Az - Key Vault
Podstawowe informacje
Z dokumentacji: Azure Key Vault to usługa chmurowa do bezpiecznego przechowywania i uzyskiwania dostępu do tajemnic. Tajemnica to cokolwiek, do czego chcesz ściśle kontrolować dostęp, takie jak klucze API, hasła, certyfikaty lub klucze kryptograficzne. Usługa Key Vault obsługuje dwa rodzaje kontenerów: skrytki i zarządzane moduły bezpieczeństwa sprzętowego (HSM). Skrytki obsługują przechowywanie kluczy, tajemnic i certyfikatów wspieranych przez oprogramowanie i HSM. Zarządzane moduły HSM obsługują tylko klucze wspierane przez HSM. Zobacz Przegląd interfejsu API REST Azure Key Vault dla pełnych szczegółów.
Format URL to https://{nazwa-skrzynki}.vault.azure.net/{typ-obiektu}/{nazwa-obiektu}/{wersja-obiektu}
Gdzie:
nazwa-skrzynki
to globalnie unikalna nazwa skrzynki na kluczetyp-obiektu
może być "klucze", "tajemnice" lub "certyfikaty"nazwa-obiektu
to unikalna nazwa obiektu w skrzynce na kluczewersja-obiektu
jest generowana przez system i opcjonalnie używana do odwoływania się do unikalnej wersji obiektu.
Aby uzyskać dostęp do przechowywanych w skrzynce tajemnic, można użyć 2 modeli uprawnień:
Polityka dostępu do skrzynki
Azure RBAC
Kontrola dostępu
Dostęp do zasobu Key Vault jest kontrolowany przez dwie płaszczyzny:
Płaszczyzna zarządzania, której celem jest management.azure.com.
Służy do zarządzania skrzynką na klucze i politykami dostępu. Obsługiwane jest tylko oparte na rolach dostępu do zasobów w Azure (RBAC).
Płaszczyzna danych, której celem jest
<nazwa-skrzynki>.vault.azure.com
.Służy do zarządzania i uzyskiwania dostępu do danych (kluczy, tajemnic i certyfikatów) w skrzynce na klucze. Obsługuje polityki dostępu do skrzynki na klucze lub Azure RBAC.
Rola tak jak Współtwórca, która ma uprawnienia w miejscu zarządzania do zarządzania politykami dostępu, może uzyskać dostęp do tajemnic, modyfikując polityki dostępu.
Wbudowane role RBAC w Key Vault
Dostęp sieciowy
W Azure Key Vault, można ustawić reguły firewalla w celu zezwolenia na operacje na płaszczyźnie danych tylko z określonych sieci wirtualnych lub zakresów adresów IPv4. To ograniczenie dotyczy również dostępu poprzez portal administracyjny Azure; użytkownicy nie będą mogli wyświetlać kluczy, tajemnic ani certyfikatów w skrzynce na klucze, jeśli ich adres IP logowania nie znajduje się w uprawnionym zakresie.
Do analizy i zarządzania tymi ustawieniami można użyć Azure CLI:
Poprzednia komenda wyświetli ustawienia firewalla name-vault
, w tym włączone zakresy IP i zasady dotyczące ruchu odrzuconego.
Wyliczanie
Wprowadzenie
Azure Key Vault to usługa zarządzania tajnymi danymi, takimi jak hasła, klucze szyfrowania i certyfikaty. Zapewnia bezpieczne przechowywanie, dostęp i zarządzanie tajnymi danymi. Może być wykorzystywana do przechowywania informacji uwierzytelniających, takich jak klucze API, które są wykorzystywane przez aplikacje i usługi w chmurze. Azure Key Vault oferuje również funkcje kontroli dostępu, audytowania oraz integracji z innymi usługami Azure.
Last updated