Om azure Key Vault-hanterade lagringskontonycklar (äldre)

Viktigt!

Vi rekommenderar att du använder Azure Storage-integrering med Microsoft Entra ID, Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Microsoft Entra-integrering är tillgängligt för Azure-blobar och köer och ger OAuth2 tokenbaserad åtkomst till Azure Storage (precis som Azure Key Vault). Med Microsoft Entra-ID kan du autentisera klientprogrammet med hjälp av ett program eller en användaridentitet, i stället för autentiseringsuppgifter för lagringskontot. Du kan använda en Microsoft Entra-hanterad identitet när du kör på Azure. Hanterade identiteter tar bort behovet av klientautentisering och lagring av autentiseringsuppgifter i eller med ditt program. Använd endast lösningen nedan när Microsoft Entra-autentisering inte är möjlig.

Ett Azure Storage-konto använder autentiseringsuppgifter som består av ett kontonamn och en nyckel. Nyckeln genereras automatiskt och fungerar som ett lösenord i stället för en kryptografisk nyckel. Key Vault hanterar lagringskontonycklar genom att regelbundet återskapa dem i lagringskontot och ger signaturtoken för delad åtkomst för delegerad åtkomst till resurser i ditt lagringskonto.

Du kan använda key vault-funktionen för hanterade lagringskonton för att lista (synkronisera) nycklar med ett Azure-lagringskonto och återskapa (rotera) nycklarna med jämna mellanrum. Du kan hantera nycklar för både lagringskonton och klassiska lagringskonton.

Nyckelhantering för Azure Storage-konto

Key Vault kan hantera Azure Storage-kontonycklar :

• Internt kan Key Vault lista (synkronisera) nycklar med ett Azure-lagringskonto.
• Key Vault återskapar (roterar) nycklarna med jämna mellanrum.
• Nyckelvärden returneras aldrig som svar på anroparen.
• Key Vault hanterar nycklar för både lagringskonton och klassiska lagringskonton.

Mer information finns i:

• Åtkomstnycklar för lagringskonto
• Hantering av lagringskontonycklar i Azure Key Vault

Åtkomstkontroll för lagringskonto

Följande behörigheter kan användas när du auktoriserar en användare eller ett programhuvudnamn för att utföra åtgärder på ett hanterat lagringskonto:

• Behörigheter för hanterade lagringskonton och SaS-definitionsåtgärder

  • get: Hämtar information om ett lagringskonto
  • list: Lista lagringskonton som hanteras av ett Key Vault
  • update: Uppdatera ett lagringskonto
  • ta bort: Ta bort ett lagringskonto
  • återställ: Återställa ett borttaget lagringskonto
  • säkerhetskopiering: Säkerhetskopiera ett lagringskonto
  • återställning: Återställa ett säkerhetskopierat lagringskonto till ett Key Vault
  • set: Skapa eller uppdatera ett lagringskonto
  • regeneratekey: Återskapa ett angivet nyckelvärde för ett lagringskonto
  • getas: Hämta information om en SAS-definition för ett lagringskonto
  • listsas: Lista SAS-definitioner för lagring för ett lagringskonto
  • deletesas: Ta bort en SAS-definition från ett lagringskonto
  • setsas: Skapa eller uppdatera en ny SAS-definition/attribut för ett lagringskonto

• Behörigheter för privilegierade åtgärder

  • rensa: Rensa (ta bort permanent) ett hanterat lagringskonto

Mer information finns i Lagringskontoåtgärder i KEY Vault REST API-referensen. Information om hur du upprättar behörigheter finns i Valv – Skapa eller uppdatera och valv – Uppdatera åtkomstprincip.

Nästa steg

• Hantera lagringskontonycklar med Key Vault och Azure CLI
• Om Key Vault
• Om nycklar, hemligheter och certifikat
• Metodtips för hantering av hemligheter i Key Vault
• Utvecklarguide för Key Vault