Co je Azure Key Vault?
Azure Key Vault je úložiště tajných kódů: centralizovaná cloudová služba pro ukládání tajných kódů aplikací, jako jsou hodnoty konfigurace, jako jsou hesla a připojovací řetězec, které musí zůstat zabezpečené vždy. Key Vault pomáhá řídit tajné kódy aplikací tím, že je uchovává v jednom centrálním umístění. Poskytuje zabezpečený přístup, řízení oprávnění a protokolování přístupu.
Hlavní výhody používání služby Key Vault:
- Oddělení citlivých informací o aplikaci od jiné konfigurace a kódu, což snižuje riziko náhodného úniku
- Omezený přístup k tajným kódům pomocí zásad přístupu, které jsou přizpůsobené potřebám aplikací a jednotlivců
- Centralizované úložiště tajných kódů, což znamená, že požadované změny musí být provedeny pouze na jednom místě
- Protokolování a monitorování přístupu, díky kterému snadno zjistíte, jak a kdy někdo zkoušel k tajným kódům získat přístup
Tajné kódy jsou uložené v jednotlivých trezorech, což jsou prostředky Azure používané k seskupování tajných kódů. Správa tajných kódů a trezorů se provádí pomocí rozhraní REST API. Toto rozhraní API podporují také všechny nástroje pro správu Azure a klientské knihovny dostupné pro mnoho oblíbených jazyků. Každý trezor má jedinečnou adresu URL, na které je rozhraní API hostované.
Důležité
Úložiště Key Vault je navržené na ukládání tajných konfiguračních kódů serverových aplikací. Není určená k ukládání dat patřících uživatelům vaší aplikace. Nemělo by se používat v klientské části aplikace. Toto chování se odráží v charakteristikách výkonu, rozhraní API a modelu nákladů.
Uživatelská data by měla být uložená někde jinde, například v databázi Azure SQL s Transparentním šifrováním dat nebo v účtu úložiště s Šifrováním služby Storage. Tajné kódy, které vaše aplikace používá pro přístup k těmto úložištům dat, se dají uchovávat ve službě Key Vault.
Co je tajný kód v úložišti Key Vault?
Tajný kód v úložišti Key Vault je dvojice řetězců název–hodnota. Názvy tajných kódů můžou mít délku 1–127 znaků, smí obsahovat jenom alfanumerické znaky a pomlčky a musí být v rámci trezoru jedinečné. Hodnotou tajného kódu může být libovolný řetězec UTF-8 o velikosti až 25 KB.
Tip
Názvy tajných kódů samy o sobě nemusí být považované za tajné. Pokud si to implementace vyžaduje, můžete je uchovávat v konfiguraci vaší aplikace. Totéž platí pro názvy a adresy URL trezorů.
Poznámka:
Key Vault podporuje dva další druhy tajných kódů nad rámec řetězců: klíče a certifikáty. Key Vault poskytuje užitečné funkce specifické pro jejich případy použití. Tento modul tyto funkce nepopisuje a soustředí se na tajné řetězce, jako jsou hesla a připojovací řetězce.
Ověřování a uživatelská oprávnění k trezoru
Rozhraní API služby Key Vault používá k ověřování uživatelů a aplikací ID Microsoft Entra. Zásady přístupu k trezoru jsou založené na akcích a platí pro celý trezor. Například aplikace s oprávněními Get (číst tajné hodnoty), List (seznam názvů všech tajných kódů) a Set (vytvářet nebo aktualizovat hodnoty tajných kódů) v trezoru může vytvářet tajné kódy, vypisovat všechny názvy tajných kódů a získávat a nastavovat všechny hodnoty tajných kódů v tomto trezoru.
Všechny akce prováděné v trezoru vyžadují ověřování a autorizaci. Neexistuje způsob, jak udělit jakýkoli druh anonymního přístupu.
Tip
Když udělíte trezoru přístup vývojářům a aplikacím, udělte jenom minimální sadu potřebných oprávnění. Omezení oprávnění pomáhají vyhnout se nehodám způsobeným chybami kódu a snížit dopad odcizených přihlašovacích údajů nebo škodlivého kódu vloženého do vaší aplikace.
Vývojáři obvykle potřebují Get jenom trezor vývojového prostředí a List oprávnění. Někteří inženýři potřebují úplná oprávnění ke změně a přidání tajných kódů v případě potřeby.
U aplikací se často vyžadují jenom Get oprávnění. Některé aplikace můžou vyžadovat List v závislosti na způsobu implementace aplikace. Aplikace ve cvičení tohoto modulu vyžaduje List oprávnění z důvodu techniky, kterou používá ke čtení tajných kódů z trezoru.