Hva er Azure Key Vault?

  • 5 minutter

Azure Key Vault er en hemmelig butikk: en sentralisert skytjeneste for lagring av apphemmeligheter, for eksempel konfigurasjonsverdier som passord og tilkoblingsstrenger som alltid må være sikre. Key Vault hjelper deg med å kontrollere appens hemmeligheter ved å holde dem på ett sentralt sted. Den gir sikker tilgang, tillatelseskontroll og tilgangslogging.

De viktigste fordelene ved å bruke Key Vault er:

  • Separasjon av sensitiv appinformasjon fra annen konfigurasjon og kode, noe som reduserer risikoen for utilsiktede lekkasjer.
  • Begrenset hemmelig tilgang med tilgangspolicyer som er skreddersydd for appene og enkeltpersoner som trenger dem.
  • Sentralisert hemmelig lagring, noe som betyr at nødvendige endringer bare må gjøres på ett sted.
  • Få tilgang til logging og overvåking for å hjelpe deg med å forstå hvordan og når hemmeligheter åpnes.

Hemmeligheter lagres i individuelle hvelv, som er Azure-ressurser som brukes til å gruppere hemmeligheter sammen. Hemmelig tilgang og hvelvadministrasjon utføres ved hjelp av en REST-API. Alle azure-administrasjonsverktøyene og klientbibliotekene som er tilgjengelige for mange populære språk, støtter også denne API-en. Hvert hvelv har en unik NETTADRESSE der API-en driftes.

Viktig

Key Vault er utformet for å lagre konfigurasjonshemmeligheter for serverapper. Det er ikke ment for lagring av data som tilhører brukerne av appen. Den skal ikke brukes i klientdelen av en app. Denne virkemåten gjenspeiles i ytelsesegenskapene, API-en og kostnadsmodellen.

Brukerdata bør lagres andre steder, for eksempel i en Azure SQL-database med Gjennomsiktig datakryptering, eller en lagringskonto med Storage Service Encryption. Hemmeligheter appen bruker til å få tilgang til disse datalagrene, kan oppbevares i Key Vault.

Hva er en hemmelighet i Key Vault?

I Key Vault er en hemmelighet et navneverdipar med strenger. Hemmelige navn må være 1-127 tegn lange, inneholde bare alfanumeriske tegn og bindestreker, og må være unike i et hvelv. En hemmelig verdi kan være en hvilken som helst UTF-8-streng på opptil 25 kB.

Tips

Hemmelige navn trenger ikke å betraktes som spesielt hemmelige selv. Du kan lagre dem i appens konfigurasjon hvis implementeringen krever det. Det samme gjelder hvelvnavn og nettadresser.

Notat

Key Vault støtter to ekstra typer hemmeligheter utover strenger: nøkler og sertifikater. Key Vault gir nyttig funksjonalitet som er spesifikk for deres brukstilfeller. Denne modulen dekker ikke disse funksjonene og konsentrerer seg om hemmelige strenger som passord og tilkoblingsstrenger.

Hvelvgodkjenning og tillatelser

Key Vaults API bruker Microsoft Entra ID til å godkjenne brukere og apper. Hvelvtilgangspolicyer er basert på handlinger og brukes på tvers av et helt hvelv. For eksempel kan en app med Get (lese hemmelige verdier), List (listenavn på alle hemmeligheter) og Set (opprette eller oppdatere hemmelige verdier) tillatelser til et hvelv opprette hemmeligheter, liste opp alle hemmelige navn og få og angi alle hemmelige verdier i dette hvelvet.

Alle handlinger som utføres i et hvelv, krever godkjenning og godkjenning. Det er ikke mulig å gi noen form for anonym tilgang.

Tips

Når du gir hvelvtilgang til utviklere og apper, gir du bare minimumssettet med tillatelser som kreves. Tillatelsesbegrensninger bidrar til å unngå ulykker forårsaket av kodefeil, og redusere virkningen av stjålet legitimasjon eller skadelig kode som settes inn i appen.

Utviklere trenger vanligvis bare Get og List tillatelser til et hvelv for utviklingsmiljø. Noen ingeniører trenger fulle tillatelser til å endre og legge til hemmeligheter når det er nødvendig.

For apper kreves ofte bare Get tillatelser. Noen apper kan kreve List avhengig av hvordan appen implementeres. Appen i denne modulens øvelse krever List tillatelse på grunn av teknikken den bruker til å lese hemmeligheter fra hvelvet.