Freigeben über


Übersicht über Schlüssel, Geheimnisse und Zertifikate in Azure Key Vault

Microsoft Azure-Anwendungen und -Benutzer*innen können verschiedene Arten von geheimen Daten/Schlüsseldaten in Azure Key Vault speichern: Schlüssel, Geheimnisse und Zertifikate. Schlüssel, Geheimnisse und Zertifikate werden zusammenfassend als „Objekte“ bezeichnet.

Objektkennungen

Objekte werden innerhalb von Key Vault durch einen Bezeichner ohne Beachtung der Groß-/Kleinschreibung eindeutig identifiziert, den sogenannten Objektbezeichner. Unabhängig vom geografischen Standort weisen zwei Objekte im System nie denselben Bezeichner auf. Der Bezeichner besteht aus einem Präfix, das den Schlüsseltresor, den Objekttyp, den benutzerseitig angegebenen Objektnamen und eine Objektversion identifiziert. Bezeichner, die keine Objektversion enthalten, werden „Basisbezeichner“ genannt. Key Vault-Objektbezeichner sind ebenfalls gültige URLs, sollten jedoch immer als Zeichenfolgen ohne Beachtung der Groß-/Kleinschreibung verglichen werden.

Weitere Informationen finden Sie unter Authentifizierung, Anforderungen und Antworten.

Ein Objektbezeichner hat das folgende allgemeine Format (abhängig vom Containertyp):

  • Für Schlüsseltresore:https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Für Pools verwalteter HSMs:https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Hinweis

Weitere Informationen zu den von den einzelnen Containertypen unterstützten Objekttypen finden Sie unter Objekttypunterstützung.

Hierbei gilt:

Element BESCHREIBUNG
vault-name oder hsm-name Der Name eines Schlüsseltresors oder Pools verwalteter HSMs im Microsoft Azure Key Vault-Dienst.

Schlüsseltresornamen und Namen von Pools verwalteter HSMs werden vom Benutzer ausgewählt und sind global eindeutig.

Der Name des Tresors und des Pools verwalteter HSMs muss zwischen 3 und 24 Zeichen lang sein und darf nur die Ziffern 0-9, die Buchstaben a-z und A-Z und keine aufeinanderfolgenden Minuszeichen („-“) enthalten.
object-type Die Art des Objekts (Schlüssel, Geheimnisse oder Zertifikate).
object-name Ein object-name ist ein benutzerseitig angegebener Name und muss innerhalb eines Schlüsseltresors eindeutig sein. Der Name muss zwischen 1 und 127 Zeichen lang sein und darf nur die Ziffern 0-9, die Buchstaben a-z und A-Z sowie das Minuszeichen („-“) enthalten.
object-version Ein object-version ist ein vom System generierter, 32 Zeichen langer Zeichenfolgenbezeichner, der optional verwendet wird, um eine eindeutige Version eines Objekts zu adressieren.

DNS-Suffixe für Objektbezeichner

Der Azure Key Vault-Ressourcenanbieter unterstützt zwei Ressourcentypen: Tresore und verwaltete HSMs. Diese Tabelle zeigt das DNS-Suffix, das vom Datenebenenendpunkt für Tresore und Pools verwalteter HSMs in verschiedenen Cloudumgebungen verwendet wird.

Cloudumgebung DNS-Suffix für Tresore DNS-Suffix für verwaltete HSMs
Azure Cloud .vault.azure.net .managedhsm.azure.net
Microsoft Azure operated by 21Vianet Cloud .vault.azure.cn Nicht unterstützt
Azure US Government .vault.usgovcloudapi.net Nicht unterstützt
Azure German Cloud .vault.microsoftazure.de Nicht unterstützt

Objekttypen

In der Tabelle sind die Objekttypen und ihre Suffixe im Objektbezeichner aufgeführt.

Objekttyp Bezeichnersuffix Tresore Pools verwalteter HSMs
HSM-geschützte Schlüssel /keys Unterstützt Unterstützt
Softwaregeschützte Schlüssel /keys Unterstützt Nicht unterstützt
Geheimnisse /secrets Unterstützt Nicht unterstützt
Zertifikate /certificates Unterstützt Nicht unterstützt
Speicherkontoschlüssel /storage Unterstützt Nicht unterstützt
  • Kryptografische Schlüssel: Unterstützt mehrere Schlüsseltypen und Algorithmen und ermöglicht die Verwendung von softwaregeschützten und durch HSM geschützten Schlüsseln. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.
  • Geheimnisse: Bieten einen sicheren Speicher für Geheimnisse wie Kennwörter und Datenbank-Verbindungszeichenfolgen. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Geheimnissen.
  • Zertifikate: Unterstützen Zertifikate, die auf Schlüsseln und Geheimnissen aufbauen, und fügt ein Feature für die automatisierte Verlängerung hinzu. Beachten Sie: Wenn ein Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und ein Geheimnis gleichen Namens erstellt. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.
  • Azure-Speicherkontenschlüssel: Kann die Schlüssel eines Azure Storage-Kontos für Sie verwalten. Intern kann Key Vault Schlüssel für ein Azure Storage-Konto auflisten (synchronisieren) und die Schlüssel in regelmäßigen Abständen erneut generieren (rotieren). Weitere Informationen finden Sie unter Verwalten von Speicherkontoschlüsseln mit Key Vault und der Azure-Befehlszeilenschnittstelle.

Weitere allgemeine Informationen zu Key Vault finden Sie unter Informationen zu Azure Key Vault. Weitere Informationen zu Pools verwalteter HSMs finden Sie unter Was ist verwaltetes HSM von Azure Key Vault?.

Datentypen

In den JOSE-Spezifikationen finden Sie relevante Datentypen für Schlüssel, Verschlüsselung und Signatur.

  • algorithm: ein unterstützter Algorithmus für einen Schlüsselvorgang, z.B. RSA1_5.
  • ciphertext-value: Verschlüsselungstextoktette, codiert mit Base64URL.
  • digest-value: die Ausgabe eines Hashalgorithmus, codiert mit Base64URL.
  • key-type: einer der unterstützten Schlüsseltypen, z.B. RSA (Rivest-Shamir-Adleman).
  • plaintext-value: Klartextoktette, codiert mit Base64URL.
  • signature-value: die Ausgabe eines Signaturalgorithmus, codiert mit Base64URL.
  • base64URL: ein mit Base64URL [RFC4648] codierter Binärwert.
  • boolean: entweder TRUE oder FALSE.
  • Identität – eine Identität von Microsoft Entra ID.
  • IntDate: ein dezimaler JSON-Wert, der die Anzahl von Sekunden von 1970-01-01T0:0:0Z UTC bis zum angegebenen UTC-Datum / zur angegebenen UTC-Uhrzeit darstellt. Details in Bezug auf Datum/Uhrzeit im Allgemeinen und UTC im Besonderen finden Sie der Dokumentation zu RFC 3339.

Objekte, Bezeichner und Versionsverwaltung

In Key Vault gespeicherte Objekte werden versioniert, wenn eine neue Instanz eines Objekts erstellt wird. Jeder Version wird ein eindeutiger Objektbezeichner zugewiesen. Wenn ein Objekt zum ersten Mal erstellt wird, erhält es einen eindeutigen Versionsbezeichner und wird als aktuelle Version des Objekts gekennzeichnet. Beim Erstellen einer neuen Instanz mit dem gleichen Objektnamen erhält das neue Objekt einen eindeutigen Versionsbezeichner und wird zur aktuellen Version.

Beim Abrufen von Objekten in Key Vault kann eine bestimmte Version angegeben werden. Die Version kann auch weggelassen werden, um die neueste Version des Objekts abzurufen. Wenn in Objekten Vorgänge ausgeführt werden sollen, muss eine bestimmte Version des Objekts angegeben werden.

Hinweis

Die Werte, die Sie für Azure-Ressourcen- oder Objekt-IDs angeben, können zum Zwecke der Ausführung des Diensts global kopiert werden. Der bereitgestellte Wert sollte keine persönlich identifizierbaren oder sensiblen Informationen enthalten.

Nächste Schritte