Příručka pro vývojáře ve službě Azure Key Vault
Azure Key Vault umožňuje bezpečný přístup k citlivým informacím z vašich aplikací:
- Klíče, tajné kódy a certifikáty jsou chráněné, aniž byste museli psát kód sami a můžete je snadno používat ze svých aplikací.
- Umožňujete zákazníkům vlastnit a spravovat vlastní klíče, tajné kódy a certifikáty, abyste se mohli soustředit na poskytování základních softwarových funkcí. Tímto způsobem nebudou vaše aplikace vlastnit odpovědnost ani potenciální odpovědnost za klíče tenanta, tajné kódy a certifikáty vašich zákazníků.
- Vaše aplikace může používat klíče pro podepisování a šifrování, ale správu klíčů z vaší aplikace neschová. Další informace najdete v tématu O klíčích.
- Přihlašovací údaje, jako jsou hesla, přístupové klíče a tokeny SAS, můžete spravovat tak, že je uložíte do služby Key Vault jako tajné kódy. Další informace najdete v tématu O tajných kódech.
- Správa certifikátů Další informace naleznete v tématu O certifikátech.
Obecné informace o službě Azure Key Vault najdete v tématu o službě Azure Key Vault.
Public Preview
Pravidelně vydáváme verzi Public Preview nové funkce služby Key Vault. Vyzkoušejte funkce verze Public Preview a dejte nám vědět, co si myslíte prostřednictvím azurekeyvault@microsoft.comnaší e-mailové adresy pro zpětnou vazbu.
Vytváření a správa trezorů klíčů
Stejně jako u jiných služeb Azure se Key Vault spravuje prostřednictvím Azure Resource Manageru. Azure Resource Manager je služba nasazování a správy pro Azure. Můžete ho použít k vytváření, aktualizaci a odstraňování prostředků ve vašem účtu Azure.
Řízení přístupu na základě role v Azure (RBAC) řídí přístup k vrstvě správy, označované také jako rovina správy. Rovinu správy ve službě Key Vault použijete k vytváření a správě trezorů klíčů a jejich atributů, včetně zásad přístupu. Rovinu dat používáte ke správě klíčů, certifikátů a tajných kódů.
Pomocí předdefinované role Přispěvatel služby Key Vault můžete udělit přístup pro správu ke službě Key Vault.
Rozhraní API a sady SDK pro správu trezoru klíčů
| Azure CLI | PowerShell | REST API | Správce zdrojů | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz | Odkaz Rychlý start |
Odkaz | Odkaz | Odkaz | Odkaz |
Instalační balíčky a zdrojový kód najdete v tématu Klientské knihovny.
Ověřování ve službě Key Vault v kódu
Key Vault používá ověřování Microsoft Entra, které k udělení přístupu vyžaduje objekt zabezpečení Microsoft Entra. Objekt zabezpečení Microsoft Entra může být uživatel, instanční objekt aplikace, spravovaná identita pro prostředky Azure nebo skupina jakéhokoli z těchto typů.
Osvědčené postupy ověřování
Doporučujeme použít spravovanou identitu pro aplikace nasazené do Azure. Pokud používáte služby Azure, které nepodporují spravované identity nebo pokud jsou aplikace nasazené místně, je možná alternativa instančního objektu s certifikátem . V tomto scénáři by měl být certifikát uložený ve službě Key Vault a často se obměňoval.
Pro vývoj a testování prostředí použijte instanční objekt s tajným kódem. Použijte objekt zabezpečení uživatele pro místní vývoj a Azure Cloud Shell.
V každém prostředí doporučujeme tyto objekty zabezpečení:
- Produkční prostředí: Spravovaná identita nebo instanční objekt s certifikátem.
- Testovací a vývojová prostředí: Spravovaná identita, instanční objekt s certifikátem nebo instanční objekt s tajným kódem.
- Místní vývoj: Instanční objekt uživatele nebo instanční objekt s tajným kódem.
Klientské knihovny Azure Identity
Předchozí scénáře ověřování podporuje klientská knihovna Azure Identity a je integrovaná se sadami SDK služby Key Vault. Klientskou knihovnu Azure Identity můžete používat napříč prostředími a platformami beze změny kódu. Knihovna automaticky načte ověřovací tokeny od uživatelů, kteří jsou přihlášeni k uživateli Azure prostřednictvím Azure CLI, sady Visual Studio, editoru Visual Studio Code a dalších prostředků.
Další informace o klientské knihovně azure Identity najdete tady:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK v Pythonu | Azure Identity SDK v Javě | Azure Identity SDK JavaScript |
Poznámka:
Doporučujeme knihovnu ověřování aplikací pro sadu .NET SDK služby Key Vault verze 3, ale už je zastaralá. Pokud chcete migrovat na sadu .NET SDK služby Key Vault verze 4, postupujte podle pokynů k migraci appAuthentication do Azure.Identity.
Kurzy týkající se ověřování ve službě Key Vault v aplikacích najdete v následujících tématech:
- Použití služby Azure Key Vault s virtuálním počítačem v .NET
- Použití služby Azure Key Vault s virtuálním počítačem v Pythonu
- Použití spravované identity k připojení služby Key Vault k webové aplikaci Azure v .NET
Správa klíčů, certifikátů a tajných klíčů
Poznámka:
Sady SDK pro .NET, Python, Java, JavaScript, PowerShell a Azure CLI jsou součástí procesu vydávání funkcí služby Key Vault prostřednictvím veřejné verze Preview a obecné dostupnosti s podporou týmu služby Key Vault. Ostatní klienti sady SDK pro Key Vault jsou k dispozici, ale vytvářejí a podporují je jednotlivé týmy sdk přes GitHub a vydávají se v plánu týmů.
Rovina dat řídí přístup ke klíčům, certifikátům a tajným klíčům. Zásady přístupu k místnímu trezoru nebo Azure RBAC můžete použít k řízení přístupu prostřednictvím roviny dat.
Rozhraní API a sady SDK pro klíče
| Azure CLI | PowerShell | REST API | Správce zdrojů | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz | Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Další knihovny
Klient kryptografie pro Key Vault a spravovaný HSM
Tento modul poskytuje klienta kryptografie pro klientský modul Klíčů služby Azure Key Vault pro Go.
Poznámka:
Tento projekt nepodporuje tým sady Azure SDK, ale v souladu s klienty kryptografie v jiných podporovaných jazycích.
| Jazyk | Reference |
|---|---|
| Go | Odkaz |
Rozhraní API a sady SDK pro certifikáty
| Azure CLI | PowerShell | REST API | Správce zdrojů | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz | – | Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Rozhraní API a sady SDK pro tajné kódy
| Azure CLI | PowerShell | REST API | Správce zdrojů | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
| Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz | Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Odkaz Rychlý start |
Použití tajných kódů
Azure Key Vault použijte k ukládání jenom tajných kódů pro vaši aplikaci. Mezi příklady tajných kódů, které by se měly ukládat ve službě Key Vault, patří:
- Tajné kódy klientských aplikací
- Připojovací řetězce
- Passwords
- Sdílené přístupové klíče
- Klíče SSH
Všechny informace související s tajnými klíči, jako jsou uživatelská jména a ID aplikací, se dají uložit jako značka v tajném kódu. Pro všechna další citlivá nastavení konfigurace byste měli použít Aplikace Azure Konfigurace.
Reference
Instalační balíčky a zdrojový kód najdete v tématu Klientské knihovny.
Informace o zabezpečení roviny dat pro Key Vault najdete v tématu Funkce zabezpečení služby Azure Key Vault.
Použití služby Key Vault v aplikacích
Pokud chcete využívat nejnovější funkce ve službě Key Vault, doporučujeme používat dostupné sady SDK služby Key Vault k používání tajných kódů, certifikátů a klíčů ve vaší aplikaci. Sady SDK služby Key Vault a rozhraní REST API se aktualizují při vydání nových funkcí pro produkt a dodržují osvědčené postupy a pokyny.
Pro základní scénáře existují další knihovny a řešení integrace pro zjednodušené použití s podporou od partnerů Microsoftu nebo opensourcových komunit.
Pro certifikáty můžete použít:
- Rozšíření virtuálního počítače služby Key Vault, které poskytuje automatickou aktualizaci certifikátů uložených v trezoru klíčů Azure. Další informace najdete tady: .
- Aplikace Azure integraci služby, která může importovat a automaticky aktualizovat certifikáty ze služby Key Vault. Další informace najdete v tématu Import certifikátu ze služby Key Vault.
Pro tajné kódy můžete použít:
- Tajné kódy služby Key Vault s nastavením aplikace služby App Service Další informace najdete v tématu Použití odkazů služby Key Vault pro App Service a Azure Functions.
- Reference ke službě Key Vault s Aplikace Azure Configuration za účelem zjednodušení přístupu aplikace ke konfiguraci a tajným kódům. Další informace najdete v tématu Použití odkazů služby Key Vault v Aplikace Azure Konfigurace.
Příklady kódu
Kompletní příklady použití služby Key Vault s aplikacemi najdete v ukázkách kódu služby Azure Key Vault.
Pokyny pro konkrétní úkoly
Následující články a scénáře obsahují pokyny specifické pro úlohy pro práci se službou Azure Key Vault:
- Aby mohla klientská aplikace přistupovat k trezoru klíčů, musí mít přístup k několika koncovým bodům pro různé funkce. Viz Přístup ke službě Key Vault za bránou firewall.
- Cloudová aplikace spuštěná na virtuálním počítači Azure potřebuje certifikát. Jak tento certifikát dostanete do tohoto virtuálního počítače? Viz rozšíření virtuálního počítače služby Key Vault pro rozšíření virtuálního počítače se systémem Windows nebo Key Vault pro Linux.
- Pokud chcete přiřadit zásady přístupu pomocí Azure CLI, PowerShellu nebo webu Azure Portal, přečtěte si téma Přiřazení zásad přístupu ke službě Key Vault.
- Pokyny k použití a životnímu cyklu trezoru klíčů a různých objektů trezoru klíčů s povoleným obnovitelným odstraněním najdete v tématu Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním.
- Pokud potřebujete předat zabezpečenou hodnotu (třeba heslo) jako parametr během nasazování, můžete tuto hodnotu uložit jako tajný klíč do trezoru klíčů a odkazovat na hodnotu v jiných šablonách Resource Manageru. Viz Použití služby Azure Key Vault k předávání hodnot zabezpečených parametrů během nasazování.
Integrace se službou Key Vault
Následující služby a scénáře používají nebo integrují se službou Key Vault:
- Šifrování neaktivních uložených dat umožňuje kódování (šifrování) dat, když je trvalé. Šifrovací klíče dat se často šifrují pomocí šifrovacího klíče klíče ve službě Azure Key Vault za účelem dalšího omezení přístupu.
- Azure Information Protection umožňuje spravovat vlastní klíč tenanta. Například místo správy klíče tenanta Microsoftu (výchozí nastavení) můžete spravovat vlastní klíč tenanta, abyste vyhověli konkrétním předpisům, které platí pro vaši organizaci. Správa vlastního klíče tenanta se také označuje jako funkce Přineste si vlastní klíč (BYOK).
- Azure Private Link umožňuje přístup ke službám Azure (například Azure Key Vault, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.
- Integrace služby Key Vault se službou Azure Event Grid umožňuje uživatelům dostávat oznámení o změně stavu tajného kódu uloženého ve službě Key Vault. Nové verze tajných kódů můžete distribuovat aplikacím nebo obměňovat tajné kódy blížící se vypršení platnosti, abyste zabránili výpadkům.
- Chraňte tajné kódy Azure DevOps před nežádoucím přístupem ve službě Key Vault.
- Pomocí tajných kódů uložených ve službě Key Vault se připojte ke službě Azure Storage z Azure Databricks.
- Nakonfigurujte a spusťte poskytovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů v Kubernetes.
Přehledy a koncepty služby Key Vault
Další informace o:
- Funkce, která umožňuje obnovení odstraněných objektů bez ohledu na to, jestli bylo odstranění náhodné nebo úmyslné, najdete v přehledu obnovitelného odstranění služby Azure Key Vault.
- Základní koncepty omezování a získání přístupu pro vaši aplikaci najdete v doprovodných materiálech k omezování služby Azure Key Vault.
- Vztahy mezi oblastmi a oblastmi zabezpečení najdete v tématu Světy zabezpečení a geografické hranice služby Azure Key Vault.