Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Key Vault позволяет приложениям и пользователям Microsoft Azure хранить и использовать несколько типов секретных и ключевых данных: ключей, секретов и сертификатов. Ключи, секреты и сертификаты совместно называются "объектами".
Идентификаторы объектов
Key Vault однозначно идентифицирует объекты с помощью независимого от регистра идентификатора, называемого идентификатором объекта. Ни один объект в системе не имеет одного и того же идентификатора, независимо от географического расположения. Идентификатор состоит из префикса, который определяет хранилище ключей, тип объекта, имя предоставленного пользователем объекта и версию объекта. Идентификаторы, не содержащие версию объекта, называются базовыми идентификаторами. Идентификаторы объектов Key Vault также являются допустимыми URL-адресами, но всегда сравнивают их как строки без учета регистра.
Дополнительные сведения см. в разделе "Проверка подлинности", "Запросы" и "Ответы".
Идентификатор объекта имеет следующий общий формат (в зависимости от типа контейнера):
Для хранилищ:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}.Для пулов управляемых устройств HSM:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}.
Примечание.
Сведения о типах объектов, поддерживаемых каждым типом контейнера, см. в этом разделе.
Где:
| Элемент | Описание |
|---|---|
vault-name или hsm-name |
Имя хранилища ключей или управляемого пула HSM в службе Microsoft Azure Key Vault. Пользователи выбирают имена хранилищ и имена управляемых пулов HSM, которые являются глобально уникальными. Имя хранилища и имя пула управляемого модуля HSM должны быть строкой символов 3-24, содержащей только 0-9, a-z, A-Z и не последовательно. |
object-type |
Тип объекта, "ключи", "секреты" или "сертификаты". |
object-name |
Имя object-name пользователя и должно быть уникальным в хранилище ключей. Имя должно быть 1-127 символьной строкой, содержащей только 0-9, a-z, A-Z и -. |
object-version |
object-version — созданный системой 32-знаковый идентификатор строки, который при необходимости используется для обозначения уникальной версии объекта. |
DNS-суффиксы для идентификаторов объектов
Поставщик ресурсов Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В этой таблице показан суффикс DNS, используемый конечной точкой плоскости данных для хранилищ и управляемых HSM в различных облачных средах.
| Облачная среда | DNS-суффикс для хранилищ | DNS-суффикс для управляемых устройств HSM |
|---|---|---|
| Облако Azure | .vault.azure.net | .managedhsm.azure.net |
| Microsoft Azure, управляемый 21Vianet Cloud | .vault.azure.cn | .managedhsm.azure.cn |
| Azure – Правительство США | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
Типы объектов
В этой таблице показаны типы объектов и их суффиксы в идентификаторе объекта.
| Тип объекта | Суффикс идентификатора | Хранилища | Пулы управляемых устройств HSM |
|---|---|---|---|
| Криптографические ключи | |||
| Ключи, защищенные модулем HSM | /ключи | Поддерживается | Поддерживается |
| Ключи, защищенные с помощью ПО | /ключи | Поддерживается | Не поддерживается |
| Другие типы объектов | |||
| Секреты | /Секреты | Поддерживается | Не поддерживается |
| Сертификаты | /сертификаты | Поддерживается | Не поддерживается |
| Ключи учетной записи хранения | /хранение | Поддерживается | Не поддерживается |
- Криптографические ключи: поддерживает несколько типов ключей и алгоритмов, позволяет использовать ключи, защищенные с помощью ПО или модуля HSM. См. сведения о ключах.
- Секреты: обеспечивается безопасное хранение секретов, таких как пароли и строки подключения к базам данных. См. сведения о секретах.
- Сертификаты: поддерживаются сертификаты, которые создаются поверх ключей и секретов и добавляют функцию автоматического обновления. При создании сертификата процесс также создает адресный ключ и секрет с тем же именем. См. сведения о сертификатах.
- Ключи учетной записи хранения Azure: может управлять ключами учетной записи хранения Azure. На внутреннем уровне Key Vault может перечислять (синхронизировать) ключи с учетными записями хранения Azure и периодически повторно создавать (заменять) ключи. См. сведения об управлении ключами учетной записи хранения с помощью Key Vault.
См. сведения об Azure Key Vault. Дополнительные сведения о пулах управляемых устройств HSM см. в статье Что собой представляет управляемое устройство HSM в Azure Key Vault?
Типы данных
Обратитесь к спецификациям JOSE для соответствующих типов данных ключей, шифрования и подписей.
- алгоритм — поддерживаемый алгоритм для операции ключа, например RSA_OAEP_256
- ciphertext-value — текстовые октеты шифра, закодированные с помощью Base64URL
- digest-value — выходные данные хэш-алгоритма, закодированного с помощью Base64URL
- тип ключа — один из поддерживаемых типов ключей, таких как RSA (Rivest-Shamir-Adleman).
- plaintext-value — октеты обычного текста, закодированные с помощью Base64URL
- значение сигнатуры — выходные данные алгоритма подписи, закодированные с помощью Base64URL
- base64URL — двоичное значение в кодировке Base64URL [RFC4648].
- boolean — значение true или false.
- Удостоверение — удостоверение из идентификатора Microsoft Entra.
- IntDate — десятичное значение JSON, представляющее число секунд, начиная с 1970-01-01T0:0:0Z UTC до указанной даты или времени в формате UTC. Дополнительные сведения о дате и времени в общем формате и в UTC в частности см. в [RFC3339].
Объекты, идентификаторы и управление версиями
Каждый раз, когда вы создаете новый экземпляр объекта, Key Vault создает его версию. Каждая версия имеет уникальный идентификатор объекта. При создании объекта вы предоставляете ему уникальный идентификатор версии и делаете его текущей версией объекта. При создании нового экземпляра с тем же именем объекта необходимо предоставить новый объект уникальный идентификатор версии и сделать его текущей версией.
Объекты в Key Vault можно получить, указав версию или опустив версию, чтобы получить последнюю версию объекта. Для выполнения операций с объектами необходимо предоставить версию для использования определенной версии объекта.
Примечание.
Служба может копировать значения, которые вы предоставляете для ресурсов Azure или идентификаторов объектов глобально. Не включайте личную или конфиденциальную информацию в предоставляемое значение.