Introduktion till Key Vault i Azure Stack Hub
Förutsättningar
- Prenumerera på ett erbjudande som innehåller Azure Key Vault-tjänsten.
- PowerShell installeras och konfigureras för användning med Azure Stack Hub.
Key Vault grunderna
Key Vault i Azure Stack Hub hjälper till att skydda kryptografiska nycklar och hemligheter som molnappar och tjänster använder. Med hjälp av Key Vault kan du kryptera nycklar och hemligheter, till exempel:
- Autentiseringsnycklar
- Lagringskontonycklar
- Datakrypteringsnycklar
- .pfx-filer
- Lösenord
Key Vault förenklar nyckelhanteringen och låter dig behålla kontrollen över nycklar som kommer åt och krypterar data. Utvecklare kan skapa nycklar för utveckling och testning på några minuter och sedan sömlöst migrera dem till produktionsnycklar. Säkerhetsadministratörer kan bevilja (och återkalla) behörigheter till nycklar efter behov.
Alla med en Azure Stack Hub-prenumeration kan skapa och använda nyckelvalv. Även om Key Vault gynnar utvecklare och säkerhetsadministratörer kan operatören som hanterar andra Azure Stack Hub-tjänster för en organisation implementera och hantera dem. Azure Stack Hub-operatorn kan till exempel logga in med en Azure Stack Hub-prenumeration och skapa ett valv för organisationen där nycklar ska lagras. När det är klart kan de:
- Skapa eller importera en nyckel eller hemlighet.
- Återkalla eller ta bort en nyckel eller hemlighet.
- Ge användare eller appar behörighet att komma åt nyckelvalvet så att de sedan kan hantera eller använda dess nycklar och hemligheter.
- Konfigurera nyckelanvändning (till exempel signera eller kryptera).
Operatören kan sedan ge utvecklare URI:er (Uniform Resource Identifiers) att anropa från sina appar.
Utvecklare kan också hantera nycklarna direkt med hjälp av API:er. Mer information finns i utvecklarguiden för Key Vault.
Scenarier
Följande scenarier beskriver hur Key Vault kan hjälpa till att uppfylla behoven hos utvecklare och säkerhetsadministratörer.
Utvecklare för en Azure Stack Hub-app
Problem: Jag vill skriva en app för Azure Stack Hub som använder nycklar för signering och kryptering. Jag vill att dessa nycklar ska vara externa från min app så att lösningen är lämplig för en app som är geografiskt distribuerad.
Uttalande: Nycklar lagras i ett valv och anropas av en URI vid behov.
Utvecklare av programvara som en tjänst (SaaS)
Problem: Jag vill inte ha ansvar eller potentiellt ansvar för min kunds nycklar och hemligheter. Jag vill att kunderna ska äga och hantera sina nycklar så att jag kan koncentrera mig på att göra det jag gör bäst, vilket är att tillhandahålla de viktigaste programvarufunktionerna.
Uttalande: Kunder kan importera och hantera sina egna nycklar i Azure Stack Hub.
Chief Security Officer (CSO)
Problem: Jag vill se till att min organisation har kontroll över nyckellivscykeln och kan övervaka nyckelanvändningen.
Instruktion: Key Vault är utformad så att Microsoft inte ser eller extraherar dina nycklar. När en app behöver utföra kryptografiska åtgärder med hjälp av kundnycklar använder Key Vault nycklarna för appens räkning. Appen ser inte kundnycklarna. Även om vi använder flera Azure Stack Hub-tjänster och resurser kan du hantera nycklarna från en enda plats i Azure Stack Hub. Valvet har ett enda gränssnitt, oavsett hur många valv du har i Azure Stack Hub, vilka regioner de stöder och vilka appar som använder dem.