關於 Azure 金鑰保存庫 受控記憶體帳戶金鑰 (舊版)
重要
建議使用 Azure 儲存體與 Microsoft Entra ID 整合,這是 Microsoft 的雲端式身分識別和存取管理服務。 Microsoft Entra 整合適用於 Azure Blob 和佇列,並提供對 Azure 儲存體的 OAuth2 權杖型存取 (如同 Azure Key Vault)。 Microsoft Entra ID 可讓您使用應用程式或使用者身分識別來驗證用戶端應用程式,而非使用儲存體帳戶認證。 在 Azure 上執行時,可以使用 Microsoft Entra 受控識別。 受控識別能移除用戶端驗證,以及使用應用程式儲存認證或將認證儲存於應用程式中的需求。 只有在無法進行 Microsoft Entra 驗證時,才使用下列解決方案。
Azure 儲存體帳戶會使用由帳戶名稱和金鑰組成的認證。 金鑰會自動產生,並做為密碼,而不是作為密碼編譯密鑰。 Key Vault 會在儲存體帳戶中定期重新產生儲存體帳戶金鑰,並提供共用存取簽章權杖,以便委派存取您儲存體帳戶中的資源。
您可以使用 Key Vault 受控儲存體帳戶金鑰功能列出 (同步) 金鑰與 Azure 儲存體帳戶,以及定期重新產生 (輪替) 金鑰。 您可以管理儲存體帳戶和傳統儲存體帳戶的金鑰。
Azure 儲存體 帳戶金鑰管理
金鑰保存庫 可以管理Azure 記憶體帳戶金鑰:
- 就內部而言,Key Vault 可以使用 Azure 儲存體帳戶列出 (同步) 金鑰。
- Key Vault 會定期重新產生 (輪替) 金鑰。
- 金鑰值不會在回應呼叫者時傳回。
- Key Vault 管理儲存體帳戶和傳統儲存體帳戶的金鑰。
如需詳細資訊,請參閱
儲存體帳戶存取控制
授權使用者或應用程式主體在受控儲存體帳戶上執行作業時,即可使用下列權限:
受控記憶體帳戶和 SaS 定義作業的許可權
- get:取得記憶體帳戶的相關信息
- list:列出由 金鑰保存庫 管理的記憶體帳戶
- 更新:更新記憶體帳戶
- delete:刪除記憶體帳戶
- 復原:復原已刪除的記憶體帳戶
- 備份:備份記憶體帳戶
- restore:將備份的記憶體帳戶還原至 金鑰保存庫
- set:建立或更新記憶體帳戶
- regeneratekey:重新產生記憶體帳戶的指定密鑰值
- getas:取得記憶體帳戶 SAS 定義的相關信息
- listsas:列出記憶體帳戶的記憶體 SAS 定義
- deletesas:從記憶體帳戶刪除 SAS 定義
- setsas:建立或更新記憶體帳戶的新 SAS 定義/屬性
特殊權限作業的權限
- 清除:清除 (永久刪除) 受控記憶體帳戶
如需詳細資訊,請參閱 金鑰保存庫 REST API 參考中的 儲存體 帳戶作業。 如需建立許可權的相關信息,請參閱保存庫 - 建立或更新和保存庫 - 更新存取原則。