Om Azure Key Vault hemligheterAbout Azure Key Vault secrets

Key Vault ger säker lagring av allmänna hemligheter, t. ex. lösen ord och databas anslutnings strängar.Key Vault provides secure storage of generic secrets, such as passwords and database connection strings.

I ett utvecklings perspektiv kan Key Vault API: er acceptera och returnera hemliga värden som strängar.From a developer's perspective, Key Vault APIs accept and return secret values as strings. Internt Key Vault lagrar och hanterar hemligheter som sekvenser av oktetter (8-bitars byte), med en maximal storlek på 25k byte.Internally, Key Vault stores and manages secrets as sequences of octets (8-bit bytes), with a maximum size of 25k bytes each. Tjänsten Key Vault tillhandahåller inte semantik för hemligheter.The Key Vault service doesn't provide semantics for secrets. Den accepterar bara data, krypterar den, lagrar den och returnerar en hemlig identifierare ("ID").It merely accepts the data, encrypts it, stores it, and returns a secret identifier ("id"). Identifieraren kan användas för att hämta hemligheten vid ett senare tillfälle.The identifier can be used to retrieve the secret at a later time.

För data som är mycket känsliga bör klienter överväga ytterligare skyddslager för data.For highly sensitive data, clients should consider additional layers of protection for data. Ett exempel är kryptering av data med hjälp av en separat skyddsnyckel före lagring i Key Vault.Encrypting data using a separate protection key prior to storage in Key Vault is one example.

Key Vault stöder också ett contentType-fält för hemligheter.Key Vault also supports a contentType field for secrets. Klienter kan ange innehålls typen för en hemlighet för att under lätta tolkningen av hemliga data när den hämtas.Clients may specify the content type of a secret to assist in interpreting the secret data when it's retrieved. Den maximala längden för det här fältet är 255 tecken.The maximum length of this field is 255 characters. Det finns inga fördefinierade värden.There are no pre-defined values. Den föreslagna användningen är som ett tips för att tolka hemliga data.The suggested usage is as a hint for interpreting the secret data. Till exempel kan en implementering lagra både lösen ord och certifikat som hemligheter, och sedan använda det här fältet för att skilja.For instance, an implementation may store both passwords and certificates as secrets, then use this field to differentiate. Det finns inga fördefinierade värden.There are no predefined values.

KrypteringEncryption

Alla hemligheter i Key Vault lagras krypterade.All secrets in your Key Vault are stored encrypted. Den här krypteringen är transparent och ingen åtgärd krävs från användaren.This encryption is transparent, and requires no action from the user. Tjänsten Azure Key Vault krypterar dina hemligheter när du lägger till dem och dekrypterar dem automatiskt när du läser dem.The Azure Key Vault service encrypts your secrets when you add them, and decrypts them automatically when you read them. Krypterings nyckeln är unik för varje nyckel valv.The encryption key is unique to each key vault.

Hemliga attributSecret attributes

Utöver hemliga data kan följande attribut anges:In addition to the secret data, the following attributes may be specified:

  • exp: IntDate, valfritt, standard är för alltid.exp: IntDate, optional, default is forever. Attributet exp (förfallo tid) anger förfallo tid för eller efter vilken hemliga data inte ska hämtas, förutom i särskilda situationer.The exp (expiration time) attribute identifies the expiration time on or after which the secret data SHOULD NOT be retrieved, except in particular situations. Det här fältet används endast i informations syfte eftersom det informerar användare av Key Vault-tjänsten att en viss hemlighet inte får användas.This field is for informational purposes only as it informs users of key vault service that a particular secret may not be used. Värdet måste vara ett tal som innehåller ett IntDate-värde.Its value MUST be a number containing an IntDate value.
  • NBF: IntDate, valfritt, standard är nu.nbf: IntDate, optional, default is now. Attributet NBF (inte före) anger den tid före vilken hemliga data inte ska hämtas, förutom i särskilda situationer.The nbf (not before) attribute identifies the time before which the secret data SHOULD NOT be retrieved, except in particular situations. Det här fältet används endast i informations syfte.This field is for informational purposes only. Värdet måste vara ett tal som innehåller ett IntDate-värde.Its value MUST be a number containing an IntDate value.
  • aktive rad: boolesk, valfritt, standardvärdet är True.enabled: boolean, optional, default is true. Det här attributet anger om hemliga data kan hämtas.This attribute specifies whether the secret data can be retrieved. Det aktiverade attributet används tillsammans med NBF och exp när en åtgärd sker mellan NBF och exp, men det är bara tillåtet om aktive rad är inställt på Sant.The enabled attribute is used in conjunction with nbf and exp when an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Åtgärder utanför NBF och exp -fönstret tillåts inte automatiskt, förutom i vissa situationer.Operations outside the nbf and exp window are automatically disallowed, except in particular situations.

Det finns ytterligare skrivskyddade attribut som ingår i alla svar som innehåller hemliga attribut:There are additional read-only attributes that are included in any response that includes secret attributes:

  • skapad: IntDate, valfritt.created: IntDate, optional. Attributet created anger när den här versionen av hemligheten skapades.The created attribute indicates when this version of the secret was created. Det här värdet är null för hemligheter som skapats innan det här attributet läggs till.This value is null for secrets created prior to the addition of this attribute. Värdet måste vara ett tal som innehåller ett IntDate-värde.Its value must be a number containing an IntDate value.
  • uppdaterad: IntDate, valfritt.updated: IntDate, optional. Det uppdaterade attributet indikerar när den här versionen av hemligheten uppdaterades.The updated attribute indicates when this version of the secret was updated. Det här värdet är null för hemligheter som senast uppdaterades innan det här attributet lades till.This value is null for secrets that were last updated prior to the addition of this attribute. Värdet måste vara ett tal som innehåller ett IntDate-värde.Its value must be a number containing an IntDate value.

Information om gemensamma attribut för varje nyckel valv objekt typ finns i Azure Key Vault nycklar, hemligheter och certifikat översiktFor information on common attributes for each key vault object type, see Azure Key Vault keys, secrets and certificates overview

Kontrollerade åtgärder för datum/tidDate-time controlled operations

En hemlighet för Get -åtgärden fungerar för ej ännu giltiga och utgångna hemligheter, utanför NBF / exp -fönstret.A secret's get operation will work for not-yet-valid and expired secrets, outside the nbf / exp window. Att anropa en hemlig åtgärd för hämtning , för en icke-giltig hemlighet, kan användas i test syfte.Calling a secret's get operation, for a not-yet-valid secret, can be used for test purposes. Hämtning av (få fram) en utgånget hemligt kan användas för återställnings åtgärder.Retrieving (get ting) an expired secret, can be used for recovery operations.

Åtkomstkontroll till hemlighetSecret access control

Access Control för hemligheter som hanteras i Key Vault ges på nivån för den Key Vault som innehåller dessa hemligheter.Access Control for secrets managed in Key Vault, is provided at the level of the Key Vault that contains those secrets. Principen för åtkomst kontroll för hemligheter är distinkt från åtkomst kontroll principen för nycklar i samma Key Vault.The access control policy for secrets, is distinct from the access control policy for keys in the same Key Vault. Användare kan skapa ett eller flera valv för att hålla hemligheter, och de krävs för att upprätthålla lämplig segmentering och hantering av hemligheter.Users may create one or more vaults to hold secrets, and are required to maintain scenario appropriate segmentation and management of secrets.

Följande behörigheter kan användas, per huvud konto, i åtkomst kontroll posten för hemligheter i ett valv, och i nära spegling av de åtgärder som tillåts på ett hemligt objekt:The following permissions can be used, on a per-principal basis, in the secrets access control entry on a vault, and closely mirror the operations allowed on a secret object:

  • Behörigheter för hemliga hanterings åtgärderPermissions for secret management operations

    • Hämta: Läs en hemlighetget: Read a secret
    • lista: visar en lista över hemligheter eller versioner av en hemlighet som lagras i en Key Vaultlist: List the secrets or versions of a secret stored in a Key Vault
    • Ange: skapa en hemlighetset: Create a secret
    • ta bort: ta bort en hemlighetdelete: Delete a secret
    • återställa: Återställ en borttagen hemlighetrecover: Recover a deleted secret
    • säkerhets kopiering: säkerhetskopiera en hemlighet i ett nyckel valvbackup: Back up a secret in a key vault
    • återställning: återställa en säkerhetskopierad hemlighet till ett nyckel valvrestore: Restore a backed up secret to a key vault
  • Behörigheter för privilegierade åtgärderPermissions for privileged operations

    • Rensa: Rensa (ta bort permanent) en borttagen hemlighetpurge: Purge (permanently delete) a deleted secret

Mer information om hur du arbetar med hemligheter finns i avsnittet om hemliga åtgärder i referensen Key Vault REST API.For more information on working with secrets, see Secret operations in the Key Vault REST API reference. Information om hur du etablerar behörigheter finns i valv – skapa eller uppdatera och valv – uppdatera åtkomst princip.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Instruktions guider för att kontrol lera åtkomst i Key Vault:How-to guides to control access in Key Vault:

Hemliga TaggarSecret tags

Du kan ange ytterligare programspecifika metadata i form av taggar.You can specify additional application-specific metadata in the form of tags. Key Vault stöder upp till 15 taggar, som var och en kan ha ett 256-namn och ett värde på 256.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Anteckning

Taggarna kan läsas av en anropare om de har listan eller Get -behörighet.Tags are readable by a caller if they have the list or get permission.

Azure Storage konto nyckel hanteringAzure Storage account key management

Key Vault kan hantera Azure Storage-konto nycklar:Key Vault can manage Azure storage account keys:

  • Internt Key Vault kan ange (Sync) nycklar med ett Azure Storage-konto.Internally, Key Vault can list (sync) keys with an Azure storage account.
  • Key Vault återskapas (roterar) nycklarna med jämna mellanrum.Key Vault regenerates (rotates) the keys periodically.
  • Nyckel värden returneras aldrig som svar på anroparen.Key values are never returned in response to caller.
  • Key Vault hanterar nycklar för både lagrings konton och klassiska lagrings konton.Key Vault manages keys of both storage accounts and classic storage accounts.

Mer information finns i:For more information, see:

Åtkomst kontroll för lagrings kontoStorage account access control

Följande behörigheter kan användas när du auktoriserar en användare eller ett programs huvud konto för att utföra åtgärder på ett hanterat lagrings konto:The following permissions can be used when authorizing a user or application principal to perform operations on a managed storage account:

  • Behörigheter för hanterat lagrings konto och SaS-definitions åtgärderPermissions for managed storage account and SaS-definition operations

    • Get: hämtar information om ett lagrings kontoget: Gets information about a storage account
    • lista: visar en lista över lagrings konton som hanteras av en Key Vaultlist: List storage accounts managed by a Key Vault
    • Uppdatera: uppdatera ett lagrings kontoupdate: Update a storage account
    • ta bort: ta bort ett lagrings kontodelete: Delete a storage account
    • återställa: Återställ ett borttaget lagrings kontorecover: Recover a deleted storage account
    • säkerhets kopiering: säkerhetskopiera ett lagrings kontobackup: Back up a storage account
    • återställa: Återställ ett säkerhetskopierat lagrings konto till en Key Vaultrestore: Restore a backed-up storage account to a Key Vault
    • Ange: skapa eller uppdatera ett lagrings kontoset: Create or update a storage account
    • regeneratekey: återskapa ett angivet nyckel värde för ett lagrings kontoregeneratekey: Regenerate a specified key value for a storage account
    • hämtar till: Hämta information om en SAS-definition för ett lagrings kontogetsas: Get information about a SAS definition for a storage account
    • lister: lista över lagrings-SAS-definitioner för ett lagrings kontolistsas: List storage SAS definitions for a storage account
    • borttagningar: ta bort en SAS-definition från ett lagrings kontodeletesas: Delete a SAS definition from a storage account
    • Setas: skapa eller uppdatera en ny SAS-definition/-attribut för ett lagrings kontosetsas: Create or update a new SAS definition/attributes for a storage account
  • Behörigheter för privilegierade åtgärderPermissions for privileged operations

    • Rensa: Rensa (ta bort permanent) ett hanterat lagrings kontopurge: Purge (permanently delete) a managed storage account

Mer information finns i lagrings konto åtgärder i referensen Key Vault REST API.For more information, see the Storage account operations in the Key Vault REST API reference. Information om hur du etablerar behörigheter finns i valv – skapa eller uppdatera och valv – uppdatera åtkomst princip.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Instruktions guider för att kontrol lera åtkomst i Key Vault:How-to guides to control access in Key Vault:

Nästa stegNext steps