Общие сведения о хранилище ключей Azure Stack Hub
Предварительные требования
- Подписка на предложение, которое включает службу Azure Key Vault.
- PowerShell должен быть установлен и настроен для использования с Azure Stack Hub.
Основные сведения о хранилище ключей
Хранилище ключей в Azure Stack Hub помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. С помощью Key Vault можно зашифровать ключи и секреты, например:
- ключи проверки подлинности;
- Ключи учетной записи хранения
- ключи шифрования данных;
- PFX-файлы;
- Пароли
Хранилище Key Vault упрощает управление ключами и позволяет поддерживать контроль над ключами, которые предоставляют доступ к вашим данным и шифруют их. Разработчики могут за считанные минуты создавать ключи для разработки и тестирования, а затем с легкостью использовать их в рабочей среде. По необходимости администраторы безопасности могут предоставлять (и отзывать) разрешения на использование ключей.
Хранилища ключей может создавать и использовать любой пользователь, у которого есть подписка Azure Stack Hub. Хотя хранилища ключей предоставляют преимущества для разработчиков и администраторов безопасности, оператор организации, который управляет в ней другими службами Azure Stack Hub, может также реализовать хранилища и управлять ими. Например, оператор Azure Stack Hub может войти в систему, используя подписку Azure Stack Hub, и создать для организации хранилище для размещения ключей. После этого будут доступны следующие возможности:
- создание или импорт ключа или секрета;
- отзыв или удаление ключа или секрета;
- авторизация пользователей или приложений для доступа к хранилищу ключей с возможностью использования и администрирования ключей и секретов;
- настройка использования ключей (например, подписи и шифрования).
Оператор может предоставить разработчикам универсальные коды ресурсов (URI) для вызова из приложений.
Разработчики могут управлять ключами напрямую с помощью API. См. руководство разработчика Key Vault.
Сценарии
В следующих сценариях демонстрируется, как Key Vault помогает выполнять требования разработчиков и администраторов систем безопасности.
Разработчик приложения Azure Stack Hub
Проблема: Я хочу написать приложение для Azure Stack Hub, которое использует ключи для подписывания и шифрования. Но эти ключи должны быть внешними по отношению к приложению, чтобы решение подходило для географически удаленного приложения.
Заявление: Ключи хранятся в хранилище и вызываются URI при необходимости.
Разработчик программного обеспечения как услуги (SaaS)
Проблема: Я не хочу ответственность или потенциальную ответственность за ключи и секреты моего клиента. Мне нужно, чтобы заказчики владели и управляли своими ключами, а мне можно было полностью сосредоточиться на своей основной работе, а именно предоставлении базовых функций программного обеспечения.
Заявление: Клиенты могут импортировать собственные ключи и управлять ими в Azure Stack Hub.
Руководитель службы безопасности
Проблема. Я также хочу убедиться, что моя организация может управлять жизненным циклом ключей и отслеживать их использование.
Оператор: Key Vault разработан таким образом, чтобы корпорация Майкрософт не видела и не извлекла ваши ключи. Когда приложению нужно выполнять операции шифрования, используя пользовательские ключи, Key Vault делает это от имени приложения. Приложение не видит эти ключи. Кроме того, хотя мы используем множество служб и ресурсов Azure Stack Hub, необходимо, чтобы ключами можно было управлять из одного расположения в Azure Stack Hub. Хранилище предоставляет единый интерфейс, независимо от количества хранилищ в Azure Stack Hub, поддерживаемых регионов и использующих их приложений.