浏览 Azure Key Vault
Azure Key Vault 服务支持两种类型的容器:保管库和托管硬件安全模块(HSM)池。 保管库支持存储软件以及 HSM 支撑的密钥、秘密信息和证书。 托管 HSM 池仅支持 HSM 支持的密钥。
Azure Key Vault 可帮助解决以下问题:
机密管理: Azure Key Vault 可用于安全地存储和严格控制对令牌、密码、证书、API 密钥和其他机密的访问
密钥管理: Azure Key Vault 还可以用作密钥管理解决方案。 使用 Azure Key Vault 可以轻松创建和控制用于加密数据的加密密钥。
证书管理: Azure Key Vault 也是一项服务,可用于轻松预配、管理和部署公共和专用安全套接字层/传输层安全性(SSL/TLS)证书,以用于 Azure 和内部连接资源。
Azure Key Vault 有两个服务层级:标准层,使用软件密钥进行加密,以及高级层,其中包括硬件安全模块(HSM)保护的密钥。 若要查看标准层与高级层之间的比较,请参阅 Azure Key Vault 定价页。
使用 Azure Key Vault 的主要优势
集中式应用程序机密: 集中存储 Azure Key Vault 中的应用程序机密可以控制其分发。 例如,可以在 Key Vault 中安全地存储连接字符串,而不是将连接字符串存储在应用的代码中。 应用程序可以使用 URI 安全地访问所需的信息。 这些 URI 允许应用程序检索特定版本的机密。
安全地存储机密和密钥: 访问密钥保管库需要适当的身份验证和授权,然后调用方(用户或应用程序)才能获取访问权限。 身份验证通过 Microsoft Entra ID 完成。 可以通过 Azure 基于角色的访问控制(Azure RBAC)或 Key Vault 访问策略来完成授权。 Azure RBAC 可用于管理保管库和访问保管库中存储的数据,而密钥保管库访问策略只能在尝试访问存储在保管库中的数据时使用。 Azure Key Vault 可以由软件保护,或者在 Azure Key Vault 高级层中,由硬件安全模块(HSM)进行硬件保护。
监视访问和使用: 可以通过为保管库启用日志记录来监视活动。 你可以控制日志,可以通过限制访问来保护日志,还可以删除不再需要的日志。 可将 Azure Key Vault 配置为:
- 存档到存储帐户。
- 流式传输到事件中心。
- 将日志发送到 Azure Monitor 日志。
简化的应用程序机密管理: 必须保护安全信息,它必须遵循生命周期,并且必须高度可用。 Azure Key Vault 通过以下方式简化了满足这些要求的过程:
- 消除对硬件安全模块内部知识的需求
- 在短时间内快速扩展以应对组织的使用激增。
- 将你的 Key Vault 内容复制到一个区域内,以及复制到一个次要区域。 数据复制可确保高可用性,并不需要管理员采取任何措施来触发故障转移。
- 通过门户、Azure CLI 和 PowerShell 提供标准 Azure 管理选项。
- 自动化处理您从公共 CA 购买的证书上的某些任务,例如注册和续期。