Общие сведения о ключах, секретах и сертификатах Azure Key Vault

Azure Key Vault позволяет приложениям и пользователям Microsoft Azure хранить и использовать несколько типов данных секретов и ключей: ключей, секретов и сертификатов. Ключи, секреты и сертификаты совместно называются объектами.

Идентификаторы объектов

Объекты однозначно определяются в Key Vault с помощью идентификатора без учета регистра, называемого идентификатором объекта. Ни один объект в системе не имеет одного и того же идентификатора, независимо от географического расположения. Идентификатор состоит из префикса, который определяет хранилище ключей, тип объекта, имя предоставленного пользователем объекта и версию объекта. Идентификаторы, не содержащие версию объекта, называются базовыми идентификаторами. Идентификаторы объектов Key Vault также являются допустимыми URL-адресами, но всегда следует сравнивать как строки без учета регистра.

Дополнительные сведения см. в статье Authentication, requests and responses (Проверка подлинности, запросы и ответы).

Идентификатор объекта имеет следующий общий формат (в зависимости от типа контейнера):

  • Для хранилищ: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}.

  • Для пулов управляемых устройств HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}.

Примечание.

Сведения о типах объектов, поддерживаемых каждым типом контейнера, см. в этом разделе.

Где:

Элемент Description
vault-name или hsm-name Имя хранилища ключей или управляемого пула HSM в службе Microsoft Azure Key Vault.

Имена хранилищ и пулов управляемых устройств HSM выбираются пользователем и являются глобально уникальными.

Имя хранилища и имя пула управляемого модуля HSM должны быть строкой символов 3-24, содержащей только 0-9, a-z, A-Z и не последовательно.
object-type Тип объекта, "ключи", "секреты" или "сертификаты".
object-name Имя object-name пользователя и должно быть уникальным в хранилище ключей. Имя должно быть строкой длиной от 1 до 127 знаков, содержащей только цифры (0–9), буквы (a–z, A–Z) и знак "-".
object-version object-version — созданный системой 32-знаковый идентификатор строки, который при необходимости используется для обозначения уникальной версии объекта.

DNS-суффиксы для идентификаторов объектов

Поставщик ресурсов Azure Key Vault поддерживает два типа ресурсов: хранилища и управляемые устройства HSM. В этой таблице показан суффикс DNS, используемый конечной точкой плоскости данных для хранилищ и управляемых пулов HSM в различных облачных средах.

Облачная среда DNS-суффикс для хранилищ DNS-суффикс для управляемых устройств HSM
Облако Azure .vault.azure.net .managedhsm.azure.net
Microsoft Azure, управляемый 21Vianet Cloud .vault.azure.cn Не поддерживается
Azure – Правительство США .vault.usgovcloudapi.net Не поддерживается
Облако Azure для Германии .vault.microsoftazure.de Не поддерживается

Типы объектов

В этой таблице показаны типы объектов и их суффиксы в идентификаторе объекта.

Тип объекта Суффикс идентификатора Хранилища Пулы управляемых устройств HSM
Ключи, защищенные модулем HSM /keys Поддерживается Поддерживается
Ключи, защищенные с помощью ПО /keys Поддерживается Не поддерживается
Секреты /secrets Поддерживается Не поддерживается
Сертификаты /certificates Поддерживается Не поддерживается
Ключи учетной записи хранения /storage Поддерживается Не поддерживается
  • Криптографические ключи: поддерживает несколько типов ключей и алгоритмов, позволяет использовать ключи, защищенные с помощью ПО или модуля HSM. См. сведения о ключах.
  • Секреты: обеспечивается безопасное хранение секретов, таких как пароли и строки подключения к базам данных. См. сведения о секретах.
  • Сертификаты: поддерживаются сертификаты, которые создаются поверх ключей и секретов и добавляют функцию автоматического обновления. Следует помнить, что при создании сертификата адресуемые ключ и секрет также создаются с тем же именем. См. сведения о сертификатах.
  • Ключи учетной записи хранения Azure: может управлять ключами учетной записи хранения Azure. На внутреннем уровне Key Vault может перечислять (синхронизировать) ключи с учетными записями хранения Azure и периодически повторно создавать (заменять) ключи. См. сведения об управлении ключами учетной записи хранения с помощью Key Vault.

См. сведения об Azure Key Vault. Дополнительные сведения о пулах управляемых устройств HSM см. в статье Что собой представляет управляемое устройство HSM в Azure Key Vault?

Типы данных

Обратитесь к спецификациям JOSE для соответствующих типов данных ключей, шифрования и подписей.

  • algorithm — поддерживаемый алгоритм для операции ключа, например RSA1_5.
  • ciphertext-value — октеты зашифрованного текста, закодированные с помощью Base64URL.
  • digest-value — выходные данные хэш-алгоритма, зашифрованные с помощью Base64URL.
  • key-type — один из поддерживаемых типов ключей, например RSA (Rivest-Shamir-Adleman).
  • plaintext-value — октеты открытого текста, закодированные с помощью Base64URL.
  • signature-value — выходные данные алгоритма подписи, закодированные с помощью Base64URL.
  • base64URL — двоичное значение в кодировке Base64URL [RFC4648].
  • boolean — значение true или false.
  • Удостоверение — удостоверение из идентификатора Microsoft Entra.
  • IntDate — десятичное значение JSON, представляющее число секунд, начиная с 1970-01-01T0:0:0Z UTC до указанной даты или времени в формате UTC. Дополнительные сведения о дате и времени в общем формате и в UTC в частности см. в [RFC3339].

Объекты, идентификаторы и управление версиями

Объекты, хранящиеся в Azure Key Vault, сохраняют версии всякий раз, когда создается экземпляр объекта. Каждая версия назначается уникальным идентификатором объекта. Когда объект создается впервые, ему присваивается уникальный идентификатор версии, а также метка с текущей версией. При создании экземпляра с тем же именем объекта новому объекту присваивается уникальный идентификатор версии и эта версия становится текущей.

Объекты в Key Vault можно получить, указав версию или опущенную версию, чтобы получить последнюю версию объекта. Выполнение операций с объектами требует предоставления версии для использования конкретной версии объекта.

Примечание.

Значения, предоставляемые для ресурсов Azure или идентификаторов объектов, могут быть скопированы глобально для выполнения службы. Указываемое значение не должно включать личную или конфиденциальную информацию.

Следующие шаги