Introdução ao Key Vault no Azure Stack Hub

Pré-requisitos

• Subscreva uma oferta que inclua o serviço Key Vault do Azure.
• O PowerShell está instalado e configurado para utilização com o Azure Stack Hub.

noções básicas Key Vault

Key Vault no Azure Stack Hub ajuda a salvaguardar chaves criptográficas e segredos que as aplicações e os serviços na cloud utilizam. Ao utilizar Key Vault, pode encriptar chaves e segredos, tais como:

• Chaves de autenticação
• Chaves de contas de armazenamento
• Chaves de encriptação de dados
• Ficheiros .pfx
• Palavras-passe

O Key Vault simplifica o processo de gestão de chaves e permite-lhe manter o controlo das chaves que acedem e encriptam os seus dados. Os programadores podem criar as chaves de desenvolvimento e teste em minutos e migrá-las totalmente para as chaves de produção. Os administradores de segurança podem conceder (e revogar) permissões a chaves conforme necessário.

Qualquer pessoa com uma subscrição do Azure Stack Hub pode criar e utilizar cofres de chaves. Embora Key Vault beneficie os programadores e os administradores de segurança, o operador que gere outros serviços do Azure Stack Hub para uma organização pode implementá-lo e geri-lo. Por exemplo, o operador do Azure Stack Hub pode iniciar sessão com uma subscrição do Azure Stack Hub e criar um cofre para a organização na qual armazenar chaves. Assim que terminar, podem:

• Criar ou importar uma chave ou segredo.
• Revogar ou eliminar uma chave ou segredo.
• Autorize utilizadores ou aplicações a aceder ao cofre de chaves para que possam gerir ou utilizar as respetivas chaves e segredos.
• Configurar a utilização da chave (por exemplo, assinar ou encriptar).

Em seguida, o operador pode fornecer aos programadores identificadores de recursos uniformes (URIs) para ligar a partir das respetivas aplicações.

Os programadores também podem gerir as chaves diretamente através de APIs. Para obter mais informações, consulte o guia do programador Key Vault.

Cenários

Os cenários seguintes descrevem como Key Vault podem ajudar a satisfazer as necessidades dos programadores e administradores de segurança.

Programador para uma aplicação do Azure Stack Hub

Problema: Quero escrever uma aplicação para o Azure Stack Hub que utilize chaves para assinatura e encriptação. Quero que estas chaves sejam externas da minha aplicação para que a solução seja adequada para uma aplicação distribuída geograficamente.

Instrução: As chaves são armazenadas num cofre e invocadas por um URI quando necessário.

Programador de software como um serviço (SaaS)

Problema: Não quero a responsabilidade ou potencial responsabilidade pelas chaves e segredos do meu cliente. Quero que os clientes possuam e giram as suas chaves para que me possa concentrar em fazer o que faço melhor, que é fornecer as principais funcionalidades de software.

Instrução: Os clientes podem importar e gerir as suas próprias chaves no Azure Stack Hub.

Chief Security Officer (CSO)

Problema: Quero certificar-me de que a minha organização controla o ciclo de vida das chaves e que pode monitorizar a utilização de chaves.

Declaração: Key Vault foi concebido para que a Microsoft não veja nem extraia as suas chaves. Quando uma aplicação precisa de realizar operações criptográficas com chaves de cliente, Key Vault utiliza as chaves em nome da aplicação. A aplicação não vê as chaves do cliente. Embora utilizemos vários serviços e recursos do Azure Stack Hub, pode gerir as chaves a partir de uma única localização no Azure Stack Hub. O cofre fornece uma única interface, independentemente do número de cofres que tem no Azure Stack Hub, que regiões suportam e que aplicações os utilizam.

Passos seguintes

• Gerir Key Vault no Azure Stack Hub pelo portal
• Gerir Key Vault no Azure Stack Hub com o PowerShell