Informace o tajných kódech služby Azure Key Vault
Key Vault poskytuje zabezpečené úložiště obecných tajných kódů, jako jsou hesla a databáze připojovací řetězec.
Z pohledu vývojáře rozhraní API služby Key Vault přijímají a vracejí tajné hodnoty jako řetězce. Key Vault ukládá a spravuje tajné kódy jako posloupnosti oktetů (8bitových bajtů) s maximální velikostí 25 tisíc bajtů. Služba Key Vault neposkytuje sémantiku tajných kódů. Přijímá pouze data, šifruje je, ukládá a vrací tajný identifikátor (id
). Identifikátor lze později použít k načtení tajného kódu.
U vysoce citlivých dat by klienti měli zvážit další vrstvy ochrany dat. Příkladem může být šifrování dat pomocí samostatného ochranného klíče před uložením ve službě Key Vault.
Key Vault také podporuje pole contentType pro tajné kódy. Klienti mohou určit typ obsahu tajného klíče, který pomáhá interpretovat tajná data při jejich načtení. Maximální délka tohoto pole je 255 znaků. Navrhované použití je jako tip pro interpretaci tajných dat. Implementace může například ukládat hesla i certifikáty jako tajné kódy a pak toto pole použít k rozlišení. Neexistují žádné předdefinované hodnoty.
Šifrování
Všechny tajné kódy ve službě Key Vault se ukládají zašifrované. Key Vault šifruje neaktivní uložená tajné kódy s hierarchií šifrovacích klíčů, přičemž všechny klíče v této hierarchii jsou chráněné moduly, které jsou kompatibilní se standardem FIPS 140-2. Toto šifrování je transparentní a nevyžaduje žádnou akci od uživatele. Služba Azure Key Vault zašifruje vaše tajné kódy při jejich přidání a při jejich čtení je automaticky dešifruje.
Šifrovací klíč listové hierarchie klíčů je jedinečný pro každý trezor klíčů. Šifrovací kořenový klíč hierarchie klíčů je jedinečný pro svět zabezpečení a jeho úroveň ochrany se liší mezi oblastmi:
- Čína: Kořenový klíč je chráněn modulem, který se ověřuje pro FIPS 140-2 Level 1.
- Další oblasti: Kořenový klíč je chráněný modulem, který je ověřený pro FIPS 140-2 úroveň 2 nebo vyšší.
Tajné atributy
Kromě tajných dat mohou být zadány následující atributy:
- Exp: IntDate, volitelné, výchozí hodnota je navždy. Atribut exp (čas vypršení platnosti) identifikuje dobu vypršení platnosti, po které by se neměla načítat tajná data, s výjimkou konkrétních situací. Toto pole je určené pouze pro informační účely, protože informuje uživatele o službě trezoru klíčů, že konkrétní tajný kód nelze použít. Její hodnota musí být číslo obsahující hodnotu IntDate.
- nbf: IntDate, volitelné, výchozí je nyní. Atribut nbf (ne před) identifikuje čas, před kterým by se tajné údaje NEMĚLY načítat, s výjimkou konkrétních situací. Toto pole je určené pouze pro informační účely. Její hodnota musí být číslo obsahující hodnotu IntDate.
- enabled: boolean, optional, default is true. Tento atribut určuje, jestli je možné načíst tajná data. Povolený atribut se používá s nbf a exp, když dojde k operaci mezi nbf a exp, bude povolen pouze v případě, že je povoleno na hodnotu true. Operace mimo okno nbf a exp jsou automaticky zakázány, s výjimkou konkrétních situací.
Existují další atributy jen pro čtení, které jsou zahrnuty v jakékoli odpovědi, která obsahuje atributy tajných kódů:
- vytvořeno: IntDate, volitelné. Vytvořený atribut označuje, kdy byla vytvořena tato verze tajného kódu. Tato hodnota je null pro tajné kódy vytvořené před přidáním tohoto atributu. Její hodnota musí být číslo obsahující hodnotu IntDate.
- aktualizováno: IntDate, volitelné. Aktualizovaný atribut označuje, kdy byla tato verze tajného kódu aktualizována. Tato hodnota je null pro tajné kódy, které byly naposledy aktualizovány před přidáním tohoto atributu. Její hodnota musí být číslo obsahující hodnotu IntDate.
Informace o běžných atributech pro každý typ objektu trezoru klíčů najdete v tématu Přehled klíčů, tajných kódů a certifikátů služby Azure Key Vault.
Operace řízené datem a časem
Operace získání tajného kódu bude fungovat pro dosud platné a prošlé tajné kódy mimo okno nbf / exp. Volání operace získání tajného kódu, pro dosud neplatný tajný klíč, lze použít pro testovací účely. Načtení (získání) tajného klíče s vypršenou platností se dá použít pro operace obnovení.
Řízení přístupu k tajným klíčům
Řízení přístupu pro tajné kódy spravované ve službě Key Vault je k dispozici na úrovni služby Key Vault, která obsahuje tyto tajné kódy. Zásady řízení přístupu pro tajné kódy se liší od zásad řízení přístupu pro klíče ve stejné službě Key Vault. Uživatelé mohou vytvořit jeden nebo více trezorů, které budou uchovávat tajné kódy, a vyžadují se k udržování scénáře odpovídající segmentace a správy tajných kódů.
V položce řízení přístupu k tajným kódům v trezoru je možné použít následující oprávnění a pečlivě zrcadlit operace povolené u tajného objektu:
Oprávnění pro operace správy tajných kódů
- get: Čtení tajného kódu
- list: Výpis tajných kódů nebo verzí tajného kódu uloženého ve službě Key Vault
- set: Vytvoření tajného kódu
- delete: Odstranění tajného kódu
- obnovení: Obnovení odstraněného tajného kódu
- zálohování: Zálohování tajného klíče v trezoru klíčů
- obnovení: Obnovení zálohovaného tajného klíče do trezoru klíčů
Oprávnění pro privilegované operace
- vyprázdnění: Vyprázdnění (trvalé odstranění) odstraněného tajného kódu
Další informace o práci s tajnými kódy najdete v tématu Operace tajných kódů v referenčních informacích k rozhraní REST API služby Key Vault. Informace o navazování oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace a trezory – Zásady přístupu k aktualizacím.
Průvodci řízením přístupu ve službě Key Vault:
- Přiřazení zásad přístupu ke službě Key Vault pomocí rozhraní příkazového řádku
- Přiřazení zásad přístupu ke službě Key Vault pomocí PowerShellu
- Přiřazení zásad přístupu ke službě Key Vault pomocí webu Azure Portal
- Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure
Tajné značky
Ve formě značek můžete zadat další metadata specifická pro aplikaci. Key Vault podporuje až 15 značek, z nichž každý může mít 512 znaků a hodnotu 512 znaků.
Poznámka:
Značky jsou čitelné volajícím, pokud mají seznam nebo mají oprávnění.
Scénáře použití
Vhodné použití služby | Příklady |
---|---|
Bezpečně ukládejte, spravujte životní cyklus a monitorujte přihlašovací údaje pro komunikaci mezi službami, jako jsou hesla, přístupové klíče, tajné kódy klienta instančního objektu. | - Použití služby Azure Key Vault s virtuálním počítačem - Použití služby Azure Key Vault s webovou aplikací Azure |
Další kroky
- Správa klíčů v Azure
- Osvědčené postupy pro správu tajných kódů ve službě Key Vault
- Informace o službě Key Vault
- Informace o klíčích, tajných kódech a certifikátech
- Přiřazení zásad přístupu ke službě Key Vault
- Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure
- Zabezpečený přístup k trezoru klíčů
- Průvodce vývojáře pro službu Key Vault