Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Key Vault bietet sicheren Speicher für generische geheime Schlüssel, z. B. Kennwörter und Datenbankverbindungszeichenfolgen.
Aus Sicht eines Entwicklers akzeptieren Key Vault APIs geheime Werte als Zeichenfolgen und geben sie zurück. Intern speichert und verwaltet Key Vault Geheimnisse als Sequenzen von Oktetten (8-Bit-Bytes), mit einer maximalen Größe von jeweils 25 KB. Der Key Vault-Dienst stellt keine Semantik für geheime Schlüssel bereit. Sie akzeptiert lediglich die Daten, verschlüsselt sie, speichert sie und gibt einen geheimen Bezeichner (id) zurück. Sie können den Bezeichner verwenden, um den geheimen Schlüssel zu einem späteren Zeitpunkt abzurufen.
Bei streng vertraulichen Daten sollten Sie zusätzliche Schutzebenen hinzufügen. Verschlüsseln Sie z. B. Daten mithilfe eines separaten Schutzschlüssels, bevor Sie sie in Key Vault speichern.
Key Vault unterstützt auch ein contentType-Feld für geheime Schlüssel. Clients können den Inhaltstyp eines geheimen Schlüssels angeben, um die geheimen Daten beim Abrufen zu interpretieren. Dieses Feld darf maximal 255 Zeichen lang sein. Die Verwendungsempfehlung dient als Hinweis für das Interpretieren der geheimen Daten. Eine Implementierung kann z. B. Kennwörter und Zertifikate als geheime Schlüssel speichern und dann dieses Feld verwenden, um zu unterscheiden. Es gibt keine vordefinierten Werte.
Verschlüsselung
Key Vault speichert alle Geheimnisse in Ihrem Key Vault als verschlüsselte Daten. Key Vault verschlüsselt ruhende Geheimnisse mithilfe einer Hierarchie von Verschlüsselungsschlüsseln, wobei alle Schlüssel in der Hierarchie durch FIPS-validierte Module geschützt sind. Diese Verschlüsselung ist transparent und erfordert keine Aktion von Ihnen. Der Azure Key Vault-Dienst verschlüsselt Ihre geheimen Schlüssel, wenn Sie sie hinzufügen und diese automatisch entschlüsseln, wenn Sie sie lesen.
Der Verschlüsselungsblattschlüssel der Schlüsselhierarchie ist für jeden Schlüsseltresor eindeutig. Der Verschlüsselungsstammschlüssel der Schlüsselhierarchie ist für die Sicherheitswelt einzigartig. Informationen zu den FIPS-Überprüfungsstufen für jede Key Vault-Ebene und verwaltetes HSM finden Sie unter About keys: Compliance.
Geheime Attribute
Zusätzlich zu den geheimen Daten können Sie die folgenden Attribute angeben:
- exp: IntDate, optional, Standard ist forever. Das Exp-Attribut (Ablaufzeit) legt die Ablaufzeit fest, nach der die geheimen Daten nicht abgerufen werden sollen, außer in bestimmten Situationen. Dieses Feld dient nur zu Informationszwecken , da es Die Benutzer des Schlüsseltresordiensts darüber informiert, dass ein bestimmter geheimer Schlüssel nicht verwendet werden darf. Der Wert muss eine Zahl sein, die einen IntDate-Wert enthält.
- nbf: IntDate, optional, Standard ist jetzt. Das nbf -Attribut (nicht zuvor) legt die Zeit fest, vor der die geheimen Daten nicht abgerufen werden sollen, außer in bestimmten Situationen. Dieses Feld dient nur informationszwecken . Der Wert muss eine Zahl sein, die einen IntDate-Wert enthält.
- enabled: boolesch, optional, Standard ist true. Dieses Attribut gibt an, ob die Geheimnisdaten abgerufen werden können. Verwenden Sie das aktivierte Attribut mit nbf und exp. Wenn ein Vorgang zwischen nbf und exp auftritt, ist der Vorgang nur zulässig, wenn " true" aktiviert ist. Vorgänge außerhalb des Nbf - und Exp-Fensters sind außer in bestimmten Situationen automatisch unzulässig.
Die folgenden schreibgeschützten Attribute sind in jeder Antwort enthalten, die Secret-Attribute enthält:
- created: IntDate, optional (wahlweise). Das „created“-Attribut gibt an, wann diese Version des Geheimnisses erstellt wurde. Dieser Wert ist NULL für Geheimnisse, die vor dem Hinzufügen dieses Attributs erstellt wurden. Der Wert muss eine Zahl sein, die einen IntDate-Wert enthält.
- aktualisiert: IntDate, optional. Das updated-Attribut gibt an, wann diese Version des Geheimnisses aktualisiert wurde. Dieser Wert ist NULL für Geheimnisse, die vor dem Hinzufügen dieses Attributs zuletzt aktualisiert wurden. Der Wert muss eine Zahl sein, die einen IntDate-Wert enthält.
Informationen zu allgemeinen Attributen für jeden Schlüsseltresorobjekttyp finden Sie unter Azure Key Vault Schlüssel, Geheimschlüssel und Zertifikatübersicht.
Durch Datum und Uhrzeit gesteuerte Vorgänge
Der Get-Vorgang funktioniert für Geheimnisse, die noch nicht gültig sind oder abgelaufen sind, außerhalb des nbf / exp-Fensters. Der Aufruf des get-Vorgangs eines Secret für ein noch nicht gültiges Secret kann zu Testzwecken verwendet werden. Das Abrufen (holen) eines abgelaufenen Secrets kann für Wiederherstellungsoperationen verwendet werden.
Geheimniszugriffssteuerung
Die Zugriffssteuerung für geheime Schlüssel, die in Key Vault verwaltet werden, wird auf der Ebene der key vault bereitgestellt, die diese geheimen Schlüssel enthält. Die Richtlinie für die Zugriffssteuerung für Secrets unterscheidet sich von der Richtlinie für die Zugriffssteuerung für Schlüssel im selben Key Vault. Benutzer können einen oder mehrere Tresore erstellen, um Geheimnisse zu speichern, und müssen szenariogerechte Segmentierung und Verwaltung von Geheimnissen gewährleisten.
Verwenden Sie die folgenden Berechtigungen für jedes Prinzipal im Eintrag für die Zugriffssteuerung für Secrets in einem Vault. Diese Berechtigungen spiegeln die Vorgänge, die für ein geheimes Objekt zulässig sind, genau wider:
Berechtigungen für Geheimnisverwaltungsvorgänge
- get: Ein Geheimnis lesen
- list: Auflisten der Geheimnisse oder Versionen eines Geheimnisses, die in einem Key Vault gespeichert sind.
- set: Ein Geheimnis erstellen
- löschen: Löschen eines Geheimnisses
- wiederherstellen: Ein gelöschtes Geheimnis wiederherstellen
- backup: Sichern eines Geheimnisses in einem Schlüsseltresor
- restore: Wiederherstellen eines gesicherten Geheimnisses in einem Schlüsseltresor
Berechtigungen für privilegierte Vorgänge
- Löschen: Löschen (dauerhaft löschen) eines gelöschten Geheimnisses
Weitere Informationen zum Arbeiten mit Geheimnissen finden Sie unter Operationen mit Geheimnissen in der Key Vault REST-API-Referenz. Informationen zum Einrichten von Berechtigungen finden Sie unter Vaults – Create or Update and Vaults – Update Access Policy.
Anleitungen zum Steuern des Zugriffs in Key Vault:
- Zugriff auf Schlüssel, Zertifikate und Geheimnisse des Key Vault mit Azure rollenbasierter Zugriffssteuerung (empfohlen)
- Assignieren einer Key Vault Zugriffsrichtlinie (Legacy)
Geheimnistags
Sie können mehr anwendungsspezifische Metadaten in Form von Tags angeben. Key Vault unterstützt bis zu 15 Tags, von denen jeder einen 512-Zeichen-Namen und einen 512-Zeichen-Wert aufweisen kann.
Hinweis
Wenn ein Anrufer über die Liste verfügt oder die Berechtigung erhält , können sie Tags lesen.
Verwendungsszenarios
| Wann verwenden | Beispiele |
|---|---|
| Sicheres Speichern, Verwalten des Lebenszyklus und Überwachen von Anmeldeinformationen (z. B. Kennwörter, Zugriffsschlüssel und geheime Clientschlüssel für Dienstprinzipale) für die Kommunikation zwischen Diensten. |
-
Verwenden Sie Azure Key Vault mit einer virtuellen Maschine Nutzen Sie Azure Key Vault mit einer Azure Web App |
Nächste Schritte
- Key management in Azure
- Best Practices für das Geheimnismanagement in Key Vault
- About Key Vault
- Informationen zu Schlüsseln, geheimen Schlüsseln und Zertifikaten
- Assignieren Sie eine Key Vault Zugriffsrichtlinie
- Zugriff auf Key Vault Schlüssel, Zertifikate und Geheimnisse mit Azure rollenbasierter Zugriffssteuerung
- Sicherer Zugang zu einem Schlüsselspeicher
- Key Vault Entwicklerhandbuch