Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Key Vault offre l'archiviazione sicura dei segreti generici, ad esempio password e stringhe di connessione di database.
Dal punto di vista di uno sviluppatore, le API di Key Vault accettano e restituiscono i valori dei segreti sotto forma di stringhe. Internamente, Key Vault archivia e gestisce i segreti come sequenze di ottetti (byte a 8 bit), con dimensioni massime di 25 KB ciascuno. Il servizio Key Vault non fornisce la semantica per i segreti. Accetta semplicemente i dati, li crittografa, li archivia e restituisce un identificatore segreto (id). L'identificatore può essere usato per recuperare il segreto in un secondo momento.
Per i dati altamente sensibili, i client devono considerare livelli di protezione aggiuntivi per i dati. ad esempio la crittografia dei dati con una chiave di protezione separata prima dell'archiviazione in Key Vault.
Key Vault supporta anche un campo contentType per i segreti. I client possono specificare il tipo di contenuto di un segreto per interpretare i dati segreti quando vengono recuperati. La lunghezza massima di questo campo è di 255 caratteri. L'utilizzo consigliato è un suggerimento per l'interpretazione dei dati del segreto. Un'implementazione può ad esempio archiviare sia le password che i certificati come segreti e quindi questo campo può consentire la distinzione tra i due tipi di dati. Non ci sono valori predefiniti.
Crittografia
Tutti i segreti in Key Vault vengono archiviati crittografati. Key Vault crittografa i segreti inattivi con una gerarchia di chiavi di crittografia, con tutte le chiavi in tale gerarchia protette da moduli conformi a FIPS 140-2. Questa crittografia è trasparente e non richiede alcuna azione da parte dell'utente. Il servizio Azure Key Vault crittografa i segreti quando vengono aggiunti e li decrittografa automaticamente quando vengono letti.
La chiave foglia di crittografia della gerarchia di chiavi è univoca per ogni insieme di credenziali delle chiavi. La chiave radice di crittografia della gerarchia delle chiavi è univoca per il mondo della sicurezza ed è protetta da un modulo convalidato per FIPS 140-2 Livello 3 o superiore.
Attributi segreti
Oltre ai dati dei segreti,è possibile specificare gli attributi seguenti:
- exp: IntDate, facoltativo, valore predefinito è per sempre. L'attributo exp (scadenza) identifica l'ora di scadenza in o dopo la quale i dati segreti NON DEVONO essere recuperati, tranne in situazioni particolari. Questo campo è a scopo informativo solo perché informa gli utenti del servizio di gestione delle chiavi che un determinato segreto potrebbe non essere utilizzabile. Il valore DEVE essere un numero contenente un valore IntDate.
- nbf: IntDate, facoltativo, impostazione predefinita è ora. L'attributo nbf (non prima) identifica l'ora prima della quale i dati segreti NON DEVONO essere recuperati, tranne in situazioni particolari. Questo campo è solo a scopo informativo . Il valore DEVE essere un numero contenente un valore IntDate.
- enabled boolean, facoltativo, il valore predefinito è true. Questo attributo specifica se i dati dei segreti possono essere recuperati. L'attributo abilitato viene usato con nbf ed exp quando si verifica un'operazione tra nbf ed exp, sarà consentito solo se abilitato è impostato su true. Le operazioni esterne alla finestra nbf ed exp vengono automaticamente non consentite, tranne in situazioni particolari.
Sono disponibili altri attributi di sola lettura inclusi in una risposta che include gli attributi dei segreti:
- created: IntDate, facoltativo. L’attributo creato indica quando è stata creata questa versione del segreto. Questo valore è null per i segreti creati prima dell'aggiunta di questo attributo. Il valore deve essere un numero contenente un valore IntDate.
- updated: IntDate, facoltativo. L’attributo aggiornato indica quando è stata aggiornata questa versione del segreto. Questo valore è null peri segreti aggiornati prima dell'aggiunta di questo attributo. Il valore deve essere un numero contenente un valore IntDate.
Per informazioni sugli attributi comuni per ogni tipo di oggetto del Key Vault, vedere Panoramica delle chiavi, dei segreti e dei certificati di Azure Key Vault
Operazioni controllate in base a data e ora
L'operazione get di un segreto funzionerà per i segreti non ancora validi e scaduti, all'esterno della finestra nbf / exp . La chiamata all'operazione get di un segreto, per un segreto non ancora valido, può essere usata a scopo di test. Il recupero (recupero) di un segreto scaduto può essere usato per le operazioni di ripristino.
Controllo di accesso per i segreti
Il controllo di accesso per i segreti gestiti in Key Vault viene fornito al livello dell'insieme di credenziali delle chiavi che contiene tali segreti. I criteri di controllo di accesso per i segreti sono distinti dai criteri di controllo di accesso per le chiavi presenti nello stesso insieme di credenziali delle chiavi. Gli utenti possono creare uno o più insiemi di credenziali per i segreti e sono tenuti a mantenere una segmentazione e una gestione dei segreti appropriate in base allo scenario.
Le autorizzazioni seguenti sono utilizzabili, su base principale, nella voce di controllo di accesso dei segreti in un insieme di credenziali e riflettono fedelmente le operazioni consentite su un oggetto segreto:
Autorizzazioni per le operazioni di gestione dei segreti
- get: Leggere un segreto
- list: elencare i segreti o le versioni di un segreto archiviato in un Key Vault
- set: Creare un segreto
- delete: eliminare un segreto
- recover: recuperare un segreto eliminato
- backup: eseguire il backup di un segreto in un vault delle chiavi
- restore: ripristinare un segreto sottoposto a backup in un insieme di credenziali
Autorizzazioni per le operazioni con privilegi
- ripulitura: ripulire (eliminare definitivamente) un segreto eliminato
Per altre informazioni sull'uso dei segreti, vedere Operazioni segrete nelle informazioni di riferimento sull'API REST di Key Vault. Per informazioni sulla definizione delle autorizzazioni, vedere Archivi - Creare o Aggiornare e Archivi - Aggiornare i criteri di accesso.
Guide pratiche per controllare l'accesso in Key Vault:
- Assegnare un criterio di accesso tramite Key Vault utilizzando l'interfaccia della riga di comando
- Assegnare un criterio di accesso di Key Vault tramite PowerShell
- Assegnare un criterio di accesso di Key Vault usando il portale di Azure
- Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure
Tag dei segreti
È possibile specificare metadati aggiuntivi specifici dell'applicazione sotto forma di tag. Key Vault supporta fino a 15 tag, ognuno dei quali può avere un nome di 512 caratteri e un valore di 512 caratteri.
Annotazioni
Un chiamante può leggere i tag se ha l'autorizzazione list o get.
Scenari di utilizzo
| Quando utilizzare | Esempi |
|---|---|
| Archiviare in modo sicuro, gestire il ciclo di vita e monitorare le credenziali per la comunicazione da servizio a servizio, ad esempio password, chiavi di accesso, segreti client dell'entità servizio. |
-
Usare Azure Key Vault con una macchina virtuale - Usare Azure Key Vault con un'app Web di Azure |
Passaggi successivi
- Gestione delle chiavi in Azure
- Procedure consigliate per la gestione dei segreti in Key Vault
- Informazioni su Key Vault
- Informazioni su chiavi, segreti e certificati
- Assegnare criteri di accesso a Key Vault
- Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure
- Accesso sicuro a un insieme di credenziali
- Guida allo sviluppatore per Key Vault