Acerca dos segredos do Azure Key Vault

O Cofre de Chaves fornece armazenamento seguro de segredos genéricos, como senhas e cadeias de conexão de banco de dados.

Da perspetiva de um desenvolvedor, as APIs do Key Vault aceitam e retornam valores secretos como strings. Internamente, o Key Vault armazena e gerencia segredos como sequências de octetos (bytes de 8 bits), com um tamanho máximo de 25k bytes cada. O serviço Cofre da Chave não fornece semântica para segredos. Ele simplesmente aceita os dados, criptografa-os, armazena-os e retorna um identificador secreto (id). O identificador pode ser usado para recuperar o segredo posteriormente.

Para dados altamente confidenciais, os clientes devem considerar camadas adicionais de proteção de dados. A encriptação de dados com uma chave de proteção separada antes do armazenamento no Key Vault é um exemplo disso.

O Key Vault também suporta um campo contentType para segredos. Os clientes podem especificar o tipo de conteúdo de um segredo para ajudar a interpretar os dados secretos quando eles são recuperados. O comprimento máximo deste campo é de 255 caracteres. O uso sugerido é como uma dica para interpretar os dados secretos. Por exemplo, uma implementação pode armazenar senhas e certificados como segredos e, em seguida, usar esse campo para diferenciar. Não existem valores predefinidos.

Encriptação

Todos os segredos no seu Cofre de Chaves são armazenados encriptados. O Cofre de Chaves criptografa segredos em repouso com uma hierarquia de chaves de criptografia, com todas as chaves nessa hierarquia protegidas por módulos compatíveis com FIPS 140-2. Essa criptografia é transparente e não requer nenhuma ação do usuário. O serviço Cofre de Chaves do Azure criptografa seus segredos quando você os adiciona e os descriptografa automaticamente quando você os lê.

A chave folha de criptografia da hierarquia de chaves é exclusiva para cada cofre de chaves. A chave raiz de criptografia da hierarquia de chaves é exclusiva do mundo da segurança e seu nível de proteção varia entre as regiões:

  • China: a chave raiz é protegida por um módulo validado para FIPS 140-2 Nível 1.
  • Outras regiões: a chave raiz é protegida por um módulo validado para FIPS 140-2 Nível 2 ou superior.

Atributos secretos

Além dos dados secretos, os seguintes atributos podem ser especificados:

  • exp: IntDate, opcional, o padrão é para sempre. O atributo exp (tempo de expiração) identifica o tempo de expiração no qual ou após o qual os dados secretos NÃO DEVEM ser recuperados, exceto em situações específicas. Este campo é apenas para fins informativos , pois informa os usuários do serviço de cofre de chaves que um segredo específico não pode ser usado. Seu valor DEVE ser um número contendo um valor IntDate.
  • nbf: IntDate, opcional, o padrão é agora. O atributo nbf (não antes) identifica o tempo antes do qual os dados secretos NÃO DEVEM ser recuperados, exceto em situações específicas. Este campo é apenas para fins informativos . Seu valor DEVE ser um número contendo um valor IntDate.
  • Habilitado: Booleano, opcional, o padrão é verdadeiro. Este atributo especifica se os dados secretos podem ser recuperados. O atributo enabled é usado com nbf e exp quando uma operação ocorre entre nbf e exp, ele só será permitido se enabled estiver definido como true. Operações fora da janela nbf e exp são automaticamente proibidas, exceto em situações específicas.

Há mais atributos somente leitura incluídos em qualquer resposta que inclua atributos secretos:

  • criado: IntDate, opcional. O atributo created indica quando esta versão do segredo foi criada. Esse valor é nulo para segredos criados antes da adição desse atributo. Seu valor deve ser um número contendo um valor IntDate.
  • atualizado: IntDate, opcional. O atributo updated indica quando esta versão do segredo foi atualizada. Esse valor é nulo para segredos que foram atualizados pela última vez antes da adição desse atributo. Seu valor deve ser um número contendo um valor IntDate.

Para obter informações sobre atributos comuns para cada tipo de objeto do cofre de chaves, consulte Visão geral de chaves, segredos e certificados do Cofre de Chaves do Azure

Operações controladas com data e hora

A operação get de um segredo funcionará para segredos ainda não válidos e expirados, fora da janela de exp do nbf / . Chamar a operação get de um segredo, para um segredo ainda não válido, pode ser usado para fins de teste. Recuperar (obterting) um segredo expirado, pode ser usado para operações de recuperação.

Controlo de acesso a segredos

O Controle de Acesso para segredos gerenciados no Cofre da Chave é fornecido no nível do Cofre da Chave que contém esses segredos. A política de controle de acesso para segredos é distinta da política de controle de acesso para chaves no mesmo Cofre de Chaves. Os usuários podem criar um ou mais cofres para guardar segredos e são obrigados a manter a segmentação e o gerenciamento de segredos adequados ao cenário.

As seguintes permissões podem ser usadas, por principal, na entrada de controle de acesso de segredos em um cofre e espelhar de perto as operações permitidas em um objeto secreto:

  • Permissões para operações de gerenciamento secretas

    • get: Leia um segredo
    • list: Liste os segredos ou versões de um segredo armazenado em um Cofre de Chaves
    • set: Criar um segredo
    • excluir: excluir um segredo
    • recuperar: Recuperar um segredo excluído
    • backup: Faça backup de um segredo em um cofre de chaves
    • restaurar: restaure um segredo de backup em um cofre de chaves
  • Permissões para operações privilegiadas

    • purgar: Limpar (excluir permanentemente) um segredo excluído

Para obter mais informações sobre como trabalhar com segredos, consulte Operações secretas na referência da API REST do Cofre de Chaves. Para obter informações sobre como estabelecer permissões, consulte Vaults - Criar ou atualizar e Vaults - Atualizar política de acesso.

Guias de instruções para controlar o acesso no Cofre da Chave:

Tags secretas

Você pode especificar mais metadados específicos do aplicativo na forma de tags. O Key Vault suporta até 15 tags, cada uma das quais pode ter um nome de 512 caracteres e um valor de 512 caracteres.

Nota

As tags podem ser lidas por um chamador se ele tiver a lista ou obtiver permissão.

Cenários de uso

Quando utilizar o Exemplos
Armazene, gerencie o ciclo de vida e monitore credenciais para comunicação serviço-a-serviço, como senhas, chaves de acesso, segredos do cliente principal de serviço. - Usar o Azure Key Vault com uma máquina virtual
- Usar o Azure Key Vault com um Aplicativo Web do Azure

Próximos passos