Azure Key Vault gizli dizileri hakkında
Key Vault parolalar ve veritabanı bağlantı dizeleri gibi genel gizli dizilerin güvenli bir şekilde depolanmasına yardımcı olur.
Geliştirici açısından bakıldığında, api'Key Vault gizli dizi değerlerini dize olarak kabul eder ve geri döner. Dahili olarak, Key Vault her biri en fazla 25.000 bayt olacak şekilde sekizli (8 bit bayt) diziler olarak depolar ve yönetir. Key Vault hizmeti gizli diziler için semantik sağlamaz. Yalnızca verileri kabul eder, şifreler, depolar ve bir gizli anahtar tanımlayıcısı ("id") döndürür. Tanımlayıcı, gizli kodu daha sonra almak için kullanılabilir.
Son derece hassas veriler söz konusu olduğunda müşterilerin veriler için ek koruma katmanlarını göz önünde bulundurması gerekir. Anahtarı Anahtar Kasasında depolamadan önce ayrı bir koruma anahtarı kullanarak verileri şifrelemek bunun bir örneğidir.
Key Vault gizli diziler için contentType alanını da destekler. İstemciler, alınan gizli verilerin yorumlanmasına yardımcı olmak için bir gizli kodun içerik türünü belirtebilirsiniz. Bu alanın uzunluğu en fazla 255 karakterdir. Önerilen kullanım, gizli verileri yorumlamaya dair bir ipucu olarak kullanılır. Örneğin, bir uygulama hem parolaları hem de sertifikaları gizli dizi olarak depolar ve bu alanı kullanarak ayırt etmek için bu alanı kullanabilir. Önceden tanımlanmış değer yoktur.
Şifreleme
Dosyanız içinde yer alan Key Vault gizli diziler şifrelenmiş olarak depolanır. Key Vault, bir şifreleme anahtarları hiyerarşisi ile beklemede gizli dizileri şifreler ve bu hiyerarşide yer alan tüm anahtarlar FIPS 140-2 uyumlu modüller tarafından korunur. Bu şifreleme saydamdır ve kullanıcıdan herhangi bir işlem gerektirir. Azure Key Vault hizmeti, gizli dizilerinizi eklerken şifreler ve bunları okuduğunda şifrelerini otomatik olarak şifreler.
Anahtar hiyerarşisinin şifreleme yaprak anahtarı her anahtar kasası için benzersizdir. Anahtar hiyerarşisinin şifreleme kök anahtarı güvenlik dünyası için benzersizdir ve koruma düzeyi bölgeler arasında değişiklik gösterir:
- Çin: Kök anahtar, FIPS 140-2 Düzey 1 için doğrulanmış bir modül tarafından korunur.
- Diğer bölgeler: Kök anahtar, FIPS 140-2 Düzey 2 veya daha yüksek bir değer için doğrulanmış bir modülle korunur.
Gizli öznitelikler
Gizli verilere ek olarak aşağıdaki öznitelikler belirtilebilir:
- exp: IntDate, isteğe bağlı, varsayılan sonsuza kadar 'dır. exp (sona erme zamanı) özniteliği, belirli durumlar dışında gizli verilerin alınMAMASI GEREKİrken veya sonrasında sona erme süresini tanımlar. Bu alan yalnızca bilgilendirme amaçlıdır ve kullanıcılara anahtar kasası hizmeti için belirli bir gizli anahtarın kullanılmayy olduğunu bildirmektedir. Değerinin IntDate değeri içeren bir sayı olması GEREKIR.
- nbf: IntDate, isteğe bağlı, varsayılan değer artık ' dır. nbf (önce değil) özniteliği, belirli durumlar dışında gizli verilerin alınmaMASI GEREKEN zamanı tanımlar. Bu alan yalnızca bilgilendirme amaçlıdır. Değerinin IntDate değeri içeren bir sayı olması GEREKIR.
- etkin: boole, isteğe bağlı, varsayılan değer true' olur. Bu öznitelik, gizli verilerin alınıp alına olmadığını belirtir. Etkin özniteliği nbf ve exp arasında bir işlem oluştuğunda nbf ve exp ile birlikte kullanılır; yalnızca etkin true olarak ayarlanırsa izin verilir. Nbf ve exp penceresi dışındaki işlemlere, belirli durumlar dışında otomatik olarak izin verilmiyor.
Gizli öznitelikler içeren herhangi bir yanıta dahil edilen ek salt okunur öznitelikler vardır:
- oluşturuldu: IntDate, isteğe bağlı. Oluşturulan öznitelik, gizli öğenin bu sürümünün ne zaman oluşturul olduğunu gösterir. Bu değer, bu öznitelik eklemeden önce oluşturulan gizli diziler için null olur. Değeri, IntDate değeri içeren bir sayı olması gerekir.
- güncelleştirildi: IntDate, isteğe bağlı. Güncelleştirilmiş öznitelik, gizli öğenin bu sürümünün ne zaman güncelleştirilmiş olduğunu gösterir. Bu değer, bu öznitelik eklenmeden önce son güncelleştirilen gizli diziler için null değerdir. Değeri, IntDate değeri içeren bir sayı olması gerekir.
Her anahtar kasası nesne türüne ilişkin ortak öznitelikler hakkında bilgi için bkz. Azure Key Vault, gizli diziler ve sertifikalara genel bakış
Tarih saat denetimli işlemler
Bir gizli dizinin get işlemi, nbf exp penceresinin dışında henüz geçerli olmayan ve süresi dolmuş gizli / diziler için çalışır. Henüz geçerli olmayan bir gizli gizli bilgi için gizli bir gizli örneğin get işlemi çağrılarak test amacıyla kullanılabilir. Süresi dolmuş bir gizli gizli bilgi almak (almak) kurtarma işlemleri için kullanılabilir.
Parola erişim denetimi
Access Control yönetilen gizli Key Vault, bu gizli dizileri içeren Key Vault düzeyinde sağlanır. Gizli diziler için erişim denetimi ilkesi, aynı ilkede yer alan anahtarların erişim denetimi ilkesinden Key Vault. Kullanıcılar gizli dizileri tutmak için bir veya daha fazla kasa oluşturabilir ve gizli dizilerin uygun segmentlere ve yönetim senaryolarına uygun şekilde korunması gerekir.
Aşağıdaki izinler, sorumlu başına temelinde, bir kasadaki gizli dizi erişim denetimi girdisinde kullanılabilir ve gizli dizi nesnesinde izin verilen işlemleri yakından yansıtabilirsiniz:
Gizli yönetim işlemleri için izinler
- get: Gizli bir gizli bilgi okuma
- list: Bir gizli dizide depolanan gizli dizileri veya Key Vault
- set: Gizli dizi oluşturma
- delete: Gizli bir gizli dosyayı silme
- kurtarma: Silinen gizli verileri kurtarma
- backup: Anahtar kasasında bir gizli anahtarı yedekleme
- geri yükleme: Yedekli bir gizli anahtarı bir anahtar kasasına geri yükleme
Ayrıcalıklı işlemler için izinler
- temizleme: Silinen gizli öğeleri temizleme (kalıcı olarak silme)
Gizli dizilerle çalışma hakkında daha fazla bilgi için bkz. Gizli dizi işlemleri Key Vault REST API bakın. İzinleri oluşturma hakkında bilgi için bkz. Kasalar - Oluşturma veya Güncelleştirme ve Kasalar - Güncelleştirme Erişim İlkesi.
Key Vault'da erişimi denetlemeye Key Vault:
- CLI kullanarak Key Vault ilkesi atama
- PowerShell kullanarak Key Vault ilkesi atama
- Key Vault kullanarak bir erişim ilkesi Azure portal
- Azure rol tabanlı erişim Key Vault anahtarlara, sertifikalara ve gizli dizilere erişim sağlama
Gizli etiketler
Etiketler şeklinde uygulamaya özgü ek meta veriler belirtebilirsiniz. Key Vault, her biri 256 karakter adına ve 256 karakter değerine sahip olan en fazla 15 etiketi destekler.
Not
Liste veya erişim iznine sahip olan etiketler bir çağıranın tarafından okunabilir.
Kullanım Senaryoları
| Kullanılması gereken durumlar | Örnekler |
|---|---|
| Parolalar, erişim anahtarları, hizmet sorumlusu istemci gizli dizileri gibi hizmetten hizmete iletişim için kimlik bilgilerini güvenli bir şekilde depolar, yönetir ve kimlik bilgilerini izleyebilirsiniz. | - Sanal Azure Key Vault ile sanal makine kullanma - Azure web Azure Key Vault ile sanal ağ kullanma |
Sonraki adımlar
- Key Vault'da gizli dizi yönetimi için en iyi Key Vault
- Key Vault Hakkında
- Anahtarlar, gizli diziler ve sertifikalar hakkında
- Bir Key Vault ilkesi atama
- Azure rol tabanlı erişim Key Vault anahtarlara, sertifikalara ve gizli dizilere erişim sağlama
- Anahtar kasasına erişimin güvenliğini sağlama
- Key Vault Geliştirici Kılavuzu