Azure Key Vault temel kavramlarAzure Key Vault basic concepts

Azure Key Vault, gizli dizileri güvenli bir şekilde depolamak ve bunlara erişmek için bir bulut hizmetidir.Azure Key Vault is a cloud service for securely storing and accessing secrets. Gizli dizi, API anahtarları, parolalar, sertifikalar veya şifreleme anahtarları gibi erişimi sıkı şekilde denetlemek istediğiniz her şeydir.A secret is anything that you want to tightly control access to, such as API keys, passwords, certificates, or cryptographic keys. Key Vault hizmet iki tür kapsayıcıyı destekler: kasa ve yönetilen donanım güvenlik modülü (HSM) havuzları.Key Vault service supports two types of containers: vaults and managed hardware security module(HSM) pools. Kasalar, yazılım ve HSM destekli anahtarları, parolaları ve sertifikaları depolamayı destekler.Vaults support storing software and HSM-backed keys, secrets, and certificates. Yönetilen HSM havuzları yalnızca HSM destekli anahtarları destekler.Managed HSM pools only support HSM-backed keys. Tüm ayrıntılar için Azure Key Vault REST API genel bakış bölümüne bakın.See Azure Key Vault REST API overview for complete details.

Diğer önemli terimler şunlardır:Here are other important terms:

  • Kiracı: Kiracı, Microsoft bulut hizmetlerinin belirli bir örneğine sahip olan ve onu yöneten kuruluştur.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Genellikle bir kuruluşun Azure ve Microsoft 365 hizmetleri kümesine başvurmak için kullanılır.It's most often used to refer to the set of Azure and Microsoft 365 services for an organization.

  • Kasa sahibi: Kasa sahibi, anahtar kasası oluşturabilir ve anahtar kasası üzerinde tam erişime ve denetime sahip olabilir.Vault owner: A vault owner can create a key vault and gain full access and control over it. Kasa sahibi, gizli dizilere ve anahtarlara kimlerin eriştiğini günlüğe kaydetmek için belirli denetim özellikleri de ayarlayabilir.The vault owner can also set up auditing to log who accesses secrets and keys. Yöneticiler anahtarların yaşam döngüsünü kontrol edebilir.Administrators can control the key lifecycle. Anahtarı yeni sürüme geçirebilir, yedekleyebilir ve ilgili görevleri gerçekleştirebilirler.They can roll to a new version of the key, back it up, and do related tasks.

  • Kasa tüketicisi: Kasa tüketicisi, kasa sahibi tarafından tüketici erişimi sağlandığında, anahtar kasasındaki varlıklar üzerinde belirli eylemler gerçekleştirebilir.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. Kullanılabilen eylemler verilen izinlere bağlıdır.The available actions depend on the permissions granted.

  • YÖNETILEN HSM yöneticileri: yönetici rolüne atanan kullanıcıların, YÖNETILEN bir HSM havuzu üzerinde tamamen denetimi vardır.Managed HSM Administrators: Users who are assigned the Administrator role have complete control over a Managed HSM pool. Diğer kullanıcılara denetimli erişim vermek için daha fazla rol ataması oluşturabilirler.They can create more role assignments to delegate controlled access to other users.

  • YÖNETILEN HSM şifre Müdürü/Kullanıcı: yönetilen HSM 'deki anahtarları kullanarak şifreleme işlemleri gerçekleştirecek kullanıcılara veya hizmet sorumlularına genellikle atanan yerleşik roller.Managed HSM Crypto Officer/User: Built-in roles that are usually assigned to users or service principals that will perform cryptographic operations using keys in Managed HSM. Şifrelenmiş Kullanıcı yeni anahtarlar oluşturabilir, ancak anahtarları silemez.Crypto User can create new keys, but cannot delete keys.

  • YÖNETILEN HSM şifre hizmeti şifrelemesi: müşterinin yönettiği anahtarla bekleyen verilerin şifrelenmesi için genellikle bir hizmet hesabı yönetilen hizmet kimliğine (örn. depolama hesabı) atanan yerleşik rol.Managed HSM Crypto Service Encryption: Built-in role that is usually assigned to a service accounts managed service identity (e.g. Storage account) for encryption of data at rest with customer managed key.

  • Kaynak: Azure aracılığıyla kullanılan, yönetilebilir bir öğedir.Resource: A resource is a manageable item that's available through Azure. Sanal makine, depolama hesabı, Web uygulaması, veritabanı ve sanal ağ örnekleri yaygın olarak verilebilir.Common examples are virtual machine, storage account, web app, database, and virtual network. Birçok daha vardır.There are many more.

  • Kaynak grubu: Kaynak grubu, Azure çözümleri için ilgili kaynakları bir arada tutan kapsayıcılardır.Resource group: A resource group is a container that holds related resources for an Azure solution. Kaynak grubu bir çözümün tüm kaynaklarını veya yalnızca grup olarak yönetmek istediğiniz kaynakları içerebilir.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. Kuruluş için önemli olan faktörleri temel alarak kaynakları kaynak gruplarına nasıl ayıracağınıza siz karar verirsiniz.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.

  • Güvenlik sorumlusu: Azure Güvenlik sorumlusu, Kullanıcı tarafından oluşturulan uygulamaların, hizmetlerin ve otomasyon araçlarının belirli Azure kaynaklarına erişmek için kullandığı bir güvenlik kimliğidir.Security principal: An Azure security principal is a security identity that user-created apps, services, and automation tools use to access specific Azure resources. Bunu belirli bir role sahip "Kullanıcı kimliği" (Kullanıcı adı ve parola veya sertifika) olarak düşünebilirsiniz ve sıkı denetimli izinlere sahip olmanız gerekir.Think of it as a "user identity" (username and password or certificate) with a specific role, and tightly controlled permissions. Bir güvenlik sorumlusu, genel Kullanıcı kimliğinden farklı olarak yalnızca belirli şeyler yapması gerekir.A security principal should only need to do specific things, unlike a general user identity. Yalnızca, yönetim görevlerini gerçekleştirmesi için ihtiyacı olan en düşük izin düzeyini verirseniz güvenliği geliştirir.It improves security if you grant it only the minimum permission level that it needs to perform its management tasks. Bir uygulama veya hizmetle kullanılan güvenlik sorumlusu özellikle hizmet sorumlusu olarak adlandırılır.A security principal used with an application or service is specifically called a service principal.

  • Azure Active Directory (Azure AD): Azure AD, bir kiracıya ilişkin Active Directory hizmetidir.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Her dizinde bir veya daha fazla etki alanı vardır.Each directory has one or more domains. Dizinde birden fazla abonelik bulunabilir ancak tek bir kiracı olur.A directory can have many subscriptions associated with it, but only one tenant.

  • Azure kiracı kimliği: Kiracı kimliği, bir Azure aboneliğinde Azure AD örneğini tanımlamanın benzersiz bir yoludur.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.

  • Yönetilen kimlikler: Azure Key Vault kimlik bilgilerini ve diğer anahtarları ve gizli dizileri güvenli bir şekilde depolamanıza olanak tanır, ancak kodunuzun bunları almak için Key Vault kimlik doğrulaması gerekir.Managed identities: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Yönetilen bir kimlik kullanmak, Azure hizmetlerine Azure AD 'de otomatik olarak yönetilen bir kimlik vererek bu sorunu daha kolay bir şekilde çözmesini sağlar.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. Bu kimliği kullanarak, Key Vault veya Azure AD kimlik doğrulamasını destekleyen tüm hizmetler için kodunuzda kimlik bilgileri bulunmasına gerek kalmadan kimlik doğrulaması yapabilirsiniz.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Daha fazla bilgi için, aşağıdaki görüntüye ve Azure kaynakları için yönetilen kimliklere genel bakışbölümüne bakın.For more information, see the following image and the overview of managed identities for Azure resources.

Kimlik DoğrulamasıAuthentication

Key Vault tüm işlemleri yapmak için önce bu kimlik doğrulaması yapmanız gerekir.To do any operations with Key Vault, you first need to authenticate to it. Key Vault doğrulamak için üç yol vardır:There are three ways to authenticate to Key Vault:

  • Azure kaynakları Için Yönetilen kimlikler: Azure 'da bir sanal makinede uygulama dağıtırken, Key Vault erişimi olan sanal makinenize bir kimlik atayabilirsiniz.Managed identities for Azure resources: When you deploy an app on a virtual machine in Azure, you can assign an identity to your virtual machine that has access to Key Vault. Ayrıca, diğer Azure kaynaklarınakimlik de atayabilirsiniz.You can also assign identities to other Azure resources. Bu yaklaşımın avantajı, uygulamanın veya hizmetin ilk gizli dizi dönüşünü yönetmediğinde.The benefit of this approach is that the app or service isn't managing the rotation of the first secret. Azure, kimliği otomatik olarak döndürür.Azure automatically rotates the identity. En iyi uygulama olarak bu yaklaşımı öneririz.We recommend this approach as a best practice.
  • Hizmet sorumlusu ve sertifikası: bir hizmet sorumlusu ve Key Vault erişimi olan ilişkili bir sertifika kullanabilirsiniz.Service principal and certificate: You can use a service principal and an associated certificate that has access to Key Vault. Uygulama sahibi veya geliştiricinin sertifikayı döndürmelerinden dolayı bu yaklaşımı önermiyoruz.We don't recommend this approach because the application owner or developer must rotate the certificate.
  • Hizmet sorumlusu ve gizli dizi: Key Vault kimlik doğrulaması yapmak için bir hizmet sorumlusu ve gizli dizi kullanabilseniz de, bunu önermiyoruz.Service principal and secret: Although you can use a service principal and a secret to authenticate to Key Vault, we don't recommend it. Key Vault için kimlik doğrulaması yapmak üzere kullanılan önyükleme gizliliğini otomatik olarak döndürmek zordur.It's hard to automatically rotate the bootstrap secret that's used to authenticate to Key Vault.

Key Vault rolleriKey Vault roles

Geliştiricilerin ve güvenlik yöneticilerinin ihtiyaçlarını karşılamaya Anahtar Kasası'nın nasıl yardımcı olabileceğini daha iyi anlamak için aşağıdaki tabloyu kullanın.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolRole Sorun bildirimiProblem statement Azure Anahtar Kasası tarafından çözüldüSolved by Azure Key Vault
Bir Azure uygulaması geliştiricisiDeveloper for an Azure application "İmzalama ve şifreleme için anahtarları kullanan bir Azure uygulaması yazmak istiyorum."I want to write an application for Azure that uses keys for signing and encryption. Ancak, çözümün coğrafi olarak dağıtılan bir uygulamaya uygun olması için bu anahtarların uygulamamın dışında olmasını istiyorum.But I want these keys to be external from my application so that the solution is suitable for an application that's geographically distributed.

Kodu kendim yazmak zorunda kalmadan bu anahtarların ve parolaların korunmasını istiyorum.I want these keys and secrets to be protected, without having to write the code myself. Ayrıca, bu anahtar ve gizli dizileri uygulamamın en iyi performansla kullanmasını istiyorum. "I also want these keys and secrets to be easy for me to use from my applications, with optimal performance."
√ Anahtarlar bir kasada depolanır ve gerektiğinde URI tarafından çağrılır.√ Keys are stored in a vault and invoked by URI when needed.

√ Anahtarlar, endüstri standardında algoritmalar, anahtar uzunlukları ve donanım güvenliği modülleri kullanılarak Azure tarafından korunur.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ Anahtarlar uygulamalarla aynı Azure veri merkezinde bulunan HSM'lerde işlenir.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Bu yöntem, şirket içi gibi ayrı konumlarda bulunan anahtarlardan daha fazla güvenilirlik ve daha az gecikme sağlar.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
Hizmet olarak yazılım (SaaS) geliştiricisiDeveloper for software as a service (SaaS) "Müşterilerimin kiracı anahtarları ve gizli dizileri için sorumluluk veya potansiyel sorumluluğun olmasını istemiyorum."I don't want the responsibility or potential liability for my customers' tenant keys and secrets.

Müşterilerin, temel yazılım özelliklerini sağlayan en iyi ne yaptığına odaklanabilmesi için kendi anahtarlarını sahip olmasını ve yönetmesini istiyorum. "I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features."
√ Müşteriler kendi anahtarları Azure'a aktarabilir ve bunları yönetebilir.√ Customers can import their own keys into Azure, and manage them. SaaS uygulamasının, müşterilerin anahtarlarını kullanarak şifreleme işlemleri gerçekleştirmesi gerektiğinde, Key Vault bu işlemleri uygulama adına yapar.When a SaaS application needs to perform cryptographic operations by using customers' keys, Key Vault does these operations on behalf of the application. Uygulama, müşterilerin anahtarlarını görmez.The application does not see the customers' keys.
Güvenlik başkanı (CSO)Chief security officer (CSO) "Uygulamalarınızın, güvenli anahtar yönetimi için FIPS 140-2 düzey 2 veya FIPS 140-2 düzey 3 HSM 'lerle uyumlu olduğunu bildirmek istiyorum."I want to know that our applications comply with FIPS 140-2 Level 2 or FIPS 140-2 Level 3 HSMs for secure key management.

Kuruluşumun anahtar yaşam döngüsü denetimine sahip olduğundan ve anahtar kullanımını izleyebildiğinden emin olmak istiyorum.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

Birden çok Azure hizmeti ve kaynağı kullandığımızda, anahtarları Azure 'da tek bir konumdan yönetmek istiyorum. "And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure."
√ FIPS 140-2 düzey 2 doğrulanan HSM 'ler için kasa seçin.√ Choose vaults for FIPS 140-2 Level 2 validated HSMs.
√ FIPS 140-2 düzey 3 tarafından doğrulanan HSM 'ler için yönetilen HSM havuzlarını seçin.√ Choose managed HSM pools for FIPS 140-2 Level 3 validated HSMs.

√ Anahtar Kasası, Microsoft anahtarlarınızı görmeyecek ve ayıklamayacak şekilde tasarlanmıştır.√ Key Vault is designed so that Microsoft does not see or extract your keys.
√ Anahtar kullanımı neredeyse gerçek zamanlı olarak günlüğe kaydedilir.√ Key usage is logged in near real time.

√ Kasa, Azure'da kaç kasanız olduğuna, bunların hangi bölgeleri desteklediğine ve hangi uygulamaların bunları kullandığına bakmaksızın tek bir arabirim sağlar.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Bir Azure aboneliği olan herhangi biri, anahtar kasalarını oluşturabilir ve kullanabilir.Anybody with an Azure subscription can create and use key vaults. Key Vault, geliştiricilerin ve güvenlik yöneticilerinin avantajları olsa da, diğer Azure hizmetlerini yöneten bir kuruluşun yöneticisi tarafından uygulanabilir ve yönetilebilir.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization's administrator who manages other Azure services. Örneğin, bu yönetici bir Azure aboneliğiyle oturum açabilir, anahtar depolayabileceği kuruluş için bir kasa oluşturabilir ve ardından bunlar gibi işletimsel görevlerden sorumludur:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks like these:

  • Bir anahtar veya gizli anahtarı oluşturma veya içeri aktarmaCreate or import a key or secret
  • Bir anahtar veya gizli anahtarı iptal etme veya silmeRevoke or delete a key or secret
  • Kullanıcıların veya uygulamaların, anahtar ve gizli anahtarları yönetmeleri veya kullanmaları için anahtar kasasına erişmelerini yetkilendirmeAuthorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Anahtar kullanımını (örneğin, imzalama veya şifreleme) yapılandırmaConfigure key usage (for example, sign or encrypt)
  • Anahtar kullanımını izlemeMonitor key usage

Bu yönetici daha sonra geliştiricilerin uygulamalarından çağrı oluşturmasını sağlar.This administrator then gives developers URIs to call from their applications. Bu yönetici ayrıca güvenlik yöneticisine anahtar kullanım günlüğü bilgileri verir.This administrator also gives key usage logging information to the security administrator.

Azure Key Vault nasıl çalıştığına genel bakış

Geliştiriciler ayrıca anahtarları doğrudan API'lerini kullanarak yönetebilir.Developers can also manage the keys directly, by using APIs. Daha fazla bilgi için bkz. Anahtar Kasası geliştirici kılavuzu.For more information, see the Key Vault developer's guide.

Sonraki adımlarNext steps

Azure Anahtar Kasası çoğu bölgede kullanılabilir.Azure Key Vault is available in most regions. Daha fazla bilgi için bkz. Anahtar Kasası fiyatlandırma sayfası.For more information, see the Key Vault pricing page.