Wprowadzenie do Key Vault w usłudze Azure Stack Hub

Wymagania wstępne

• Subskrybuj ofertę obejmującą usługę Azure Key Vault.
• Program PowerShell jest instalowany i skonfigurowany do użycia z usługą Azure Stack Hub.

podstawy Key Vault

Key Vault w usłudze Azure Stack Hub pomaga chronić klucze kryptograficzne i wpisy tajne używane przez aplikacje i usługi w chmurze. Za pomocą Key Vault można szyfrować klucze i wpisy tajne, takie jak:

• Klucze uwierzytelniania
• Klucze kont magazynu
• Klucze szyfrowania danych
• Pliki pfx
• Hasła

Usługa Key Vault usprawnia proces zarządzania kluczami i pozwala zachować kontrolę nad kluczami, które mają dostęp do danych i szyfrują je. Deweloperzy mogą w klika minut utworzyć klucze do programowania i testowania, a następnie bezproblemowo przeprowadzić ich migrację do kluczy produkcji. Administratorzy zabezpieczeń mogą w razie potrzeby udzielać (i odwoływać) uprawnień do kluczy.

Każda osoba z subskrypcją usługi Azure Stack Hub może tworzyć magazyny kluczy i korzystać z nich. Mimo że Key Vault korzyści dla deweloperów i administratorów zabezpieczeń, operator zarządzający innymi usługami Azure Stack Hub dla organizacji może ją implementować i zarządzać nią. Na przykład operator usługi Azure Stack Hub może zalogować się przy użyciu subskrypcji usługi Azure Stack Hub i utworzyć magazyn dla organizacji, w której mają być przechowywane klucze. Po wykonaniu tych czynności mogą:

• Utwórz lub zaimportuj klucz lub wpis tajny.
• Odwoływanie lub usuwanie klucza lub wpisu tajnego.
• Autoryzuj użytkowników lub aplikacje w celu uzyskania dostępu do magazynu kluczy, aby mogli następnie zarządzać kluczami i wpisami tajnymi lub używać ich.
• Konfigurowanie użycia klucza (na przykład podpisywanie lub szyfrowanie).

Operator może następnie udostępnić deweloperom ujednolicone identyfikatory zasobów (URI) do wywołania z aplikacji.

Deweloperzy mogą również zarządzać kluczami bezpośrednio przy użyciu interfejsów API. Aby uzyskać więcej informacji, zobacz przewodnik dewelopera Key Vault.

Scenariusze

W poniższych scenariuszach opisano, jak Key Vault mogą pomóc w spełnieniu potrzeb deweloperów i administratorów zabezpieczeń.

Deweloper aplikacji usługi Azure Stack Hub

Problem: Chcę napisać aplikację dla usługi Azure Stack Hub, która używa kluczy do podpisywania i szyfrowania. Chcę, aby te klucze były zewnętrzne od mojej aplikacji, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie.

Instrukcja: Klucze są przechowywane w magazynie i wywoływane przez identyfikator URI w razie potrzeby.

Deweloper oprogramowania jako usługi (SaaS)

Problem: Nie chcę ponosić odpowiedzialności ani potencjalnej odpowiedzialności za klucze i wpisy tajne klienta. Chcę, aby klienci mogli posiadać swoje klucze i zarządzać nimi, aby skupić się na tym, co robię najlepiej, co zapewnia podstawowe funkcje oprogramowania.

Instrukcja: Klienci mogą importować własne klucze i zarządzać nimi w usłudze Azure Stack Hub.

Dyrektor ds. zabezpieczeń (CSO)

Problem: Chcę upewnić się, że moja organizacja kontroluje cykl życia klucza i może monitorować użycie klucza.

Instrukcja: Key Vault jest zaprojektowana tak, aby firma Microsoft nie widziała ani nie wyodrębniała kluczy. Gdy aplikacja musi wykonywać operacje kryptograficzne przy użyciu kluczy klienta, Key Vault używa kluczy w imieniu aplikacji. Aplikacja nie widzi kluczy klienta. Chociaż używamy wielu usług i zasobów usługi Azure Stack Hub, można zarządzać kluczami z jednej lokalizacji w usłudze Azure Stack Hub. Magazyn udostępnia jeden interfejs niezależnie od liczby magazynów, które znajdują się w usłudze Azure Stack Hub, obsługiwanych przez nie regionach i których aplikacji używają.

Następne kroki

• Zarządzanie Key Vault w usłudze Azure Stack Hub za pomocą portalu
• Zarządzanie Key Vault w usłudze Azure Stack Hub przy użyciu programu PowerShell