Introducción a las claves, secretos y certificados de Azure Key Vault

Azure Key Vault permite a las aplicaciones y los usuarios de Microsoft Azure almacenar y usar varios tipos de datos de secretos y claves: claves, secretos y certificados. Las claves, los secretos y los certificados se conocen colectivamente como "objetos".

Identificadores de objeto

Los objetos se identifican de forma única dentro de Key Vault mediante un identificador que no distingue mayúsculas de minúsculas denominado identificador de objeto. No hay dos objetos en el sistema que tengan el mismo identificador, independientemente de la ubicación geográfica. El identificador consta de un prefijo que identifica la instancia de Key Vault, el tipo de objeto, el nombre de objeto proporcionado por el usuario y la versión de un objeto. Los identificadores que no incluyan la versión del objeto se conocen como "identificadores base". Los identificadores de objeto de Key Vault también son direcciones URL válidas, pero siempre deberían compararse como cadenas que no distinguen mayúsculas de minúsculas.

Para más información, consulte Autenticación, solicitudes y respuestas

Un identificador de objeto tiene el formato general siguiente (según el tipo de contenedor):

  • Para almacenes: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Para grupos de HSM administrados: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Nota:

Consulte Compatibilidad con tipos de objeto para conocer los tipos de objetos que admite cada tipo de contenedor.

Donde:

Elemento Descripción
vault-name o hsm-name El nombre de un almacén de claves o un grupo de HSM administrado del servicio Microsoft Azure Key Vault.

Los nombres de los almacenes y los grupos de HSM administrados los selecciona el usuario y son globalmente únicos.

El nombre del almacén y el del grupo de HSM administrados debe ser una cadena con una longitud de 3 a 24 caracteres que solo contenga los caracteres 0-9, a-z, A-Z y que no sean consecutivos -.
object-type El tipo del objeto, "claves", "secretos" o "certificados".
object-name object-name es un nombre proporcionado por el usuario y debe ser único dentro de un almacén de claves. El nombre debe ser una cadena con una longitud de 1 a 127 caracteres que solo contenga 0-9, a-z, A-Z y -.
object-version object-version es un identificador de cadena de 32 caracteres generada por el sistema que, opcionalmente, se utiliza para referirse a una versión única de un objeto.

Sufijos DNS para identificadores de objeto

El proveedor de recursos de Azure Key Vault admite dos tipos de recursos: almacenes y HSM administrados. En esta tabla se muestra el sufijo DNS que usa el punto de conexión del plano de datos para los almacenes y los grupos de HSM administrados en varios entornos de nube.

Entorno en la nube Sufijo DNS para almacenes Sufijo DNS para HSM administrados
Nube de Azure .vault.azure.net .managedhsm.azure.net
Microsoft Azure operado por 21Vianet Cloud .vault.azure.cn No compatible
Azure US Government .vault.usgovcloudapi.net No compatible
Nube de Azure German .vault.microsoftazure.de No compatible

Tipos de objeto

En esta tabla se muestran los tipos de objeto y sus sufijos en el identificador de objeto.

Tipo de objeto Sufijo de identificador Almacenes Grupos de HSM administrados
Claves protegidas con HSM /keys Compatible Compatible
Claves protegidas con software /keys Compatible No compatible
Secretos /secrets Compatible No compatible
Certificados /certificates Compatible No compatible
Claves de cuenta de almacenamiento /storage Compatible No compatible
  • Claves criptográficas: Admite varios tipos de claves y algoritmos, y permite el uso de claves protegidas por software y protegidas con HSM. Para más información, consulte Acerca de las claves.
  • Secretos: proporciona un almacenamiento seguro de secretos, como contraseñas y cadenas de conexión de base de datos. Para más información, consulte Acerca de los secretos.
  • Certificados: admite certificados, que se basan en claves y secretos, y agrega una característica de renovación automática. Tenga en cuenta que cuando se crea un certificado, se crean también una clave direccionable y un secreto con el mismo nombre. Para más información, consulte Acerca de los certificados.
  • Claves de cuentas de Azure Storage: puede administrar automáticamente las claves de una cuenta de Azure Storage. Internamente, Key Vault puede enumerar (sincronizar) las claves con una cuenta de almacenamiento de Azure y volver a generar (rotar) las claves periódicamente. Para más información, consulte Administración de claves de cuenta de almacenamiento con Key Vault.

Para más información sobre Key Vault, consulte Acerca de Azure Key Vault. Para más información sobre los grupos de HSM administrados, consulte ¿Qué es HSM administrado de Azure Key Vault?

Tipos de datos

Consulte las especificaciones JOSE para tipos de datos relevantes para claves, cifrado y firma.

  • algorithm: un algoritmo admitido para una operación de clave, por ejemplo, RSA1_5
  • ciphertext-value: octetos de texto cifrado codificados con Base64URL
  • digest-value: la salida de un algoritmo de hash codificada con Base64URL
  • key-type: uno de los tipos de clave admitidos; por ejemplo, RSA (Rivest-Shamir-Adleman).
  • plaintext-value: octetos de texto no cifrado codificados con Base64URL
  • signature-value: la salida de un algoritmo de firma codificada con Base64URL
  • base64URL: un valor binario codificado con Base64URL [RFC4648]
  • boolean: true o false
  • Identity: una identidad de Microsoft Entra ID.
  • IntDate: un valor decimal JSON que representa el número de segundos desde 1970-01-01T0:0:0Z UTC hasta la fecha y hora UTC especificada. Consulte RFC3339 para más información acerca de la fecha y hora en general, y la hora UTC en particular.

Objetos, identificadores y control de versiones

Se aplica el control de versiones de los objetos almacenados en Key Vault cuando se crea una instancia de un objeto. Cada versión tiene asignado un identificador de objeto único. Cuando se crea un objeto por primera vez, se le asigna un identificador de versión único y se marca como la versión actual del objeto. La creación de una instancia con el mismo nombre de objeto proporciona al nuevo objeto un identificador de versión único, que hace que se convierta en la versión actual.

Para recuperar objetos en Key Vault, es preciso especificar una versión, o bien omitirla si lo que se desea es obtener la versión más reciente del objeto. La realización de operaciones en objetos requiere que se proporcione una versión para usar una versión específica del objeto.

Nota:

Los valores que proporcione para los recursos o los identificadores de objeto de Azure se pueden copiar globalmente para ejecutar el servicio. El valor proporcionado no debe incluir información personal identificable o confidencial.

Pasos siguientes