Az - Key Vault
Основна інформація
З документації: Azure Key Vault - це хмарна служба для безпечного зберігання та доступу до секретів. Секрет - це все, до чого ви хочете жорстко контролювати доступ, таке як ключі API, паролі, сертифікати або криптографічні ключі. Служба Key Vault підтримує два типи контейнерів: сховища та керовані пули апаратних засобів безпеки (HSM). Сховища підтримують зберігання програмних та HSM-підтримуваних ключів, секретів та сертифікатів. Керовані пулі HSM підтримують лише HSM-підтримувані ключі. Див. Огляд REST API Azure Key Vault для повних відомостей.
Формат URL - https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Де:
vault-name
- це глобально унікальне ім'я сховища ключівobject-type
може бути "keys", "secrets" або "certificates"object-name
- це унікальне ім'я об'єкта в межах сховища ключівobject-version
- система генерується та використовується за потреби для адресування унікальної версії об'єкта.
Для доступу до секретів, збережених у сховищі, можна використовувати 2 моделі дозволів:
Політика доступу до сховища
Azure RBAC
Контроль доступу
Доступ до ресурсу Key Vault контролюється двома площинами:
Площина управління, яка має на меті management.azure.com.
Вона використовується для управління сховищем ключів та політиками доступу. Підтримується лише Azure role based access control (RBAC).
Площина даних, яка має на меті
<vault-name>.vault.azure.com
.Вона використовується для управління та доступу до даних (ключі, секрети та сертифікати) у сховищі ключів. Це підтримує політики доступу до сховища ключів або Azure RBAC.
Роль, така як Contributor, яка має дозволи на площині управління для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.
Вбудовані ролі RBAC Key Vault
Мережевий доступ
У Azure Key Vault можна налаштувати правила брандмауера, щоб дозволити операції площини даних лише з вказаних віртуальних мереж або діапазонів IPv4. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть переглядати ключі, секрети або сертифікати в сховищі ключів, якщо їх IP-адреса входу не знаходиться у визначеному діапазоні.
Для аналізу та управління цими налаштуваннями можна використовувати Azure CLI:
Попередня команда відображатиме налаштування брандмауера name-vault
, включаючи діапазони IP-адрес, які дозволені, та політики для відхиленого трафіку.
Перелік
Last updated