Udostępnij za pośrednictwem

Informacje o kluczach zarządzanego konta magazynu usługi Azure Key Vault (starsza wersja)

  • Artykuł

Ważne

Zalecamy korzystanie z integracji usługi Azure Storage z usługą Microsoft Entra ID, opartą na chmurze usługą zarządzania tożsamościami i dostępem firmy Microsoft. Integracja firmy Microsoft Entra jest dostępna dla obiektów blob i kolejek platformy Azure oraz zapewnia dostęp oparty na tokenach OAuth2 do usługi Azure Storage (podobnie jak usługa Azure Key Vault). Microsoft Entra ID umożliwia uwierzytelnianie aplikacji klienckiej przy użyciu aplikacji lub tożsamości użytkownika zamiast poświadczeń konta magazynu. Tożsamość zarządzana firmy Microsoft Entra można użyć podczas uruchamiania na platformie Azure. Tożsamości zarządzane usuwają potrzebę uwierzytelniania klienta i przechowywania poświadczeń w aplikacji lub w aplikacji. Użyj poniższego rozwiązania tylko wtedy, gdy uwierzytelnianie firmy Microsoft Entra nie jest możliwe.

Konto usługi Azure Storage używa poświadczeń składających się z nazwy konta i klucza. Klucz jest generowany automatycznie i służy jako hasło, a nie jako klucz kryptograficzny. Usługa Key Vault zarządza kluczami konta magazynu przez okresowe ponowne generowanie ich na koncie magazynu i zapewnia tokeny sygnatury dostępu współdzielonego na potrzeby delegowanego dostępu do zasobów na koncie magazynu.

Możesz użyć funkcji klucza zarządzanego konta magazynu usługi Key Vault, aby wyświetlić listę (synchronizować) klucze przy użyciu konta usługi Azure Storage i okresowo ponownie wygenerować (obracać) klucze. Klucze można zarządzać zarówno dla kont magazynu, jak i klasycznych kont magazynu.

Zarządzanie kluczami konta usługi Azure Storage

Usługa Key Vault może zarządzać kluczami kont usługi Azure Storage:

  • Wewnętrznie usługa Key Vault może wyświetlać listę (synchronizować) klucze przy użyciu konta usługi Azure Storage.
  • Usługa Key Vault okresowo ponownie generuje (obraca) klucze.
  • Wartości klucza nigdy nie są zwracane w odpowiedzi na obiekt wywołujący.
  • Usługa Key Vault zarządza kluczami zarówno kont magazynu, jak i klasycznych kont magazynu.

Aby uzyskać więcej informacji, zobacz:

Kontrola dostępu do konta magazynu

Podczas autoryzowania użytkownika lub jednostki aplikacji w celu wykonywania operacji na zarządzanym koncie magazynu można użyć następujących uprawnień:

  • Uprawnienia do operacji zarządzanego konta magazynu i saS-definition

    • get: Pobiera informacje o koncie magazynu
    • lista: Wyświetlanie listy kont magazynu zarządzanych przez usługę Key Vault
    • update: Aktualizowanie konta magazynu
    • usuwanie: usuwanie konta magazynu
    • odzyskiwanie: odzyskiwanie usuniętego konta magazynu
    • kopia zapasowa: tworzenie kopii zapasowej konta magazynu
    • przywracanie: Przywracanie kopii zapasowej konta magazynu do usługi Key Vault
    • set: Tworzenie lub aktualizowanie konta magazynu
    • regeneratekey: Wygeneruj ponownie określoną wartość klucza dla konta magazynu
    • getsas: uzyskiwanie informacji o definicji sygnatury dostępu współdzielonego dla konta magazynu
    • listas: Wyświetlanie listy definicji sygnatury dostępu współdzielonego magazynu dla konta magazynu
    • deletesas: usuwanie definicji sygnatury dostępu współdzielonego z konta magazynu
    • setsas: Tworzenie lub aktualizowanie nowej definicji/atrybutów sygnatury dostępu współdzielonego dla konta magazynu

  • Uprawnienia do operacji uprzywilejowanych

    • przeczyszczanie: przeczyszczanie (trwałe usuwanie) zarządzanego konta magazynu

Aby uzyskać więcej informacji, zobacz Operacje konta magazynu w dokumentacji interfejsu API REST usługi Key Vault. Aby uzyskać informacje na temat ustanawiania uprawnień, zobacz Magazyny — tworzenie lub aktualizowanie i magazyny — aktualizowanie zasad dostępu.

Następne kroki