Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Key Vault обеспечивает безопасное хранение общих секретов, таких как пароли и строки подключения к базам данных.
С точки зрения разработчика, API Key Vault принимают и возвращают значения секретов в виде строк. На внутреннем уровне Key Vault хранит секреты и управляет ими в виде последовательности октетов (8 бит) максимальным размером 25 килобайтов каждый. Служба Key Vault не предоставляет семантику для секретов. Он просто принимает данные, шифрует его, сохраняет его и возвращает секретный идентификатор (id). Этот идентификатор можно использовать позже для получения секрета.
Для высокочувствительных данных клиенты должны учитывать дополнительные уровни защиты данных. Шифрование данных с помощью отдельного ключа защиты перед помещением в хранилище в Key Vault является одним из примеров.
Также Key Vault поддерживает поле contentType для секретов. Клиенты могут указать тип содержимого секрета для облегчения интерпретации данных при извлечении. Максимальная длина этого поля составляет 255 символов. Предлагаемое использование помогает правильно интерпретировать данные секрета. Например, приложение может хранить пароли и сертификаты в виде секретов и различать их по значению этого поля. Предопределенные значения отсутствуют.
Шифрование
Все секреты в Key Vault хранятся в зашифрованном виде. Key Vault шифрует секреты в состоянии покоя, используя иерархию ключей шифрования, где все ключи в этой иерархии защищены модулями, совместимыми с FIPS 140-2. Это шифрование является прозрачным и не требует вмешательства пользователя. Служба Azure Key Vault шифрует секреты при их добавлении и автоматически расшифровывает их при считывании.
Конечный ключ шифрования иерархии ключей уникален для каждого хранилища ключей. Корневой ключ шифрования иерархии ключей является уникальным для мира безопасности и защищен модулем, который проверяется для FIPS 140-2 уровня 3 или выше.
Атрибуты секретов
В дополнение к секретным данным можно указать следующие атрибуты:
- exp: IntDate, необязательный, по умолчанию — навсегда. Атрибут эксп (время окончания срока действия) определяет время окончания срока действия или после чего не следует извлекать секретные данные, за исключением конкретных ситуаций. Это поле предназначено только для информационных целей, так как оно сообщает пользователям службы хранилища ключей, что определенный секрет не может использоваться. Нужно указать число, содержащее значение IntDate.
- nbf: IntDate, необязательно, по умолчанию теперь. Атрибут nbf (не раньше) определяет время, до которого не следует извлекать секретные данные, за исключением конкретных ситуаций. Это поле предназначено только для информационных целей. Нужно указать число, содержащее значение IntDate.
- enabled. Необязательный атрибут с логическим значением, по умолчанию — true. Этот атрибут указывает, можно ли извлечь данные секрета. Атрибут 'включено' используется с nbf и exp, и если операция происходит между nbf и exp, она будет разрешена только в том случае, если атрибут 'включено' установлен в true. Операции вне окна nbf и exp автоматически запрещаются, за исключением конкретных ситуаций.
Существуют более доступные только для чтения атрибуты, включенные в любой ответ, включающий секретные атрибуты:
- created. Необязательный атрибут со значением в формате IntDate. Атрибут created указывает, когда была создана эта версия секрета. Это значение равно NULL для секретов, созданных перед добавлением данного атрибута. Нужно указать число, содержащее значение IntDate.
- updated. Необязательный атрибут со значением в формате IntDate. Атрибут updated указывает, когда была обновлена эта версия секрета. Это значение равно NULL для секретов, которые в последний раз обновлялись перед добавлением данного атрибута. Нужно указать число, содержащее значение IntDate.
Сведения об общих атрибутах для каждого типа объекта хранилища ключей см. в обзоре ключей, секретов и сертификатов Azure Key Vault.
Операции, зависящие от даты и времени
Операция получения секрета будет работать для еще не действительных и истекших секретов за пределами окна nbf / exp. Вызов операции получения секрета, который еще не действителен, можно использовать в целях тестирования. Получение секрета с истекшим сроком действия (получениеting) можно использовать для операций восстановления.
Контроль доступа к секретам
Контроль доступа к секретам, управляемым в Key Vault, предоставляется на уровне Key Vault, который содержит эти секреты. Политика управления доступом для секретов отличается от политики управления доступом для ключей в том же Key Vault. Пользователи могут создать одно или несколько хранилищ для хранения секретов и должны поддерживать соответствующую сценарию сегментацию и управление секретами.
Следующие разрешения могут использоваться на уровне субъекта в записи управления доступом к секретам в хранилище. Они практически точно отражают операции, разрешенные в объекте секрета.
Разрешения для операций управления секретами
- get: чтение секрета
- список секретов или версий секрета, хранящегося в Key Vault.
- set: Создание секрета
- delete: удаление секрета
- восстановление: восстановление удаленного секрета
- резервное копирование: резервное копирование секрета в хранилище ключей
- восстановить: Восстановить сохраненный секрет в хранилище ключей
Разрешения для привилегированных операций
- Очистка: очистка (окончательное удаление) удаленного секрета
Дополнительные сведения о работе с секретами см. в разделе об операциях с секретами в справочнике по REST API Key Vault. Сведения о создании разрешений см. в разделе "Хранилища" — создание и обновление и хранилища — обновление политики доступа.
Практическое руководство по управлению доступом в Key Vault:
- Назначение политики доступа Key Vault с помощью CLI
- Назначение политики доступа Key Vault с помощью PowerShell
- Назначение политики доступа Key Vault с помощью портала Azure
- Предоставление доступа к ключам Key Vault, сертификатам и секретам с помощью управления доступом на основе ролей Azure
Теги секретов
Можно указать дополнительные метаданные, относящиеся к приложению, в виде тегов. Key Vault поддерживает до 15 тегов, каждый из которых может иметь 512 символьное имя и 512 символьное значение.
Замечание
Теги могут быть прочитаны вызывающим объектом, если у него есть права list или get.
Сценарии использования
| Когда следует использовать | Примеры |
|---|---|
| Безопасное хранение, управление жизненным циклом и мониторинг учетных данных для обмена данными между службами, такими как пароли, ключи доступа, секреты клиента субъекта-службы. |
-
Использование Azure Key Vault с виртуальной машиной - Использование Azure Key Vault с веб-приложением Azure |
Дальнейшие шаги
- Управление ключами в Azure
- Рекомендации по управлению секретами в Key Vault
- Сведения о Key Vault
- Сведения о ключах, секретах и сертификатах
- Назначение политики доступа Key Vault
- Предоставление доступа к ключам Key Vault, сертификатам и секретам с помощью управления доступом на основе ролей Azure
- Безопасный доступ к хранилищу ключей
- Руководство разработчика Key Vault