Přehled klíčů, tajných klíčů a certifikátů ve službě Azure Key Vault

Azure Key Vault umožňuje aplikacím a uživatelům Microsoft Azure ukládat a používat několik typů tajných kódů a dat klíčů: klíče, tajné klíče a certifikáty. Klíče, tajné kódy a certifikáty se souhrnně označují jako "objekty".

Identifikátory objektů

Objekty jsou jednoznačně identifikovány ve službě Key Vault pomocí identifikátoru nerozlišujícího velká a malá písmena, který se nazývá identifikátor objektu. Žádné dva objekty v systému nemají stejný identifikátor bez ohledu na geografické umístění. Identifikátor se skládá z předpony, která identifikuje trezor klíčů, typ objektu, uživatelské jméno objektu a verzi objektu. Identifikátory, které nezahrnují verzi objektu, se označují jako "základní identifikátory". Identifikátory objektů služby Key Vault jsou také platné adresy URL, ale měly by se vždy porovnávat jako řetězce bez rozlišování malých a velkých písmen.

Další informace najdete v tématu Ověřování, požadavky a odpovědi.

Identifikátor objektu má následující obecný formát (v závislosti na typu kontejneru):

  • Trezory: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Pro spravované fondy HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Poznámka:

Viz Podpora typu objektu pro typy objektů podporovaných každým typem kontejneru.

Kde:

Element (Prvek) Popis
vault-name nebo hsm-name Název trezoru klíčů nebo spravovaného fondu HSM ve službě Microsoft Azure Key Vault.

Názvy trezorů a názvy spravovaných fondů HSM jsou vybrány uživatelem a jsou globálně jedinečné.

Název trezoru a název spravovaného fondu HSM musí být řetězec 3–24 znaků, který obsahuje pouze 0-9, a-z, A-Z a ne po sobě jdoucí -.
object-type Typ objektu, klíče, tajné kódy nebo certifikáty.
object-name Je object-name uživatelské jméno zadané a musí být jedinečné v rámci trezoru klíčů. Název musí být řetězec 1-127 znaků, který obsahuje pouze 0-9, a-z, A-Z a -.
object-version Jedná object-version se o systémový 32znakový identifikátor řetězce, který se volitelně používá k adresování jedinečné verze objektu.

Přípony DNS pro identifikátory objektů

Poskytovatel prostředků azure Key Vault podporuje dva typy prostředků: trezory a spravované HSM. Tato tabulka ukazuje příponu DNS používanou koncovým bodem roviny dat pro trezory a spravované fondy HSM v různých cloudových prostředích.

Cloudové prostředí Přípona DNS pro trezory Přípona DNS pro spravované HSM
Azure Cloud .vault.azure.net .managedhsm.azure.net
Microsoft Azure provozovaný společností 21Vianet Cloud .vault.azure.cn Nepodporováno
Azure pro vládu USA .vault.usgovcloudapi.net Nepodporováno
Německý cloud Azure .vault.microsoftazure.de Nepodporováno

Typy objektů

Tato tabulka zobrazuje typy objektů a jejich přípony v identifikátoru objektu.

Object type Přípona identifikátoru Trezory Spravované fondy HSM
Klíče chráněné pomocí HSM /klíče Podporováno Podporováno
Softwarově chráněné klíče /klíče Podporováno Nepodporováno
Tajné kódy /tajemství Podporováno Nepodporováno
Certifikáty /certifikáty Podporováno Nepodporováno
Klíče účtu úložiště /skladování Podporováno Nepodporováno
  • Kryptografické klíče: Podporuje více typů klíčů a algoritmů a umožňuje používat klíče chráněné softwarem a klíče chráněné HSM. Další informace najdete v tématu O klíčích.
  • Tajné kódy: Poskytuje zabezpečené úložiště tajných kódů, jako jsou hesla a databáze připojovací řetězec. Další informace najdete v tématu O tajných kódech.
  • Certifikáty: Podporuje certifikáty, které jsou založené na klíčích a tajných klíčích a přidávají funkci automatizovaného obnovení. Mějte na paměti, že při vytvoření certifikátu se vytvoří také adresovatelný klíč a tajný klíč se stejným názvem. Další informace naleznete v tématu O certifikátech.
  • Klíče účtu Azure Storage: Můžete spravovat klíče účtu Azure Storage za vás. Key Vault může interně vypsat (synchronizovat) klíče s účtem služby Azure Storage a pravidelně ho znovu vygenerovat (otočit). Další informace najdete v tématu Správa klíčů účtu úložiště pomocí služby Key Vault.

Další obecné informace o službě Key Vault najdete v tématu o službě Azure Key Vault. Další informace o spravovaných fondech HSM najdete v tématu Co je spravovaný HSM služby Azure Key Vault?

Datové typy

Informace o příslušných datových typech pro klíče, šifrování a podepisování najdete ve specifikacích JOSE.

  • algoritmus – podporovaný algoritmus pro operaci klíče, například RSA1_5
  • ciphertext-value – šifrovaný text oktety zakódovaný pomocí base64URL
  • digest-value – výstup hashového algoritmu zakódovaného pomocí base64URL
  • key-type – jeden z podporovaných typů klíčů, například RSA (Rivest-Shamir-Adleman).
  • plaintext-value - plaintext octets, encoded using Base64URL
  • signature-value – výstup algoritmu podpisu zakódovaný pomocí base64URL
  • base64URL – binární hodnota s kódováním Base64URL [RFC4648]
  • logická hodnota – pravda nebo nepravda
  • Identita – identita z Microsoft Entra ID.
  • IntDate – desetinná hodnota JSON představující počet sekund od 1970-01-01T0:0:0Z UTC do zadaného data a času UTC. Podrobnosti o datu a čase najdete v RFC3339, zejména v obecném čase a v UTC.

Objekty, identifikátory a správa verzí

Objekty uložené ve službě Key Vault jsou verzí vždy, když se vytvoří nová instance objektu. Každá verze má přiřazen jedinečný identifikátor objektu. Při prvním vytvoření objektu se mu přidělí jedinečný identifikátor verze a označí se jako aktuální verze objektu. Vytvoření nové instance se stejným názvem objektu dává novému objektu jedinečný identifikátor verze, což způsobí, že se stane aktuální verzí.

Objekty ve službě Key Vault je možné načíst zadáním verze nebo vynecháním verze pro získání nejnovější verze objektu. Provádění operací s objekty vyžaduje poskytnutí verze pro použití konkrétní verze objektu.

Poznámka:

Hodnoty, které zadáte pro prostředky Azure nebo ID objektů, se můžou zkopírovat globálně za účelem spuštění služby. Zadaná hodnota by neměla obsahovat identifikovatelné osobní ani citlivé informace.

Další kroky