Azure Key Vault 的金鑰、祕密與憑證概觀
Azure Key Vault 可讓 Microsoft Azure 應用程式和使用者儲存及使用數種類型的祕密/金鑰資料:金鑰、秘密及憑證。 金鑰、秘密及憑證統稱為「物件」。
物件識別碼
物件會在 Key Vault 中使用不區分大小寫的識別碼來唯一識別,稱為物件識別碼。 系統中的任兩個物件都不會有相同的識別碼,無論地理位置為何。 識別碼包含可識別 Key Vault 的前置詞、物件類型、使用者提供的物件名稱及物件版本。 不包含物件版本的識別碼稱為「基底識別碼」。 Key Vault 物件識別碼也是有效的 URL,但應該一律與不區分大小寫的字串進行比較。
如需詳細資訊,請參閱驗證、要求與回應
物件識別碼具有下列一般格式 (視容器類型而定):
針對保存庫:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}針對受控 HSM 集區:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
注意
如需每個容器類型所支援的物件類型,請參閱物件類型支援。
其中:
| 元素 | 描述 |
|---|---|
vault-name 或 hsm-name |
Microsoft Azure Key Vault 服務中金鑰保存庫或受控 HSM 集區的名稱。 保存庫名稱和受控 HSM 集區名稱由使用者選取,且具有全域唯一性。 保存庫名稱和受控 HSM 集區名稱必須是 3-24 個字元的字串,且只能包含 0-9、a-z、A-Z 及不連續 -。 |
object-type |
物件的類型為「金鑰」、「秘密」或「憑證」。 |
object-name |
object-name 是由使用者提供的名稱,而且在金鑰保存庫中必須是唯一的。 名稱必須是 1-127 個字元字串,以字母為開頭,且只包含 0-9、a-z、A-Z 和 -。 |
object-version |
object-version 是由系統產生的、包含 32 個字元的字串識別碼,可選擇性地用來當作物件的唯一版本。 |
物件識別碼的 DNS 尾碼
Azure Key Vault 資源提供者支援兩種資源類型:保存庫和受控 HSM。 此表顯示在各種雲端環境中,資料平面端點針對保存庫和受控 HSM 集區所使用的 DNS 尾碼。
| 雲端環境 | 保存庫的 DNS 尾碼 | 受控 HSM 的 DNS 尾碼 |
|---|---|---|
| Azure 雲端 | .vault.azure.net | .managedhsm.azure.net |
| 由 21Vianet Cloud 營運的 Microsoft Azure | .vault.azure.cn | 不支援 |
| Azure US Gov | .vault.usgovcloudapi.net | 不支援 |
| Azure 德國雲端 | .vault.microsoftazure.de | 不支援 |
物件類型
此表顯示物件識別碼中的物件類型及其尾碼。
| Object type | 識別碼尾碼 | 保存庫 | 受控 HSM 集區 |
|---|---|---|---|
| HSM 保護的金鑰 | /keys | 支援 | 支援 |
| 受軟體保護的金鑰 | /keys | 支援 | 不支援 |
| 密碼 | /secrets | 支援 | 不支援 |
| 憑證 | /certificates | 支援 | 不支援 |
| 儲存體帳戶金鑰 | /storage | 支援 | 不支援 |
- 密碼編譯金鑰:支援多種金鑰類型和演算法,可讓您使用受軟體保護和受 HSM 保護的金鑰。 如需詳細資訊,請參閱關於金鑰。
- 祕密:提供儲存祕密 (例如密碼和資料庫連接字串) 的安全機制。 如需詳細資訊,請參閱關於祕密。
- 憑證:支援建立於金鑰和秘密之上,且會新增自動更新功能的憑證。 請記得:建立憑證時,可定址的金鑰和秘密也會以相同名稱建立。 如需詳細資訊,請參閱關於憑證。
- Azure 儲存體帳戶金鑰:可為您管理 Azure 儲存體帳戶的金鑰。 Key Vault 可在內部列出 (同步) 金鑰與 Azure 儲存體帳戶,以及定期重新產生 (輪替) 金鑰。 如需詳細資訊,請參閱使用 Key Vault 管理儲存體帳戶金鑰。
如需 Key Vault 的一般詳細資訊,請參閱關於 Azure Key Vault。 如需受控 HSM 集區的詳細資訊,請參閱Azure Key Vault 受控 HSM?
資料類型
請參閱 JOSE 規格,以了解金鑰、加密及簽章的相關資料類型。
- 演算法 - 支援的金鑰作業演算法,例如 RSA1_5
- 加密文字值 - 加密文字的八位元組,使用 Base64URL 編碼
- 摘要值 - 雜湊演算法的輸出,使用 Base64URL 編碼
- 金鑰類型 - 其中一種支援的金鑰類型,例如 RSA (Rivest-Shamir-Adleman)。
- 純文字值 - 純文字的八位元組,使用 Base64URL 編碼
- 簽章值 - 簽章演算法的輸出,使用 Base64URL 編碼
- base64URL - Base64URL [RFC4648] 編碼的二進位值
- 布林值 - True 或 False
- 身分識別 - 來自 Microsoft Entra ID 的身分識別。
- IntDate - JSON 十進位值,代表從 1970-01-01T0:0:0Z UTC 到指定 UTC 日期/時間的 的秒數。 如需關於一般日期/時間和特定 UTC 時間的詳細資料,請參閱 RFC3339。
物件、識別碼和版本控制
儲存於 Key Vault 中的物件在每次有新的物件執行個體建立時,就會建立版本。 每個版本會有指派的唯一物件識別碼。 第一次建立的物件會獲得唯一的版本識別碼,並標示為物件的目前版本。 以相同物件名稱建立新的執行個體,會使新物件獲得唯一版本識別碼,並使其成為目前的版本。
Key Vault 中的物件可以透過指定版本或省略版本來取得最新版本的物件來擷取。 對物件執行作業需要提供版本才能使用特定版本的物件。
注意
您為 Azure 資源或物件識別碼提供的值可能會全域複製,以便執行服務。 提供的值不應包含可識別個人的資訊或敏感性資訊。