Azure Key Vault Geliştirici Kılavuzu

Key Vault, uygulamalarınızın içinden hassas bilgilere güvenli bir şekilde erişmenizi sağlar:

  • Anahtarlar, gizli diziler ve sertifikalar kodu kendiniz yazmak zorunda kalmadan korunur ve bunları uygulamalarınızdan kolayca kullanabilirsiniz.
  • Müşterilerin, temel yazılım özellikleri sağlamaya odaklanabilmeniz için kendi anahtarlarını, sırlarını ve sertifikalarını yönetmesine ve yönetmesine izin verebilirsiniz. Bu şekilde, uygulamalarınız müşterilerinizin kiracı anahtarları, gizli dizileri ve sertifikaları için sorumluluğa ya da potansiyel sorumluluğa sahip olmayacaktır.
  • Uygulamanız imzalama ve şifreleme için anahtarlar kullanabilir, ancak önemli yönetimi uygulamanız dışında tutar. Anahtarlar hakkında daha fazla bilgi için bkz. anahtarlar hakkında
  • Parolalar, erişim tuşları ve SAS belirteçleri gibi kimlik bilgilerini Key Vault gizli dizi olarak depolayarak yönetebilirsiniz, bkz. gizlilikler hakkında
  • Sertifikaları yönetin. Daha fazla bilgi için bkz. Sertifikalar hakkında

Azure Key Vault hakkında daha fazla genel bilgi için bkz. Key Vault nedir.

Genel önizlemeler

Düzenli olarak, yeni bir Key Vault özelliğinin genel önizlemesini yayınlarız. Genel Önizleme özelliklerini deneyin ve azurekeyvault@microsoft.com geri bildirim e-posta adresi ile düşüncelerinizi öğrenmemizi sağlayın.

Anahtar kasaları oluşturma ve yönetme

Diğer Azure hizmetlerine benzer Key Vault yönetimi, Azure Resource Manager hizmeti aracılığıyla yapılır. Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Azure hesabınızda kaynak oluşturma, güncelleştirme ve silme işlemlerini gerçekleştirmenizi sağlayan bir yönetim katmanı sunar. Daha fazla bilgi için bkz. Azure Resource Manager

Yönetim katmanına erişim, Azure rol tabanlı erişim denetimitarafından denetlenir. Yönetim katmanı, yönetim veya denetim düzlemi olarak da bilinen Key Vault, erişim ilkeleri de dahil olmak üzere anahtar kasalarını ve özniteliklerini oluşturmanıza ve yönetmenize izin verir, ancak bu, veri düzlemine göre yönetilen anahtarlar, gizli diziler ve sertifikalar değildir. Key Vault ContributorKey Vault için yönetim erişimi vermek üzere önceden tanımlı rolü kullanabilirsiniz.

Anahtar Kasası yönetimi için API 'ler ve SDK 'lar:

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru Başvuru
Hızlı Başlangıç
Başvuru Başvuru Başvuru Başvuru

Bkz. yükleme paketleri ve kaynak kodu için Istemci kitaplıkları .

Key Vault yönetim düzlemi hakkında daha fazla bilgi için bkz. Azure Key Vault güvenlik özellikleri

Kodda Key Vault kimlik doğrulaması

Key Vault, Azure AD kimlik doğrulamasını kullanarak erişim izni vermesini gerektirir. Azure AD güvenlik sorumlusu, bir Kullanıcı, bir uygulama hizmeti sorumlusu, Azure kaynakları için yönetilen bir kimlikveya herhangi bir güvenlik sorumlusu türü olabilir.

En iyi kimlik doğrulama uygulamaları

Azure 'a dağıtılan uygulamalar için yönetilen kimlik kullanılması önerilir. Yönetilen kimliği desteklemeyen veya şirket içinde dağıtılan uygulamalar için Azure hizmetlerini kullanıyorsanız, sertifikaya sahip hizmet sorumlusu olası bir alternatiftir. Bu senaryoda, sertifika Key Vault depolanmalıdır ve genellikle döndürülmelidir. Gizli hizmet sorumlusu, geliştirme ve test ortamları için ve yerel olarak veya Cloud Shell Kullanıcı sorumlusu kullanılarak kullanılması önerilir.

Ortam başına önerilen güvenlik sorumluları:

  • Üretim ortamı:
    • Bir sertifikayla yönetilen kimlik veya hizmet sorumlusu
  • Test ve geliştirme ortamları:
    • Yönetilen kimlik, sertifika veya gizli hizmet sorumlusu olan hizmet sorumlusu
  • Yerel geliştirme:
    • Gizli anahtar içeren Kullanıcı sorumlusu veya hizmet sorumlusu

Yukarıdaki kimlik doğrulama senaryoları, Azure Identity istemci kitaplığı tarafından desteklenir ve Key Vault SDK 'lar ile tümleşiktir. Azure kimlik kitaplığı, kodunuzu değiştirmeden farklı ortamlar ve platformlar arasında kullanılabilir. Azure Identity Ayrıca Azure CLı, Visual Studio, Visual Studio Code ve diğer kişilerle Azure User 'a oturum açmış olan kimlik doğrulama belirtecini otomatik olarak alır.

Azure Identity Client Libarary hakkında daha fazla bilgi için bkz.:

Azure Identity istemci kitaplıkları

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK 'Sı Java Azure Identity SDK JavaScript

Not

Şu anda etkin olan Key Vault .NET SDK sürüm 3 ' ü için önerilen uygulama kimlik doğrulama kitaplığı . Key Vault .NET SDK sürüm 4 ' e geçiş yapmak için lütfen Azure. Identity geçiş kılavuzu 'na yönelik Appauthentication 'ı izleyin.

Uygulamalarda Key Vault kimlik doğrulaması hakkında öğreticiler için bkz.:

Anahtarları, sertifikaları ve gizli dizileri yönetme

Anahtarlar, gizlilikler ve sertifikalara erişim veri düzlemine göre denetlenir. Veri düzlemi erişim denetimi, yerel kasa erişim ilkeleri veya Azure RBAC kullanılarak yapılabilir.

Anahtarlar API 'leri ve SDK 'Ları

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç

Sertifikalar API 'leri ve SDK 'Ları

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru Yok Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç

Gizli dizileri API 'leri ve SDK 'Ları

Azure CLI PowerShell REST API Resource Manager .NET Python Java JavaScript
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç
Başvuru
Hızlı Başlangıç

Bkz. yükleme paketleri ve kaynak kodu için Istemci kitaplıkları .

Key Vault veri düzlemi güvenliği hakkında daha fazla bilgi için bkz. Azure Key Vault güvenlik özellikleri.

Kod örnekleri

Uygulamalarınızla Key Vault kullanan tüm örnekler için bkz.:

Nasıl yapılır belgeleri

Aşağıdaki makaleler ve senaryolar Azure Key Vault çalışmak için göreve özgü rehberlik sağlar:

Key Vault ile tümleşik

Bu makaleler, Key Vault kullanan veya ile tümleştirilebilen diğer senaryolar ve hizmetlerle ilgilidir.

  • Rest 'de şifreleme , kalıcı olduğunda verilerin kodlamasına (şifrelemeye) izin verir. Veri şifreleme anahtarları genellikle, erişimi daha fazla sınırlandırmak için Azure Key Vault bir anahtar şifreleme anahtarıyla şifrelenir.
  • Azure Information Protection kendi kiracı anahtarınızı yöneticinize etmenizi sağlar. Örneğin, kiracı anahtarınızı Microsoft 'un yönetmesi yerine (varsayılan), kuruluşunuz için uygun olan belirli düzenlemelere uymak üzere kendi kiracı anahtarınızı yönetebilirsiniz. Kendi kiracı anahtarınızın yönetilmesi, kendi anahtarını getir (BYOK) olarak da bilinir.
  • Azure özel bağlantı hizmeti , Azure hizmetlerine (örneğin, Azure Key Vault, Azure depolama ve Azure Cosmos DB) ve Azure 'da barındırılan müşteri/iş ortağı hizmetlerine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar.
  • Event Grid ile tümleştirme Key Vault, Anahtar Kasası 'nda depolanan bir gizli dizinin durumu değiştiğinde kullanıcılara bildirim gönderilmesini sağlar. Kesintileri engellemek için, parolaların yeni bir sürümünü uygulamalara dağıtabilir veya süre sonu gizli dizilerini döndürebilirsiniz.
  • Azure DevOps gizli dizilerinizi Key Vault, istenmeyen erişimden koruyabilirsiniz.
  • Azure depolama 'ya bağlanmak için DataBricks 'te Key Vault depolanan gizli dizi kullanın
  • Kubernetes üzerinde gizli depolama CSI sürücüsü için Azure Key Vault sağlayıcısını yapılandırın ve çalıştırın

Key Vault genel bakış ve kavramlar

Sosyal