Vue d’ensemble des clés, secrets et certificats Azure Key Vault
Azure Key Vault permet aux applications Microsoft Azure et à leurs utilisateurs de stocker et d’utiliser plusieurs types de données de secret/clé : clés, secrets et certificats. Les clés, les secrets et les certificats sont collectivement appelés « objets ».
Identificateurs d'objet
Les objets sont identifiés de manière unique dans Key Vault à l’aide d’un identificateur qui ne respecte pas la casse appelé identificateur d’objet. Il n’y a pas deux objets avec le même identificateur dans le système, quel que soit l’emplacement géographique. L’identificateur est constitué d’un préfixe qui identifie le coffre de clés, du type d’objet, du nom d’objet fourni par l’utilisateur et d’une version d’objet. Les identificateurs qui n’incluent pas la version de l’objet sont appelés des « identificateurs de base ». Les identificateurs d’objet Key Vault sont également des URL valides, mais doivent toujours être comparés en tant que chaînes ne respectant pas la casse.
Pour plus d’informations, consultez Authentification, requêtes et réponses
Un identificateur d’objet a le format général suivant (selon le type de conteneur) :
Pour les coffres :
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Pour les pools Managed HSM :
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Notes
Pour connaître les types d’objets pris en charge par chaque type de conteneur, consultez Types d’objets.
Où :
Élément | Description |
---|---|
vault-name ou hsm-name |
Le nom d’un coffre de clés ou d’un pool HSM managé dans le service Microsoft Azure Key Vault. Les noms de coffre et de pool Managed HSM sont choisis par l’utilisateur et sont globalement uniques. Le nom d’un coffre ou d’un pool Managed HSM doit être une chaîne de 3 à 24 caractères, qui peut contenir uniquement des chiffres, des lettres (0-9, a-z, A-Z) et des tirets non consécutifs (-). |
object-type |
Le type de l’objet : « clés », « secrets » ou « certificats ». |
object-name |
Un object-name est un nom fourni par l’utilisateur et doit être unique dans un coffre de clés. Le nom doit être une chaîne comprise entre 1 et 127 caractères qui doit contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -). |
object-version |
Un object-version est un identificateur de chaîne de 32 caractères généré par le système qui peut être utilisé pour une version unique d’un objet. |
Suffixes DNS pour les identificateurs d’objets
Le fournisseur de ressources Azure Key Vault prend en charge deux types de ressources : les coffres et les HSM managés. Ce tableau montre le suffixe DNS utilisé par le point de terminaison de plan de données pour les coffres et les pools HSM managés dans divers environnements cloud.
Environnement cloud | Suffixe DNS pour les coffres | Suffixe DNS pour les HSM managés |
---|---|---|
Cloud Azure | .vault.azure.net | .managedhsm.azure.net |
Cloud Microsoft Azure géré par 21Vianet | .vault.azure.cn | Non pris en charge |
Azure US Government | .vault.usgovcloudapi.net | Non pris en charge |
Cloud Azure – Allemagne | .vault.microsoftazure.de | Non pris en charge |
Types d’objets
Ce tableau montre les types d’objet et leurs suffixes dans l’identificateur d’objet.
Type d’objet | Suffixe de l’identificateur | Coffres | Pools de HSM managés |
---|---|---|---|
Clés protégées par HSM | /keys | Prise en charge | Pris en charge |
Clés protégées par logiciel | /keys | Pris en charge | Non pris en charge |
Secrets | /secrets | Prise en charge | Non pris en charge |
Certificats | /certificates | Pris en charge | Non pris en charge |
Clés de compte de stockage | /storage | Prise en charge | Non pris en charge |
- Clés de chiffrement : Prend en charge plusieurs algorithmes et types de clés, et permet l’utilisation de clés protégées par logiciel et par HSM. Pour plus d’informations sur les clés, consultez À propos des clés.
- Secrets : Fournit un stockage sécurisé des secrets, comme les mots de passe et les chaînes de connexion de base de données. Pour plus d’informations, consultez À propos des secrets.
- Certificats : Prend en charge les certificats, qui sont basés sur des clés et des secrets, et ajoute une fonctionnalité de renouvellement automatique. Gardez à l’esprit que quand un certificat est créé, une clé et un secret adressables sont également créés avec le même nom. Pour plus d’informations, consultez À propos des certificats.
- Clés de compte Stockage Azure : Peut gérer pour vous les clés d’un compte Stockage Azure. En interne, Key Vault peut lister (synchroniser) les clés avec un compte Stockage Azure et regénérer (faire tourner) régulièrement les clés. Pour plus d’informations, consultez Gérer les clés de compte de stockage avec Key Vault.
Pour plus d’informations générales sur Key Vault, consultez À propos d’Azure Key Vault. Pour plus d’informations sur les pools de HSM managés, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?
Types de données
Reportez-vous aux spécifications JOSE pour les types de données appropriés pour les clés, le chiffrement et la signature.
- algorithm : Algorithme pris en charge pour une opération de clé, par exemple RSA_OAEP_256
- ciphertext-value : octets de texte de chiffrement, codés avec Base64URL
- digest-value : sortie d’un algorithme de hachage, codée avec Base64URL
- key-type : un des types de clés pris en charge, par exemple RSA (Rivest-Shamir-Adleman).
- plaintext-value : octets de texte en clair, codés avec Base64URL
- signature-value : sortie d’un algorithme de signature, codée avec Base64URL
- base64URL : valeur binaire codée Base64URL [RFC4648]
- boolean : true (vrai) ou false (faux)
- Identité : identité de Microsoft Entra ID.
- IntDate : valeur décimale JSON représentant le nombre de secondes entre 1970-01-01T0:0:0Z UTC et la date/heure UTC spécifiée. Consultez la RFC3339 pour plus d’informations sur les dates/heures en général, et sur UTC en particulier.
Objets, identificateurs et gestion de versions
Les objets stockés dans Key Vault sont versionnés chaque fois qu’une nouvelle instance d’un objet est créée. Chaque version se voit assigner un identificateur d’objet unique. Quand un objet est créé, il se voit attribuer un identificateur de version unique et est marqué comme version actuelle de l’objet. La création d’une nouvelle instance portant le même nom d’objet attribue au nouvel objet un identificateur de version unique, ce qui en fait la version actuelle.
Vous pouvez récupérer les objets dans Key Vault en spécifiant une version ou en l’omettant pour obtenir la dernière version de l’objet. L’exécution d’opérations sur des objets nécessite l’indication d’une version pour utiliser une version spécifique de l’objet.
Notes
Les valeurs que vous fournissez pour les ressources ou les ID d’objet Azure peuvent être copiées globalement dans le cadre de l’exécution du service. La valeur fournie ne doit pas inclure d’informations d’identification personnelle ou sensibles.