Az - Key Vault
Основна інформація
З документації: Azure Key Vault - це хмарний сервіс для безпечного зберігання та доступу до секретів. Секрет - це будь-що, до чого ви хочете строго контролювати доступ, наприклад, API ключі, паролі, сертифікати або криптографічні ключі. Сервіс Key Vault підтримує два типи контейнерів: сховища та керовані пули апаратних модулів безпеки (HSM). Сховища підтримують зберігання програмних та HSM-підтримуваних ключів, секретів та сертифікатів. Керовані пули HSM підтримують лише HSM-підтримувані ключі. Дивіться огляд REST API Azure Key Vault для повних деталей.
Формат URL: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Де:
vault-name
- це глобально унікальне ім'я сховища ключівobject-type
може бути "keys", "secrets" або "certificates"object-name
- це унікальне ім'я об'єкта в сховищі ключівobject-version
генерується системою і використовується для адресації унікальної версії об'єкта.
Для доступу до секретів, що зберігаються в сховищі, можуть використовуватися 2 моделі дозволів:
Політика доступу до сховища
Azure RBAC
Контроль доступу
Доступ до ресурсу Key Vault контролюється двома площинами:
Площина управління, ціль якої management.azure.com.
Використовується для управління сховищем ключів та політиками доступу. Підтримується лише Azure рольовий контроль доступу (RBAC).
Площина даних, ціль якої
<vault-name>.vault.azure.com
.Використовується для управління та доступу до даних (ключів, секретів та сертифікатів) в сховищі ключів. Це підтримує політики доступу до сховища ключів або Azure RBAC.
Роль, така як Contributor, яка має дозволи в площині управління для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.
Вбудовані ролі Key Vault RBAC
Мережевий доступ
В Azure Key Vault можна налаштувати правила брандмауера для дозволу операцій з площиною даних лише з вказаних віртуальних мереж або діапазонів IPv4 адрес. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть переглядати ключі, секрети або сертифікати в сховищі ключів, якщо їх IP-адреса входу не знаходиться в дозволеному діапазоні.
Для аналізу та управління цими налаштуваннями можна використовувати Azure CLI:
Попередня команда відобразить налаштування брандмауера name-vault
, включаючи дозволені діапазони IP-адрес та політики для забороненого трафіку.
Перелічення
Last updated