Guia do desenvolvedor do Azure Key Vault

O Azure Key Vault permite-lhe aceder com segurança a informações confidenciais a partir das suas aplicações:

  • Chaves, segredos e certificados são protegidos sem que você precise escrever o código sozinho, e você pode usá-los facilmente de seus aplicativos.
  • Você permite que os clientes possuam e gerenciem suas próprias chaves, segredos e certificados para que você possa se concentrar em fornecer os principais recursos de software. Dessa forma, seus aplicativos não terão a responsabilidade ou responsabilidade potencial pelas chaves, segredos e certificados de locatário de seus clientes.
  • Seu aplicativo pode usar chaves para assinatura e criptografia, mas manter o gerenciamento de chaves externo do seu aplicativo. Para obter mais informações, consulte Sobre chaves.
  • Você pode gerenciar credenciais como senhas, chaves de acesso e tokens SAS armazenando-os no Cofre de Chaves como segredos. Para obter mais informações, consulte Sobre segredos.
  • Gerenciar certificados. Para obter mais informações, consulte Sobre certificados.

Para obter informações gerais sobre o Azure Key Vault, consulte Sobre o Azure Key Vault.

Pré-visualizações públicas

Periodicamente, lançamos uma prévia pública de um novo recurso do Cofre de Chaves. Experimente as funcionalidades de pré-visualização pública e diga-nos o que pensa através do azurekeyvault@microsoft.comnosso endereço de e-mail de comentários.

Criar e gerenciar cofres de chaves

Tal como acontece com outros serviços do Azure, o Cofre da Chave é gerido através do Azure Resource Manager. O Azure Resource Manager é o serviço de implementação e gestão do Azure. Você pode usá-lo para criar, atualizar e excluir recursos em sua conta do Azure.

O RBAC (controle de acesso baseado em função) do Azure controla o acesso à camada de gerenciamento, também conhecido como plano de gerenciamento. Use o plano de gerenciamento no Cofre de Chaves para criar e gerenciar cofres de chaves e seus atributos, incluindo políticas de acesso. Use o plano de dados para gerenciar chaves, certificados e segredos.

Você pode usar a função predefinida de Colaborador do Cofre de Chaves para conceder acesso de gerenciamento ao Cofre de Chaves.

APIs e SDKs para gerenciamento de cofres de chaves

CLI do Azure PowerShell API REST Gestor de Recursos .NET Python Java JavaScript
Referência
Início rápido
Referência
Início rápido
Referência Referência
Início rápido
Referência Referência Referência Referência

Para pacotes de instalação e código-fonte, consulte Bibliotecas de cliente.

Autenticar no Cofre da Chave em código

O Cofre da Chave usa a autenticação do Microsoft Entra, que requer uma entidade de segurança do Microsoft Entra para conceder acesso. Uma entidade de segurança do Microsoft Entra pode ser um usuário, uma entidade de serviço de aplicativo, uma identidade gerenciada para recursos do Azure ou um grupo de qualquer um desses tipos.

Práticas recomendadas de autenticação

Recomendamos que você use uma identidade gerenciada para aplicativos implantados no Azure. Se você usar serviços do Azure que não oferecem suporte a identidades gerenciadas ou se os aplicativos forem implantados localmente, uma entidade de serviço com um certificado é uma alternativa possível. Nesse cenário, o certificado deve ser armazenado no Cofre da Chave e frequentemente alternado.

Use uma entidade de serviço com um segredo para ambientes de desenvolvimento e teste. Use uma entidade de usuário para desenvolvimento local e o Azure Cloud Shell.

Recomendamos estas entidades de segurança em cada ambiente:

  • Ambiente de produção: identidade gerenciada ou entidade de serviço com um certificado.
  • Ambientes de teste e desenvolvimento: identidade gerenciada, entidade de serviço com certificado ou entidade de serviço com segredo.
  • Desenvolvimento local: entidade de utilizador ou entidade de serviço com um segredo.

Bibliotecas de cliente do Azure Identity

Os cenários de autenticação anteriores são suportados pela biblioteca de cliente do Azure Identity e integrados com SDKs do Cofre da Chave. Você pode usar a biblioteca de cliente do Azure Identity entre ambientes e plataformas sem alterar seu código. A biblioteca recupera automaticamente tokens de autenticação de usuários que estão conectados ao usuário do Azure por meio da CLI do Azure, Visual Studio, Visual Studio Code e outros meios.

Para obter mais informações sobre a biblioteca de cliente do Azure Identity, consulte:

.NET Python Java JavaScript
Azure Identity SDK .NET Azure Identity SDK Python Azure Identity SDK Java Azure Identity SDK JavaScript

Nota

Recomendamos a biblioteca de Autenticação de Aplicativo para o Key Vault .NET SDK versão 3, mas agora ela foi preterida. Para migrar para o Key Vault .NET SDK versão 4, siga as diretrizes de migração AppAuthentication to Azure.Identity.

Para obter tutoriais sobre como autenticar no Cofre da Chave em aplicativos, consulte:

Gerenciar chaves, certificados e segredos

Nota

SDKs para .NET, Python, Java, JavaScript, PowerShell e a CLI do Azure fazem parte do processo de liberação do recurso Key Vault por meio de visualização pública e disponibilidade geral com suporte à equipe de serviço do Key Vault. Outros clientes SDK para Key Vault estão disponíveis, mas eles são criados e suportados por equipes SDK individuais no GitHub e lançados em sua agenda de equipes.

O plano de dados controla o acesso a chaves, certificados e segredos. Você pode usar políticas de acesso ao cofre local ou o RBAC do Azure para controle de acesso por meio do plano de dados.

APIs e SDKs para chaves

CLI do Azure PowerShell API REST Gestor de Recursos .NET Python Java JavaScript
Referência
Início rápido
Referência
Início rápido
Referência Referência
Início rápido
Referência
Início rápido
Referência
Início rápido
Referência
Início rápido
Referência
Início rápido

Outras Bibliotecas

Cliente de criptografia para Key Vault e HSM gerenciado

Este módulo fornece um cliente de criptografia para o módulo de cliente Azure Key Vault Keys for Go.

Nota

Este projeto não é suportado pela equipa do SDK do Azure, mas alinha-se com os clientes de criptografia noutros idiomas suportados.

Idioma Referência
Go Referência

APIs e SDKs para certificados

CLI do Azure PowerShell API REST Gestor de Recursos .NET Python Java JavaScript
Referência
Início rápido
Referência
Início rápido
Referência N/A Referência
Início rápido
Referência
Início rápido
Referência
Início rápido
Referência
Início rápido

APIs e SDKs para segredos

CLI do Azure PowerShell API REST Gestor de Recursos .NET Python Java JavaScript
Referência
Início rápido
Referência
Início rápido
Referência Referência
Início rápido
Referência
Início rápido
Referência
Início rápido
Referência
Início rápido
Referência
Início rápido

Uso de segredos

Use o Azure Key Vault para armazenar apenas segredos para seu aplicativo. Exemplos de segredos que devem ser armazenados no Cofre da Chave incluem:

  • Segredos do aplicativo cliente
  • Cadeias de ligação
  • Palavras-chave
  • Chaves de acesso partilhado
  • Chaves SSH

Qualquer informação relacionada a segredos, como nomes de usuário e IDs de aplicativos, pode ser armazenada como uma tag em um segredo. Para quaisquer outras definições de configuração confidenciais, você deve usar a Configuração do Aplicativo do Azure.

Referências

Para pacotes de instalação e código-fonte, consulte Bibliotecas de cliente.

Para obter informações sobre a segurança do plano de dados para o Cofre da Chave, consulte Recursos de segurança do Cofre de Chaves do Azure.

Usar o Cofre da Chave em aplicativos

Para aproveitar os recursos mais recentes do Cofre da Chave, recomendamos que você use os SDKs do Cofre da Chave disponíveis para usar segredos, certificados e chaves em seu aplicativo. Os SDKs do Key Vault e a API REST são atualizados à medida que novos recursos são lançados para o produto e seguem as práticas recomendadas e as diretrizes.

Para cenários básicos, existem outras bibliotecas e soluções de integração para uso simplificado, com suporte fornecido por parceiros da Microsoft ou comunidades de código aberto.

Para certificados, você pode usar:

Para segredos, você pode usar:

Exemplos de código

Para obter exemplos completos de como usar o Cofre da Chave com aplicativos, consulte Exemplos de código do Cofre de Chaves do Azure.

Orientação específica da tarefa

Os seguintes artigos e cenários fornecem orientações específicas para tarefas para trabalhar com o Azure Key Vault:

Integração com Key Vault

Os seguintes serviços e cenários usam ou integram-se ao Key Vault:

  • A criptografia em repouso permite a codificação (criptografia) de dados quando eles são persistentes. As chaves de criptografia de dados geralmente são criptografadas com uma chave de criptografia de chave no Cofre de Chaves do Azure para limitar ainda mais o acesso.
  • A Proteção de Informações do Azure permite que você gerencie sua própria chave de locatário. Por exemplo, em vez de a Microsoft gerir a sua chave de inquilino (a predefinição), pode gerir a sua própria chave de inquilino para cumprir regulamentos específicos que se aplicam à sua organização. Gerenciar sua própria chave de locatário também é chamado de traga sua própria chave (BYOK).
  • O Azure Private Link permite que você acesse os serviços do Azure (por exemplo, Azure Key Vault, Armazenamento do Azure e Azure Cosmos DB) e serviços de cliente/parceiro hospedados pelo Azure em um ponto de extremidade privado em sua rede virtual.
  • A integração do Cofre da Chave com a Grade de Eventos do Azure permite que os usuários sejam notificados quando o status de um segredo armazenado no Cofre da Chave for alterado. Você pode distribuir novas versões de segredos para aplicativos ou alternar segredos de quase expiração para evitar interrupções.
  • Proteja seus segredos do Azure DevOps contra acesso indesejado no Cofre da Chave.
  • Use segredos armazenados no Cofre da Chave para se conectar ao Armazenamento do Azure a partir do Azure Databricks.
  • Configure e execute o provedor do Azure Key Vault para o driver CSI do Secrets Store no Kubernetes.

Visão geral e conceitos do Key Vault

Para saber mais sobre:

  • Um recurso que permite a recuperação de objetos excluídos, independentemente de a exclusão ter sido acidental ou intencional, consulte Visão geral de exclusão suave do Azure Key Vault.
  • Os conceitos básicos de limitação e obter uma abordagem para seu aplicativo, consulte Diretrizes de limitação do Cofre de Chaves do Azure.
  • As relações entre regiões e áreas de segurança, consulte Mundos de segurança e limites geográficos do Azure Key Vault.

Rede Social