Informacje o wpisach tajnych usługi Azure Key Vault
Usługa Key Vault zapewnia bezpieczny magazyn ogólnych wpisów tajnych, takich jak hasła i parametry połączenia bazy danych.
Z perspektywy dewelopera interfejsy API usługi Key Vault akceptują i zwracają wartości wpisów tajnych jako ciągi. Wewnętrznie usługa Key Vault przechowuje wpisy tajne i zarządza nimi jako sekwencjami oktetów (8-bitowych bajtów), z maksymalnym rozmiarem 25 tys. bajtów. Usługa Key Vault nie udostępnia semantyki dla wpisów tajnych. Akceptuje jedynie dane, szyfruje je, przechowuje i zwraca identyfikator wpisu tajnego (id
). Identyfikator może służyć do pobierania wpisu tajnego w późniejszym czasie.
W przypadku wysoce poufnych danych klienci powinni rozważyć dodatkowe warstwy ochrony danych. Jednym z przykładów jest szyfrowanie danych przy użyciu oddzielnego klucza ochrony w celu przechowywania ich w usłudze Key Vault.
Usługa Key Vault obsługuje również pole contentType dla wpisów tajnych. Klienci mogą określić typ zawartości wpisu tajnego, aby ułatwić interpretację danych tajnych podczas pobierania. Maksymalna długość tego pola wynosi 255 znaków. Sugerowane użycie jest wskazówką dotyczącą interpretowania tajnych danych. Na przykład implementacja może przechowywać zarówno hasła, jak i certyfikaty jako wpisy tajne, a następnie użyć tego pola do odróżnienia. Brak wstępnie zdefiniowanych wartości.
Szyfrowanie
Wszystkie wpisy tajne w usłudze Key Vault są przechowywane jako zaszyfrowane. Usługa Key Vault szyfruje wpisy tajne magazynowane za pomocą hierarchii kluczy szyfrowania, a wszystkie klucze w tej hierarchii są chronione przez moduły zgodne ze standardem FIPS 140-2. To szyfrowanie jest przezroczyste i nie wymaga żadnej akcji od użytkownika. Usługa Azure Key Vault szyfruje wpisy tajne podczas ich dodawania i odszyfrowuje je automatycznie podczas ich odczytywania.
Klucz liścia szyfrowania hierarchii kluczy jest unikatowy dla każdego magazynu kluczy. Klucz główny szyfrowania hierarchii kluczy jest unikatowy dla świata zabezpieczeń, a jego poziom ochrony różni się między regionami:
- Chiny: klucz główny jest chroniony przez moduł zweryfikowany dla standardu FIPS 140-2 Level 1.
- Inne regiony: klucz główny jest chroniony przez moduł zweryfikowany dla standardu FIPS 140-2 poziom 2 lub nowszy.
Atrybuty wpisów tajnych
Oprócz danych tajnych można określić następujące atrybuty:
- exp: Wartość intDate, opcjonalna, wartość domyślna to na zawsze. Atrybut exp (czas wygaśnięcia) identyfikuje czas wygaśnięcia, po którym nie należy pobierać danych tajnych, z wyjątkiem określonych sytuacji. To pole służy tylko do celów informacyjnych , ponieważ informuje użytkowników usługi magazynu kluczy, że określony wpis tajny może nie być używany. Jego wartość MUSI być liczbą zawierającą wartość IntDate.
- nbf: IntDate, opcjonalnie, wartość domyślna to teraz. Atrybut nbf (nie przed) identyfikuje czas, przed którym nie należy pobierać tajnych danych, z wyjątkiem określonych sytuacji. To pole służy tylko do celów informacyjnych . Jego wartość MUSI być liczbą zawierającą wartość IntDate.
- włączone: wartość logiczna, opcjonalna, wartość domyślna to true. Ten atrybut określa, czy można pobrać dane tajne. Włączony atrybut jest używany z nbf i exp, gdy operacja występuje między nbf i exp, będzie dozwolona tylko wtedy, gdy włączono wartość true. Operacje poza oknem nbf i exp są automatycznie niedozwolone, z wyjątkiem określonych sytuacji.
Istnieje więcej atrybutów tylko do odczytu, które są zawarte w dowolnej odpowiedzi, która zawiera atrybuty wpisu tajnego:
- created: IntDate, opcjonalnie. Utworzony atrybut wskazuje, kiedy ta wersja wpisu tajnego została utworzona. Ta wartość ma wartość null dla wpisów tajnych utworzonych przed dodaniu tego atrybutu. Jego wartość musi być liczbą zawierającą wartość IntDate.
- zaktualizowano: Data intDate, opcjonalnie. Zaktualizowany atrybut wskazuje, kiedy ta wersja wpisu tajnego została zaktualizowana. Ta wartość ma wartość null dla wpisów tajnych, które zostały ostatnio zaktualizowane przed dodaniu tego atrybutu. Jego wartość musi być liczbą zawierającą wartość IntDate.
Aby uzyskać informacje na temat typowych atrybutów dla każdego typu obiektu magazynu kluczy, zobacz Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault
Operacje kontrolowane przez datę i godzinę
Operacja pobierania wpisu tajnego będzie działać dla nieprawidłowych i wygasłych wpisów tajnych poza oknem exp nbf / . Wywoływanie operacji pobierania wpisu tajnego dla nieważnego wpisu tajnego może być używane do celów testowych. Pobieranie (pobieranie) wygasłego wpisu tajnego może służyć do operacji odzyskiwania.
Kontrola dostępu do kluczy tajnych
Kontrola dostępu dla wpisów tajnych zarządzanych w usłudze Key Vault jest udostępniana na poziomie usługi Key Vault, która zawiera te wpisy tajne. Zasady kontroli dostępu dla wpisów tajnych różnią się od zasad kontroli dostępu dla kluczy w tym samym usłudze Key Vault. Użytkownicy mogą tworzyć co najmniej jeden magazyn do przechowywania wpisów tajnych i muszą zachować odpowiednią segmentację scenariusza i zarządzanie wpisami tajnymi.
Następujące uprawnienia mogą być używane dla poszczególnych podmiotów zabezpieczeń we wpisie kontroli dostępu wpisów tajnych w magazynie i ściśle dublować operacje dozwolone w obiekcie tajnym:
Uprawnienia do operacji zarządzania wpisami tajnymi
- get: Odczytywanie wpisu tajnego
- lista: Wyświetlanie listy wpisów tajnych lub wersji wpisu tajnego przechowywanego w usłudze Key Vault
- set: Tworzenie wpisu tajnego
- usuwanie: usuwanie wpisu tajnego
- odzyskiwanie: Odzyskiwanie usuniętego wpisu tajnego
- kopia zapasowa: tworzenie kopii zapasowej wpisu tajnego w magazynie kluczy
- przywracanie: Przywracanie kopii zapasowej wpisu tajnego do magazynu kluczy
Uprawnienia do operacji uprzywilejowanych
- przeczyszczanie: Przeczyszczanie (trwałe usuwanie) usuniętego wpisu tajnego
Aby uzyskać więcej informacji na temat pracy z wpisami tajnymi, zobacz Operacje wpisów tajnych w dokumentacji interfejsu API REST usługi Key Vault. Aby uzyskać informacje na temat ustanawiania uprawnień, zobacz Magazyny — tworzenie lub aktualizowanie i magazyny — aktualizowanie zasad dostępu.
Przewodniki z instrukcjami dotyczącymi kontrolowania dostępu w usłudze Key Vault:
- Przypisywanie zasad dostępu usługi Key Vault przy użyciu interfejsu wiersza polecenia
- Przypisywanie zasad dostępu usługi Key Vault przy użyciu programu PowerShell
- Przypisywanie zasad dostępu usługi Key Vault przy użyciu witryny Azure Portal
- Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach na platformie Azure
Tagi wpisów tajnych
Można określić więcej metadanych specyficznych dla aplikacji w postaci tagów. Usługa Key Vault obsługuje maksymalnie 15 tagów, z których każda może mieć nazwę 512 znaków i wartość 512 znaków.
Uwaga
Tagi są czytelne przez obiekt wywołujący, jeśli mają listę lub uzyskają uprawnienia.
Scenariusze użycia
Kiedy używać | Przykłady |
---|---|
Bezpieczne przechowywanie, zarządzanie cyklem życia i monitorowanie poświadczeń dla komunikacji między usługami, takich jak hasła, klucze dostępu, wpisy tajne klienta jednostki usługi. | - Używanie usługi Azure Key Vault z maszyną wirtualną - Używanie usługi Azure Key Vault z aplikacją internetową platformy Azure |
Następne kroki
- Zarządzanie kluczami na platformie Azure
- Najlepsze rozwiązania dotyczące zarządzania wpisami tajnymi w usłudze Key Vault
- Informacje o usłudze Key Vault
- Informacje o kluczach, wpisach tajnych i certyfikatach
- Przypisywanie zasad dostępu do usługi Key Vault
- Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach na platformie Azure
- Bezpieczny dostęp do magazynu kluczy
- Przewodnik dewelopera usługi Key Vault