Azure Key Vault anahtarlar, gizlilikler ve sertifikalara genel bakışAzure Key Vault keys, secrets and certificates overview

Azure Key Vault, Microsoft Azure uygulamaların ve kullanıcıların çeşitli türlerdeki gizli/anahtar verileri depolamasına ve kullanmasına olanak sağlar.Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data. Key Vault kaynak sağlayıcısı iki kaynak türünü destekler: kasa ve yönetilen HSM 'ler.Key Vault resource provider supports two resource types: vaults and managed HSMs.

Taban URL 'SI için DNS sonekleriDNS suffixes for base URL

Aşağıdaki tabloda, çeşitli bulut ortamlarında kasa ve yönetilen HSM havuzları için veri düzlemi uç noktası tarafından kullanılan temel URL DNS son eki gösterilmektedir.The table below shows the base URL DNS suffix used by the data-plane endpoint for vaults and managed HSM pools in various cloud environments.

Bulut ortamıCloud environment Kasa için DNS son ekiDNS suffix for vaults Yönetilen HSM 'ler için DNS son ekiDNS suffix for managed HSMs
Azure bulutuAzure Cloud . vault.azure.net.vault.azure.net . managedhsm.azure.net.managedhsm.azure.net
Azure Çin bulutuAzure China Cloud . vault.azure.cn.vault.azure.cn DesteklenmezNot supported
Azure ABD KamuAzure US Government . vault.usgovcloudapi.net.vault.usgovcloudapi.net DesteklenmezNot supported
Azure Almanya bulutuAzure German Cloud . vault.microsoftazure.de.vault.microsoftazure.de DesteklenmezNot supported

Nesne türleriObject types

Aşağıdaki tabloda, taban URL 'sindeki nesne türleri ve bunların son ekleri gösterilmektedir.The table below shows object types and their suffixes in the base URL.

Nesne türüObject type URL son ekiURL Suffix KasalarVaults Yönetilen HSM havuzlarıManaged HSM Pools
Şifreleme anahtarlarıCryptographic keys
HSM ile korunan anahtarlarHSM-protected keys /Keys/keys DesteklenirSupported DesteklenirSupported
Yazılım korumalı anahtarlarSoftware-protected keys /Keys/keys DesteklenirSupported DesteklenmezNot supported
Diğer nesne türleriOther object types
Gizli DizilerSecrets /gizlilikler/secrets DesteklenirSupported DesteklenmezNot supported
SertifikalarCertificates /Certificates/certificates DesteklenirSupported DesteklenmezNot supported
Depolama hesabı anahtarlarıStorage account keys /Storage/storage DesteklenirSupported DesteklenmezNot supported
  • Şifreleme anahtarları: birden çok anahtar türünü ve algoritmaları destekler ve yazılım KORUMALı ve HSM korumalı anahtarların kullanımını sunar.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of software-protected and HSM-protected keys. Daha fazla bilgi için bkz. anahtarlar hakkında.For more information, see About keys.
  • Gizlilikler: parolalar ve veritabanı bağlantı dizeleri gibi güvenli parolaların depolanmasını sağlar.Secrets: Provides secure storage of secrets, such as passwords and database connection strings. Daha fazla bilgi için bkz. gizlilikler hakkında.For more information, see About secrets.
  • Sertifikalar: anahtarların ve parolaların üzerine inşa edilen sertifikaları destekler ve otomatik yenileme özelliği ekler.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature. Daha fazla bilgi için bkz. Sertifikalar hakkında.For more information, see About certificates.
  • Azure depolama hesabı anahtarları: sizin Için bir Azure depolama hesabı anahtarlarını yönetebilir.Azure Storage account keys: Can manage keys of an Azure Storage account for you. Dahili olarak, Key Vault anahtarları Azure Storage hesabıyla listeleyebilir (eşitleyebilir) ve anahtarları düzenli olarak yeniden oluşturabilir (döndürün).Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically. Daha fazla bilgi için bkz. Key Vault depolama hesabı anahtarlarını yönetme.For more information, see Manage storage account keys with Key Vault.

Key Vault hakkında daha fazla genel bilgi için bkz. Azure Key Vault hakkında.For more general information about Key Vault, see About Azure Key Vault. Yönetilen HSM havuzları hakkında daha fazla bilgi için bkz. Azure Key Vault Managed HSM nedir?For more information about Managed HSM pools, see What is Azure Key Vault Managed HSM?

Veri türleriData types

Anahtarlar, şifreleme ve imzalama için ilgili veri türleri için JOTE belirtimlerine bakın.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algoritma -anahtar işlemi için desteklenen bir algoritma; örneğin, RSA1_5algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • şifreli-değer -şifre metin Sekizlilileri, Base64URL kullanarak kodlanmışciphertext-value - cipher text octets, encoded using Base64URL
  • Özet-değer -Base64URL kullanılarak kodlanan karma algoritmanın çıkışıdigest-value - the output of a hash algorithm, encoded using Base64URL
  • anahtar türü -desteklenen anahtar türlerinden biri, örneğin RSA (Rivest-Shamir-Adliman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • düz metin-değer -düz metin sekizlik, Base64URL kullanılarak kodlanırplaintext-value - plaintext octets, encoded using Base64URL
  • imza-değer -Base64URL kullanılarak kodlanan imza algoritmasının çıkışısignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL -a BASE64URL [RFC4648] kodlamalı ikili değerbase64URL - a Base64URL [RFC4648] encoded binary value
  • Boolean -true veya falseboolean - either true or false
  • Kimlik -Azure Active Directory bir KIMLIK (AAD).Identity - an identity from Azure Active Directory (AAD).
  • Intdate -belirtilen UTC tarih/saatine kadar 1970-01-01T0:0: 0z UTC 'den saniye sayısını temsil eden bir JSON ondalık değeri.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Genel ve UTC 'de tarih/saat ile ilgili ayrıntılar için bkz. RFC3339.See RFC3339 for details regarding date/times, in general and UTC in particular.

Nesneler, tanımlayıcılar ve sürüm oluşturmaObjects, identifiers, and versioning

Key Vault depolanan nesneler, bir nesnenin yeni bir örneği oluşturulduğunda sürümlüdür.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Her sürüme benzersiz bir tanımlayıcı ve URL atanır.Each version is assigned a unique identifier and URL. Bir nesne ilk oluşturulduğunda, benzersiz bir sürüm tanımlayıcısı verilir ve nesnenin geçerli sürümü olarak işaretlenir.When an object is first created, it's given a unique version identifier and marked as the current version of the object. Aynı nesne adına sahip yeni bir örnek oluşturmak, yeni nesneye benzersiz bir sürüm tanımlayıcısı sağlar ve bunun geçerli sürüm olmasına neden olur.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Key Vault nesneler, bir sürüm belirtilerek veya nesnenin geçerli sürümündeki işlemler için sürüm dışarıda bırakarak çözülebilir.Objects in Key Vault can be addressed by specifying a version or by omitting version for operations on current version of the object. Örneğin, adı olan bir anahtar verildiğinde MasterKey , bir sürüm belirtmeden işlemleri gerçekleştirmek sistemin kullanılabilir en son sürümü kullanmasına neden olur.For example, given a Key with the name MasterKey, performing operations without specifying a version causes the system to use the latest available version. Sürüme özgü tanımlayıcıyla işlem gerçekleştirmek sistemin nesnenin o belirli sürümünü kullanmasına neden olur.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Kasa adı ve nesne adıVault-name and Object-name

Nesneler bir URL kullanarak Key Vault içinde benzersiz şekilde tanımlanır.Objects are uniquely identified within Key Vault using a URL. Coğrafi konumdan bağımsız olarak sistemdeki iki nesne aynı URL 'ye sahip değildir.No two objects in the system have the same URL, regardless of geo-location. Bir nesnenin tüm URL 'SI, nesne tanımlayıcısı olarak adlandırılır.The complete URL to an object is called the Object Identifier. URL, Key Vault, nesne türü, Kullanıcı tarafından sağlanmış nesne adı ve bir nesne sürümü tanımlayan bir önekden oluşur.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. Nesne adı büyük/küçük harfe duyarlıdır ve sabittir.The Object Name is case-insensitive and immutable. Nesne sürümünü içermeyen tanımlayıcılar temel tanımlayıcılar olarak adlandırılır.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Daha fazla bilgi için bkz. kimlik doğrulaması, istekler ve yanıtlarFor more information, see Authentication, requests, and responses

Bir nesne tanımlayıcısının aşağıdaki genel biçimi vardır (kapsayıcı türüne göre):An object identifier has the following general format (depending on container type):

  • Kasa için: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}For Vaults: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • YÖNETILEN HSM havuzları için: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}For Managed HSM pools: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Not

Her kapsayıcı türü tarafından desteklenen nesne türleri için bkz. nesne türü desteği .See Object type support for types of objects supported by each container type.

Konum:Where:

ÖğeElement AçıklamaDescription
vault-name veya hsm-namevault-name or hsm-name Microsoft Azure Key Vault hizmetindeki bir kasanın veya yönetilen bir HSM havuzunun adı.The name for a vault or an Managed HSM pool in the Microsoft Azure Key Vault service.

Kasa adları ve yönetilen HSM havuzu adları Kullanıcı tarafından seçilir ve genel olarak benzersizdir.Vault names and Managed HSM pool names are selected by the user and are globally unique.

Kasa adı ve yönetilen HSM havuzu adı, yalnızca 0-9, a-z, A-Z ve-içeren bir 3-24 karakter dizesi olmalıdır.Vault name and Managed HSM pool name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Nesnenin türü, "anahtarlar", "gizlilikler" veya ' Certificates '.The type of the object, "keys", "secrets", or 'certificates'.
object-name object-name, İçin Kullanıcı tarafından sağlanmış bir addır ve bir Key Vault içinde benzersiz olmalıdır.An object-name is a user provided name for and must be unique within a Key Vault. Ad, bir harfle başlayan ve yalnızca 0-9, a-z, A-Z ve-içeren bir 1-127 karakter dizesi olmalıdır.The name must be a 1-127 character string, starting with a letter and containing only 0-9, a-z, A-Z, and -.
object-version , object-version İsteğe bağlı olarak bir nesnenin benzersiz bir sürümünü ele almak için kullanılan, sistem tarafından oluşturulan 32 karakter dizesi tanımlayıcısıdır.An object-version is a system-generated, 32 character string identifier that is optionally used to address a unique version of an object.

Sonraki adımlarNext steps