探索 Azure Key Vault
Azure Key Vault 服務支援兩種容器:保存庫和受控硬體安全性模組 (HSM) 集區。 保存庫支援儲存軟體和由 HSM 支援的金鑰、秘密和憑證。 受控 HSM 集區僅支援由 HSM 支援的金鑰。
Azure Key Vault 協助解決下列問題:
祕密管理:Azure Key Vault 可用來安全地儲存權杖、密碼、憑證、API 金鑰和其他祕密,並嚴密控制其存取
金鑰管理:Azure Key Vault 也可作為金鑰管理解決方案。 Azure Key Vault 可讓您輕鬆建立和控制用來加密資料的加密金鑰。
憑證管理:Azure Key Vault 也是一項服務,可讓您輕鬆地佈建、管理及部署 Azure 和您內部連線的資源所使用的公用和私人安全通訊端層/傳輸層安全性 (SSL/TLS) 憑證。
Azure Key Vault 有兩個服務層級:標準層,使用軟體金鑰進行加密;以及進階層,其中包含受硬體安全模組 (HSM) 保護的金鑰。 若要查看標準層與進階層之間的比較,請參閱 Azure Key Vault 定價頁面。
使用 Azure Key Vault 的主要優點
集中式應用程式祕密:在 Azure Key Vault 中集中儲存應用程式祕密,可讓您控制其散發。 例如,您可以在 Key Vault 中安全儲存連接字串,而不用在應用程式程式碼中儲存連接字串。 您的應用程式可以使用 URI 安全地存取其所需的資訊。 這些 URI 可讓應用程式擷取特定版本的祕密。
安全儲存祕密和金鑰:您可以在 Key Vault 中安全儲存連接字串,而不用在應用程式程式碼中儲存連接字串。 驗證會透過 Microsoft Entra ID 來完成。 授權可透過 Azure 角色型存取控制 (Azure RBAC) 或 Key Vault 存取原則來完成。 Azure RBAC 可用於保存庫管理和存取儲存在保存庫中的資料,而金鑰保存庫存取原則只能在嘗試存取儲存在保存庫中的資料時使用。 Azure Key Vault 可能受軟體保護或搭配 Azure Key Vault 進階層,讓硬體受到硬體安全模組 (HSM) 保護。
監視存取和使用:您可以藉由啟用保存庫的記錄來監視活動。 您可以控制您的記錄,藉由限制存取權來保護它們,也可以刪除您不再需要的記錄。 Azure Key Vault 可以設定為:
- 封存至儲存體帳戶。
- 串流處理至事件中樞。
- 將記錄傳送至 Azure 監視器記錄。
簡化的應用程式祕密管理:安全性資訊必須受到保護,其必須遵循生命週期,而且必須保持高可用性。 Azure Key Vault 可藉由下列功能,簡化符合這些需求的程序:
- 無須具備硬體安全性模組的內部知識
- 在短時間內相應增加,以符合組織的使用尖峰。
- 將區域內的 Key Vault 內容複寫到次要區域。 資料複寫可確保高可用性,並可讓管理員無須執行任何動作來觸發容錯移轉。
- 透過入口網站、Azure CLI 和 PowerShell 提供標準 Azure 系統管理選項。
- 自動對向公開 CA 購買的憑證執行一些作業,例如註冊或續約。