nyckelanvändningen.Monitor key usage

Den här administratören kan sedan utvecklare URI: er för att anropa från sina program.This administrator then gives developers URIs to call from their applications. Den här administratören ger också nyckelanvändning loggningsinformation till säkerhetsadministratören.This administrator also gives key usage logging information to the security administrator.

Översikt över hur Azure Key Vault fungerar

Utvecklare kan också hantera nycklar direkt, med hjälp av API:er.Developers can also manage the keys directly, by using APIs. Mer information finns i guiden för Key Vault-utvecklare.For more information, see the Key Vault developer's guide.

Nästa stegNext steps

Lär dig hur du skydda ditt valv.Learn how to secure your vault.

Azure Key Vault är tillgängligt i de flesta regioner.Azure Key Vault is available in most regions. Mer information finns på sidan med Key Vault-priser.For more information, see the Key Vault pricing page.