Vue d’ensemble des clés, secrets et certificats Azure Key Vault

Azure Key Vault permet aux applications Microsoft Azure et à leurs utilisateurs de stocker et d’utiliser plusieurs types de données de secret/clé : clés, secrets et certificats. Les clés, les secrets et les certificats sont collectivement appelés « objets ».

Identificateurs d'objet

Les objets sont identifiés de manière unique dans Key Vault à l’aide d’un identificateur qui ne respecte pas la casse appelé identificateur d’objet. Il n’y a pas deux objets avec le même identificateur dans le système, quel que soit l’emplacement géographique. L’identificateur est constitué d’un préfixe qui identifie le coffre de clés, du type d’objet, du nom d’objet fourni par l’utilisateur et d’une version d’objet. Les identificateurs qui n’incluent pas la version de l’objet sont appelés des « identificateurs de base ». Les identificateurs d’objet Key Vault sont également des URL valides, mais doivent toujours être comparés en tant que chaînes ne respectant pas la casse.

Pour plus d’informations, consultez Authentification, requêtes et réponses

Un identificateur d’objet a le format général suivant (selon le type de conteneur) :

  • Pour les coffres : https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Pour les pools Managed HSM : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Notes

Pour connaître les types d’objets pris en charge par chaque type de conteneur, consultez Types d’objets.

Où :

Élément Description
vault-name ou hsm-name Le nom d’un coffre de clés ou d’un pool HSM managé dans le service Microsoft Azure Key Vault.

Les noms de coffre et de pool Managed HSM sont choisis par l’utilisateur et sont globalement uniques.

Le nom d’un coffre ou d’un pool Managed HSM doit être une chaîne de 3 à 24 caractères, qui peut contenir uniquement des chiffres, des lettres (0-9, a-z, A-Z) et des tirets non consécutifs (-).
object-type Le type de l’objet : « clés », « secrets » ou « certificats ».
object-name Un object-name est un nom fourni par l’utilisateur et doit être unique dans un coffre de clés. Le nom doit être une chaîne comprise entre 1 et 127 caractères qui doit contenir uniquement des chiffres, des lettres et des tirets (0-9, a-z, A-Z et -).
object-version Un object-version est un identificateur de chaîne de 32 caractères généré par le système qui peut être utilisé pour une version unique d’un objet.

Suffixes DNS pour les identificateurs d’objets

Le fournisseur de ressources Azure Key Vault prend en charge deux types de ressources : les coffres et les HSM managés. Ce tableau montre le suffixe DNS utilisé par le point de terminaison de plan de données pour les coffres et les pools HSM managés dans divers environnements cloud.

Environnement cloud Suffixe DNS pour les coffres Suffixe DNS pour les HSM managés
Cloud Azure .vault.azure.net .managedhsm.azure.net
Cloud Microsoft Azure géré par 21Vianet .vault.azure.cn Non pris en charge
Azure US Government .vault.usgovcloudapi.net Non pris en charge
Cloud Azure – Allemagne .vault.microsoftazure.de Non pris en charge

Types d’objets

Ce tableau montre les types d’objet et leurs suffixes dans l’identificateur d’objet.

Type d’objet Suffixe de l’identificateur Coffres Pools de HSM managés
Clés protégées par HSM /keys Prise en charge Pris en charge
Clés protégées par logiciel /keys Pris en charge Non pris en charge
Secrets /secrets Prise en charge Non pris en charge
Certificats /certificates Pris en charge Non pris en charge
Clés de compte de stockage /storage Prise en charge Non pris en charge
  • Clés de chiffrement : Prend en charge plusieurs algorithmes et types de clés, et permet l’utilisation de clés protégées par logiciel et par HSM. Pour plus d’informations sur les clés, consultez À propos des clés.
  • Secrets : Fournit un stockage sécurisé des secrets, comme les mots de passe et les chaînes de connexion de base de données. Pour plus d’informations, consultez À propos des secrets.
  • Certificats : Prend en charge les certificats, qui sont basés sur des clés et des secrets, et ajoute une fonctionnalité de renouvellement automatique. Gardez à l’esprit que quand un certificat est créé, une clé et un secret adressables sont également créés avec le même nom. Pour plus d’informations, consultez À propos des certificats.
  • Clés de compte Stockage Azure : Peut gérer pour vous les clés d’un compte Stockage Azure. En interne, Key Vault peut lister (synchroniser) les clés avec un compte Stockage Azure et regénérer (faire tourner) régulièrement les clés. Pour plus d’informations, consultez Gérer les clés de compte de stockage avec Key Vault.

Pour plus d’informations générales sur Key Vault, consultez À propos d’Azure Key Vault. Pour plus d’informations sur les pools de HSM managés, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?

Types de données

Reportez-vous aux spécifications JOSE pour les types de données appropriés pour les clés, le chiffrement et la signature.

  • algorithm : algorithme pris en charge pour une opération sur les clés, RSA1_5 par exemple
  • ciphertext-value : octets de texte de chiffrement, codés avec Base64URL
  • digest-value : sortie d’un algorithme de hachage, codée avec Base64URL
  • key-type : un des types de clés pris en charge, par exemple RSA (Rivest-Shamir-Adleman).
  • plaintext-value : octets de texte en clair, codés avec Base64URL
  • signature-value : sortie d’un algorithme de signature, codée avec Base64URL
  • base64URL : valeur binaire codée Base64URL [RFC4648]
  • boolean : true (vrai) ou false (faux)
  • Identité : identité de Microsoft Entra ID.
  • IntDate : valeur décimale JSON représentant le nombre de secondes entre 1970-01-01T0:0:0Z UTC et la date/heure UTC spécifiée. Consultez la RFC3339 pour plus d’informations sur les dates/heures en général, et sur UTC en particulier.

Objets, identificateurs et gestion de versions

Les objets stockés dans Key Vault sont versionnés chaque fois qu’une nouvelle instance d’un objet est créée. Chaque version se voit assigner un identificateur d’objet unique. Quand un objet est créé, il se voit attribuer un identificateur de version unique et est marqué comme version actuelle de l’objet. La création d’une nouvelle instance portant le même nom d’objet attribue au nouvel objet un identificateur de version unique, ce qui en fait la version actuelle.

Vous pouvez récupérer les objets dans Key Vault en spécifiant une version ou en l’omettant pour obtenir la dernière version de l’objet. L’exécution d’opérations sur des objets nécessite l’indication d’une version pour utiliser une version spécifique de l’objet.

Notes

Les valeurs que vous fournissez pour les ressources ou les ID d’objet Azure peuvent être copiées globalement dans le cadre de l’exécution du service. La valeur fournie ne doit pas inclure d’informations d’identification personnelle ou sensibles.

Étapes suivantes