Entwicklerleitfaden zu Azure Key Vault

Azure Key Vault ermöglicht den sicheren Zugriff auf vertrauliche Daten in Ihren Anwendungen:

  • Schlüssel, Geheimnisse und Zertifikate werden geschützt, ohne dass Sie den Code selbst schreiben müssen, und können auf einfache Weise in Ihren Anwendungen verwendet werden.
  • Sie gestatten Kunden, dass sie ihre eigenen Schlüssel, Geheimnisse und Zertifikate verwalten, sodass Sie sich auf die Bereitstellung der Hauptfunktionen der Software konzentrieren können. Auf diese Weise müssen Ihre Anwendungen weder die Verantwortung noch eine mögliche Haftung für die Mandantenschlüssel, Geheimnisse und Zertifikate Ihrer Kunden übernehmen.
  • Ihre Anwendungen können Signatur- und Verschlüsselungsschlüssel verwenden, und die Schlüssel werden außerhalb der Anwendung verwaltet. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.
  • Sie können Anmeldeinformationen wie Kennwörter, Zugriffsschlüssel und SAS-Token verwalten, indem Sie diese in Key Vault als Geheimnisse speichern. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Geheimnissen.
  • Verwalten Sie Zertifikate. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.

Allgemeine Informationen zu Azure Key Vault finden Sie unter Informationen zu Azure Key Vault.

Öffentliche Vorschauversionen

Wir veröffentlichen in regelmäßigen Abständen eine öffentliche Vorschau des neuen Key Vault-Features. Testen Sie die Funktionen der öffentlichen Vorschau, und teilen Sie uns Ihre Meinung über die folgende E-Mail-Adresse für Feedback mit: azurekeyvault@microsoft.com.

Erstellen und Verwalten von Key Vault-Instanzen

Wie andere Azure-Dienste auch wird Key Vault über Azure Resource Manager verwaltet. Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Sie können den Dienst zum Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Konto verwenden.

Die rollenbasierte Zugriffssteuerung in Azure (Role-Based Access Control, RBAC) steuert den Zugriff auf die Verwaltungsschicht, die auch als Verwaltungsebene bezeichnet wird. Sie verwenden die Verwaltungsebene in Key Vault zum Erstellen und Verwalten von Key Vault-Instanzen und deren Attributen, einschließlich Zugriffsrichtlinien. Sie verwenden die Datenebene zum Verwalten von Schlüsseln, Zertifikaten und Geheimnissen.

Sie können die vordefinierte Rolle „Key Vault-Mitwirkender“ verwenden, um Verwaltungszugriff auf Key Vault zu gewähren.

APIs und SDKs für die Key Vault-Verwaltung

Azure CLI PowerShell REST-API Ressourcen-Manager .NET Python Java JavaScript
Verweis
Schnellstart
Referenz
Schnellstart
Referenz Referenz
Schnellstart
Referenz Referenz Referenz Referenz

Installationspakete und Quellcode finden Sie unter Clientbibliotheken.

Authentifizieren bei Key Vault mit Code

Key Vault verwendet die Microsoft Entra-Authentifizierung, die einen Microsoft Entra-Sicherheitsprinzipal erfordert, um Zugriff zu gewähren. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer, ein Anwendungsdienstprinzipal, eine verwaltete Identität für Azure-Ressourcen oder eine Gruppe dieser Typen sein.

Bewährte Methoden für die Authentifizierung

Es empfiehlt sich, eine verwaltete Identität für in Azure bereitgestellte Anwendungen zu verwenden. Wenn Sie Azure-Dienste verwenden, die keine verwaltete Identitäten unterstützen, oder wenn Anwendungen lokal bereitgestellt werden, ist ein Dienstprinzipal mit einem Zertifikat eine mögliche Alternative. In diesem Szenario sollte das Zertifikat in Key Vault gespeichert und regelmäßig rotiert werden.

Verwenden Sie einen Dienstprinzipal mit einem Geheimnis für Entwicklungs- und Testumgebungen. Verwenden Sie einen Benutzerprinzipal für die lokale Entwicklung und Azure Cloud Shell.

Die folgenden Sicherheitsprinzipale werden für die jeweilige Umgebung empfohlen:

  • Produktionsumgebung: verwaltete Identität oder Dienstprinzipal mit Zertifikat
  • Test- und Entwicklungsumgebungen: verwaltete Identität, Dienstprinzipal mit Zertifikat oder Dienstprinzipal mit Geheimnis
  • Lokale Entwicklung: Benutzerprinzipal oder Dienstprinzipal mit Geheimnis

Azure Identity-Clientbibliotheken

Die oben beschriebenen Authentifizierungsszenarien werden von der Azure Identity-Clientbibliothek unterstützt und sind in Key Vault SDKs integriert. Sie können die Azure Identity-Clientbibliothek umgebungs- und plattformübergreifend verwenden, ohne den Code ändern zu müssen. Die Bibliothek ruft automatisch Authentifizierungstoken von Benutzern ab, die über die Azure CLI, Visual Studio, Visual Studio Code oder auf anderem Weg als Azure-Benutzer angemeldet sind.

Weitere Informationen zur Azure Identity-Clientbibliothek finden Sie hier:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Hinweis

Wir haben die App Authentication-Bibliothek für Key Vault .NET SDK, Version 3, empfohlen, aber diese ist jetzt als veraltet markiert. Befolgen Sie die Anweisungen im Leitfaden zur Migration von AppAuthentication zu Azure.Identity, um zu Key Vault .NET SDK, Version 4, zu migrieren.

Tutorials zum Authentifizieren bei Key Vault in Anwendungen finden Sie unter:

Verwalten von Schlüsseln, Zertifikaten und Geheimnissen

Hinweis

SDKs für .NET, Python, Java, JavaScript, PowerShell und die Azure CLI sind Teil des Prozesses für Key Vault-Featurereleases über Public Preview und allgemeine Verfügbarkeit (GA) mit Unterstützung des Key Vault-Dienstteams. Andere SDK-Clients für Key Vault sind verfügbar, aber sie werden von einzelnen SDK-Teams über GitHub erstellt und unterstützt und im Zeitplan ihrer Teams-Zeitplan veröffentlicht.

Die Datenebene steuert den Zugriff auf Schlüssel, Zertifikate und Geheimnisse. Sie können lokale Tresorzugriffsrichtlinien oder Azure RBAC für die Zugriffssteuerung über die Datenebene verwenden.

APIs und SDKs für Schlüssel

Azure CLI PowerShell REST-API Ressourcen-Manager .NET Python Java JavaScript
Verweis
Schnellstart
Referenz
Schnellstart
Referenz Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart

Weitere Bibliotheken

Kryptografieclient für Key Vault und verwaltetes HSM

Dieses Modul stellt einen Kryptografieclient für das Azure Key Vault Keys-Clientmodul für Go bereit.

Hinweis

Dieses Projekt wird nicht vom Azure SDK-Team unterstützt, sondern entspricht den Kryptografieclients in anderen unterstützten Sprachen.

Sprache Referenz
Go Referenz

APIs und SDKs für Zertifikate

Azure CLI PowerShell REST-API Ressourcen-Manager .NET Python Java JavaScript
Verweis
Schnellstart
Referenz
Schnellstart
Verweis Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart

APIs und SDKs für Geheimnisse

Azure CLI PowerShell REST-API Ressourcen-Manager .NET Python Java JavaScript
Verweis
Schnellstart
Referenz
Schnellstart
Referenz Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart
Referenz
Schnellstart

Verwendung von Geheimnissen

Speichern Sie nur Geheimnisse für Ihre Anwendung in Azure Key Vault. Beispiele für Geheimnisse, die in Key Vault gespeichert werden sollten:

  • Geheimnisse der Clientanwendung
  • Verbindungszeichenfolgen
  • Kennwörter
  • Freigegebene Zugriffsschlüssel
  • SSH-Schlüssel

Jegliche geheimnisbezogenen Informationen wie Benutzernamen oder Anwendungs-IDs können als Tag in einem Geheimnis gespeichert werden. Für alle anderen vertraulichen Konfigurationseinstellungen sollten Sie Azure App Configuration verwenden.

Referenzen

Installationspakete und Quellcode finden Sie unter Clientbibliotheken.

Weitere Informationen zur Datenebenensicherheit in Key Vault finden Sie unter Azure Key Vault – Sicherheit.

Verwenden von Key Vault in Anwendungen

Um von den neuesten Features in Key Vault zu profitieren, empfiehlt es sich, die verfügbaren Key Vault SDKs für die Verwendung von Geheimnissen, Zertifikaten und Schlüsseln in Ihrer Anwendung zu nutzen. Die Key Vault SDKs und die REST-API werden aktualisiert, wenn neue Features für das Produkt veröffentlicht werden, und beide folgen Best Practices und Richtlinien.

Für einfache Szenarien gibt es auch andere Bibliotheken und Integrationslösungen, die sich einfacher nutzen lassen. Der Support erfolgt hierbei durch Microsoft-Partner oder Open-Source-Communitys.

Für Zertifikate können Sie Folgendes verwenden:

Für Geheimnisse können Sie Folgendes verwenden:

Codebeispiele

Vollständige Beispiele für die Verwendung von Key Vault mit Anwendungen finden Sie in den Codebeispielen für Azure Key Vault.

Aufgabenspezifischer Leitfaden

Die folgenden Artikel und Szenarien bieten aufgabenspezifische Anleitungen für die Arbeit mit Azure Key Vault:

Integration in Key Vault

Die folgenden Dienste und Szenarien verwenden oder integrieren Key Vault:

  • Die Verschlüsselung ruhender Daten ermöglicht die Codierung (Verschlüsselung) von Daten, wenn diese dauerhaft gespeichert werden. Datenverschlüsselungsschlüssel werden häufig mit einem Schlüssel für die Schlüsselverschlüsselung in Azure Key Vault verschlüsselt, um den Zugriff weiter einzuschränken.
  • Azure Information Protection ermöglicht Ihnen, Ihren eigenen Mandantenschlüssel zu verwalten. Anstatt z.B. Ihren Mandantenschlüssel von Microsoft verwalten zu lassen (Standard), können Sie Ihren eigenen Mandantenschlüssel verwalten, um bestimmte Vorschriften zu erfüllen, die in Ihrer Organisation gelten. Die Verwaltung des eigenen Mandantenschlüssels wird auch als Bring Your Own Key (BYOK) bezeichnet.
  • Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste wie Azure Key Vault, Azure Storage und Azure Cosmos DB sowie auf in Azure gehostete Kunden-/Partnerdienste zugreifen.
  • Durch die Integration von Key Vault in Azure Event Grid können Benutzer benachrichtigt werden, wenn sich der Status eines in Key Vault gespeicherten Geheimnisses geändert hat. Sie können neue Versionen von Geheimnissen an Anwendungen verteilen oder Geheimnisse rotieren, die bald ablaufen, um Ausfälle zu verhindern.
  • Schützen Sie Ihre Azure DevOps-Geheimnisse vor unerwünschtem Zugriff in Key Vault.
  • Verwenden Sie in Key Vault gespeicherte Geheimnisse, um eine Verbindung mit Azure Storage aus Azure Databricks herzustellen.
  • Sie können den Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber in Kubernetes konfigurieren und ausführen.

Key Vault-Übersichten und -Konzepte

Sie erhalten Informationen zu folgenden Themen:

Soziale Netzwerke