Om Azure Key Vault-hemligheter
Key Vault säker lagring av allmänna hemligheter, till exempel lösenord och databasanslutningssträngar.
Ur ett utvecklarperspektiv kan du Key Vault API:er accepterar och returnerar hemliga värden som strängar. Internt lagrar Key Vault och hanterar hemligheter som sekvenser med oktett (8-bitars byte), med en maximal storlek på 25 000 byte vardera. Tjänsten Key Vault inte semantik för hemligheter. Den accepterar bara data, krypterar dem, lagrar dem och returnerar en hemlig identifierare ("id"). Identifieraren kan användas för att hämta hemligheten vid ett senare tillfälle.
För data som är mycket känsliga bör klienter överväga ytterligare skyddslager för data. Ett exempel är kryptering av data med hjälp av en separat skyddsnyckel före lagring i Key Vault.
Key Vault också stöd för ett contentType-fält för hemligheter. Klienter kan ange innehållstypen för en hemlighet för att hjälpa till att tolka hemliga data när de hämtas. Det här fältet får vara högst 255 tecken långt. Den föreslagna användningen är ett tips för att tolka hemliga data. En implementering kan till exempel lagra både lösenord och certifikat som hemligheter och sedan använda det här fältet för att särskilja. Det finns inga fördefinierade värden.
Kryptering
Alla hemligheter i din Key Vault lagras krypterade. Key Vault krypterar hemligheter i vila med en hierarki med krypteringsnycklar, där alla nycklar i hierarkin skyddas av moduler som är FIPS 140-2-kompatibla. Den här krypteringen är transparent och kräver ingen åtgärd från användaren. Tjänsten Azure Key Vault krypterar dina hemligheter när du lägger till dem och dekrypterar dem automatiskt när du läser dem.
Krypterings lövnyckeln i nyckelhierarkin är unik för varje nyckelvalv. Krypteringsrotnyckeln för nyckelhierarkin är unik för säkerhetsvärlden och dess skyddsnivå varierar mellan olika regioner:
- Kina: rotnyckeln skyddas av en modul som har verifierats för FIPS 140-2 Level 1.
- Andra regioner: rotnyckeln skyddas av en modul som har verifierats för FIPS 140-2 Level 2 eller senare.
Hemliga attribut
Utöver hemliga data kan följande attribut anges:
- exp: IntDate, valfritt, standard är för alltid. Attributet exp (förfallotid) identifierar den förfallotid på eller efter vilken hemliga data INTE ska hämtas, förutom i vissa situationer. Det här fältet är endast i informationssyfte eftersom det informerar användare av nyckelvalvstjänsten om att en viss hemlighet inte får användas. Värdet MÅSTE vara ett tal som innehåller ett IntDate-värde.
- nbf: IntDate, valfritt, standard är nu. Attributet nbf (inte före) anger den tid innan hemliga data ska hämtas, förutom i vissa situationer. Det här fältet är endast i informationssyfte. Värdet MÅSTE vara ett tal som innehåller ett IntDate-värde.
- enabled: boolean, optional, default is true. Det här attributet anger om hemliga data kan hämtas. Det aktiverade attributet används tillsammans med nbf och exp när en åtgärd inträffar mellan nbf och exp. Det tillåts bara om aktiverat har angetts till true. Åtgärder utanför nbf- och exp-fönstret tillåts inte automatiskt, förutom i vissa situationer.
Det finns ytterligare skrivskyddade attribut som ingår i alla svar som innehåller hemliga attribut:
- created: IntDate, valfritt. Attributet som skapades anger när den här versionen av hemligheten skapades. Det här värdet är null för hemligheter som skapats före tillägget av det här attributet. Värdet måste vara ett tal som innehåller ett IntDate-värde.
- updated: IntDate, valfritt. Det uppdaterade attributet anger när den här versionen av hemligheten uppdaterades. Det här värdet är null för hemligheter som senast uppdaterades före tillägget av det här attributet. Värdet måste vara ett tal som innehåller ett IntDate-värde.
Information om vanliga attribut för varje objekttyp i nyckelvalvet finns i Azure Key Vault, hemligheter och certifikat – översikt
Datum/tid-kontrollerade åtgärder
En hemlighets get-åtgärd fungerar för hemligheter som inte är giltiga än och som har upphört att gälla, utanför nbf / exp-fönstret. Anrop av en hemlighets get-åtgärd för en icke-giltig hemlighet kan användas i testsyfte. Hämtning (hämta) en utgången hemlighet kan användas för återställningsåtgärder.
Åtkomstkontroll till hemlighet
Access Control för hemligheter som hanteras i Key Vault tillhandahålls på nivån för den Key Vault som innehåller dessa hemligheter. Principen för åtkomstkontroll för hemligheter skiljer sig från åtkomstkontrollprincipen för nycklar i samma Key Vault. Användare kan skapa ett eller flera valv för att innehålla hemligheter och måste underhålla scenariot lämplig segmentering och hantering av hemligheter.
Följande behörigheter kan användas per huvudnamn i åtkomstkontrollposten för hemligheter i ett valv och spegla noga de åtgärder som tillåts för ett hemligt objekt:
Behörigheter för hemlighetshanteringsåtgärder
- hämta: Läsa en hemlighet
- lista: Lista hemligheterna eller versionerna av en hemlighet som lagras i en Key Vault
- set: Skapa en hemlighet
- delete: Ta bort en hemlighet
- recover: Återställa en borttagna hemlighet
- säkerhetskopiering: Säkerhetskopiera en hemlighet i ett nyckelvalv
- restore :Restore a backed up secret to a key vault (Återställa en säkerhetskopierad hemlighet till ett nyckelvalv)
Behörigheter för privilegierade åtgärder
- rensa: Rensa (ta bort permanent) en borttagna hemlighet
Mer information om hur du arbetar med hemligheter finns i Hemlighetsåtgärder i Key Vault REST API referens. Information om hur du etablerar behörigheter finns i Valv – Skapa eller Uppdatera och valv – Uppdatera åtkomstprincip.
Anvisningar för att styra åtkomsten i Key Vault:
- Tilldela en Key Vault åtkomstprincip med HJÄLP av CLI
- Tilldela en Key Vault åtkomstprincip med PowerShell
- Tilldela en Key Vault åtkomstprincip med hjälp av Azure Portal
- Ge åtkomst Key Vault, certifikat och hemligheter med rollbaserad åtkomstkontroll i Azure
Hemliga taggar
Du kan ange ytterligare programspecifika metadata i form av taggar. Key Vault har stöd för upp till 15 taggar, där var och en kan ha ett namn på 256 tecken och ett värde på 256 tecken.
Anteckning
Taggar kan läsas av en anropare om de har listan eller får behörighet.
Användningsscenarier
| När du ska använda detta | Exempel |
|---|---|
| Lagra, hantera livscykeln på ett säkert sätt och övervaka autentiseringsuppgifter för tjänst-till-tjänst-kommunikation som lösenord, åtkomstnycklar och klienthemligheter för tjänstens huvudnamn. | - Använda Azure Key Vault med en virtuell dator - Använda Azure Key Vault med en Azure-webbapp |