了解 Azure Key Vault
Azure Key Vault 服务支持两种类型的容器:保管库和托管硬件安全模块 (HSM) 池。 保管库支持存储软件和 HSM 支持的密钥、机密和证书。 托管 HSM 池仅支持 HSM 支持的密钥。
Azure Key Vault 有助于解决以下问题:
机密管理:Azure Key Vault 可以用来安全地存储令牌、密码、证书、API 密钥和其他机密并严格控制对它们的访问
密钥管理:Azure Key Vault 也可用作密钥管理解决方案。 可以通过 Azure Key Vault 轻松创建和控制用于加密数据的加密密钥。
证书管理:Azure Key Vault 也是一项服务,可用来轻松地预配、管理和部署公用和专用安全套接字层/传输层安全性 (SSL/TLS) 证书,这些证书可以与 Azure 以及你的内部连接资源配合使用。
Azure Key Vault 具有两个服务层级:标准层(使用软件密钥加密)和高级层(包含受硬件安全模块 [HSM] 保护的密钥)。 若要查看标准层和高级层之间的比较,请参阅 Azure Key Vault 定价页。
描述使用 Azure Key Vault 的主要好处
集中管理应用程序机密:集中存储 Azure Key Vault 中的应用程序机密可以控制其分发。 例如,可以将连接字符串安全地存储在 Key Vault中,而不是将连接字符串存储在应用中。 应用程序可以使用 URI 安全访问其所需的信息。 这些 URI 允许应用程序检索特定版本的机密。
安全地存储机密和密钥:访问 Key Vault 需要适当的身份验证和授权,调用方(用户或应用程序)才能获得访问权限。 身份验证通过 Microsoft Entra ID 完成。 授权可以通过 Azure 基于角色的访问控制 (Azure RBAC) 或 Key Vault 访问策略来完成。 Azure RBAC 可用于管理保管库和访问存储在该保管库中的数据,而密钥保管库访问策略只能用于尝试访问存储在保管库中的数据。 Azure Key Vault 可能受软件保护,或在 Azure Key Vault 高级层中由硬件安全模块 (HSM) 提供硬件保护。
监视访问和使用:可通过为保管库启用日志记录来监视活动。 可以控制自己的日志,可以通过限制访问权限来确保日志的安全,还可以删除不再需要的日志。 Azure Key Vault 可配置为:
- 存档到存储帐户。
- 流式传输到事件中心。
- 将日志发送到 Azure Monitor 日志。
简化了应用程序机密的管理:安全信息必须受到保护,必须遵循生命周期,并且必须高度可用。 Azure Key Vault 可通过以下操作简化满足这些要求的过程:
- 无需内部硬件安全模块知识
- 收到通知后很快就可以进行纵向扩展,满足组织的使用高峰需求。
- 在某个区域内复制 Key Vault 的内容,并将其复制到次要区域。 数据复制可确保高可用性,不需管理员操作即可触发故障转移。
- 通过门户、Azure CLI 和 PowerShell 提供标准的 Azure 管理选项。
- 针对从公共 CA 购买的证书自动执行某些任务,如注册和续订。