O que é o Azure Key Vault?

Concluído

O Azure Key Vault é um armazenamento secreto: um serviço de nuvem centralizado para armazenar segredos de aplicativos, como valores de configuração, como senhas e cadeias de conexão, que devem permanecer seguros em todos os momentos. O Cofre de Chaves ajuda-o a controlar os segredos das suas aplicações, mantendo-as numa única localização central. Ele fornece acesso seguro, controle de permissões e registro de acesso.

As principais vantagens da utilização do Key Vault são:

  • Separação de informações confidenciais do aplicativo de outras configurações e códigos, o que reduz o risco de vazamentos acidentais
  • Acesso restrito aos segredos com políticas de acesso ajustadas às aplicações e às pessoas que precisam delas
  • Armazenamento secreto centralizado, o que significa que as alterações necessárias só têm de ser feitas num único local
  • Registo e monitorização do acesso para o ajudar a compreender como e quando ocorre o acesso aos segredos

Os segredos são armazenados em cofres individuais, que são recursos do Azure utilizados para agrupar segredos. O acesso secreto e o gerenciamento do cofre são realizados usando uma API REST. Todas as ferramentas de gerenciamento do Azure e bibliotecas de cliente disponíveis para muitos idiomas populares também oferecem suporte a essa API. Cada cofre tem um URL exclusivo onde está alojada a API.

Importante

O Key Vault foi concebido para armazenar os segredos de configuração das aplicações de servidor. Não se destina a armazenar dados pertencentes aos utilizadores da sua aplicação. Ele não deve ser usado na parte do lado do cliente de um aplicativo. Esse comportamento é refletido em suas características de desempenho, API e modelo de custo.

Os dados de utilizador devem ser armazenados noutro local, por exemplo, numa base de dados SQL do Azure com Encriptação de Dados Transparente ou numa conta de armazenamento com Encriptação do Serviço de Armazenamento. Os segredos que seu aplicativo usa para acessar esses armazenamentos de dados podem ser mantidos no Cofre de Chaves.

O que é um segredo no Key Vault?

No Key Vault, um segredo é um par nome/valor de cadeias de caracteres. Os nomes secretos têm de ter entre 1 e 127 carateres, conter apenas carateres alfanuméricos e travessões e serem exclusivos no interior do cofre. Um valor secreto pode ser qualquer cadeia de caracteres UTF-8 com um tamanho máximo de 25 KB.

Gorjeta

Os nomes secretos não precisam de ser considerados especialmente secretos em si mesmos. Poderá armazená-los na configuração da aplicação se a sua implementação assim o exigir. O mesmo também é válido para os nomes de cofre e os URLs.

Nota

O Key Vault suporta dois tipos adicionais de segredos além das cadeias de caracteres: chaves e certificados. O Key Vault fornece funcionalidades úteis específicas para seus casos de uso. Este módulo não aborda essas funcionalidades e concentra-se nas cadeias de segredos, como as palavras-passe e as cadeias de ligação.

Permissões e autenticação do cofre

A API do Key Vault usa o Microsoft Entra ID para autenticar usuários e aplicativos. As políticas de acesso ao cofre baseiam-se em ações e são aplicadas à totalidade do cofre. Por exemplo, um aplicativo com Get permissões (ler valores secretos), List (listar nomes de todos os segredos) e (criar ou atualizar valores secretos) para um cofre pode criar segredos, listar todos os nomes secretos e obter e Set definir todos os valores secretos nesse cofre.

Todas as ações executadas em um cofre exigem autenticação e autorização. Não há como conceder qualquer tipo de acesso anônimo.

Gorjeta

Quando você concede acesso ao cofre a desenvolvedores e aplicativos, conceda apenas o conjunto mínimo de permissões necessárias. As restrições de permissões ajudam a evitar acidentes causados por bugs de código e reduzem o impacto de credenciais roubadas ou códigos mal-intencionados injetados em seu aplicativo.

Os desenvolvedores geralmente só precisam de Get permissões para List um cofre de ambiente de desenvolvimento. Alguns engenheiros precisam de permissões totais para alterar e adicionar segredos, quando necessário.

Para aplicativos, muitas vezes apenas Get permissões são necessárias. Alguns aplicativos podem exigir List dependendo da maneira como o aplicativo é implementado. O aplicativo no exercício deste módulo requer a List permissão por causa da técnica que usa para ler segredos do cofre.