Azure 金鑰庫金鑰、機密和憑證概觀

Azure 金鑰保存庫Microsoft Azure應用程式和使用者儲存及使用數種類型的機密/金鑰資料。 Key Vault 資源提供者支援兩種資源類型:儲存庫和受管理的 HSM。

基本 URL 的 DNS 尾碼

下表顯示資料平面端點在各種雲端環境中用於儲存庫及受管理的 HSM 資料庫的基本 URL DNS 尾碼。

雲端環境 儲存庫的 DNS 尾碼 受管理的 HSM 的 DNS 尾碼
Azure 雲端 .vault.azure.net .managedhsm.azure.net
Azure China Cloud .vault.azure.cn 不支援
Azure 美國政府 .vault.usgovcloudapi.net 不支援
Azure 德文雲端 .vault.microsoftazure.de 不支援

物件類型

下表顯示基本 URL 中的物件類型及其後綴。

物件類型 URL 尾碼 金庫 受管理的 HSM 資料庫
受 HSM 保護的按鍵 /鍵 支援 支援
軟體保護金鑰 /鍵 支援 不支援
秘密 /機密 支援 不支援
證書 /certificates 支援 不支援
儲存體帳戶金鑰 /storage 支援 不支援
  • 加密金鑰:支援多種金鑰類型和演算法,並可使用受軟體保護及 HSM 保護的金鑰。 詳細資訊,請參閱關於 金鑰
  • 機密:提供機密的安全儲存空間,例如密碼和資料庫連接字串。 詳細資訊,請參閱 關於機密
  • 憑證:支援以金鑰和機密為頂端的憑證,並新增自動續約功能。 請記住,建立憑證時,也會以相同的名稱建立可位址的金鑰和密碼。 詳細資訊,請參閱關於 憑證
  • Azure 儲存體帳戶金鑰:您可以管理Azure 儲存體帳戶的金鑰。 在內部,Key Vault (使用) 帳戶Azure 儲存體同步處理金鑰,並定期 () 金鑰。 詳細資訊,請參閱使用 Key Vault 管理儲存空間帳戶金鑰

有關 Key Vault 的一般資訊,請參閱 關於 Azure 金鑰庫。 有關受管理的 HSM 資料庫詳細資訊,請參閱 什麼是 Azure Key Vault Managed HSM?

資料類型

請參閱有關金鑰、加密和簽署之相關資料類型的一般資訊。

  • 演算法 - 支援按鍵運算的演算法,例如RSA1_5
  • 密碼文字值 - 密碼文字八進位,使用 Base64URL 編碼
  • 摘要值 - 使用 Base64URL 編碼的雜湊演算法輸出
  • key-type - 其中一種支援的金鑰類型,例如 RSA (Rivest-Shamir-Adleman) 。
  • 純文字值 - 純文字八分集,使用 Base64URL 編碼
  • 簽名值 - 使用 Base64URL 編碼的簽名演算法輸出
  • base64URL - Base64URL [RFC4648] 編碼的二進位值
  • 布林值 - True 或 false
  • 身分識別 - 來自Azure Active Directory (AAD) 。
  • IntDate - 代表從 1970-01-01T0:0:0:0Z UTC 到指定的 UTC 日期/時間之秒數的 JSON 十進位值。 請參閱 RFC3339,瞭解日期/時間的詳細資訊,尤其是 UTC。

物件、識別碼和版本控制

每當建立物件的新實例時,儲存在 Key Vault 中的物件都會版本。 每個版本會指派唯一識別碼和 URL。 第一次建立物件時,會提供唯一的版本識別碼,並標示為物件的目前版本。 建立具有相同物件名稱的新實例,會為新物件提供唯一的版本識別碼,導致新物件成為目前的版本。

您可以指定版本或省略目前版本物件上之操作的版本,以解決 Key Vault 中的物件。 例如,指定具有名稱的 Key,執行操作而不指定版本會導致系統 MasterKey 使用最新可用版本。 使用版本特定識別碼執行作業,會使系統使用該特定版本的物件。

資料庫名稱與物件名稱

使用 URL 在 Key Vault 中唯一識別物件。 系統內沒有任何兩個物件擁有相同的 URL,無論地理位置如何。 物件的完整 URL 稱為物件識別碼。 URL 包含一個首碼,用來識別 Key Vault、物件類型、使用者提供的物件名稱,以及物件版本。 物件名稱不區分大小寫,且不可改變。 不包含物件版本的識別碼稱為基本識別碼。

詳細資訊,請參閱 驗證、要求和回應

物件識別碼具有下列一般格式 (取決於容器類型) :

  • 針對 Vault:

  • 針對受管理的 HSM 資料庫

注意

請參閱 物件類型支援 每個容器類型支援的物件類型。

位置:

元素 描述
vault-namehsm-name 金鑰庫服務中的儲存庫或受管理的 HSM Microsoft Azure名稱。

資料庫名稱和受管理的 HSM 資料庫名稱是由使用者選取,且全域唯一。

Vault 名稱和 Managed HSM 資料庫名稱必須是 3-24 個字元字串,只包含 0-9、a-z、A-Z 和 -。
object-type 物件類型、「金鑰」、「機密」或「憑證」。
object-name A object-name 是使用者提供的名稱,且必須在 Key Vault 中是唯一的。 名稱必須是 1-127 字元字串,從字母開始,只包含 0-9、a-z、A-Z 和 -。
object-version 是系統產生的 32 個字元字串識別碼,選擇性地用來處理物件的唯一 object-version 版本。

下一個步驟