Översikt över Azure Key Vault-nycklar, hemligheter och certifikat

Med Azure Key Vault kan Microsoft Azure-program och -användare lagra och använda flera typer av hemliga/nyckeldata: nycklar, hemligheter och certifikat. Nycklar, hemligheter och certifikat kallas gemensamt för "objekt".

Objektidentifierare

Objekt identifieras unikt i Key Vault med hjälp av en skiftlägesokänslig identifierare som kallas objektidentifierare. Inga två objekt i systemet har samma identifierare, oavsett geo-plats. Identifieraren består av ett prefix som identifierar nyckelvalvet, objekttypen, användarens objektnamn och en objektversion. Identifierare som inte innehåller objektversionen kallas "basidentifierare". Key Vault-objektidentifierare är också giltiga URL:er, men bör alltid jämföras med skiftlägesokänsliga strängar.

Mer information finns i Autentisering, begäranden och svar

En objektidentifierare har följande allmänna format (beroende på containertyp):

  • För valv: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • För hanterade HSM-pooler: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Kommentar

Se Stöd för objekttyp för typer av objekt som stöds av varje containertyp.

Där:

Element Description
vault-name eller hsm-name Namnet på ett nyckelvalv eller en hanterad HSM-pool i Microsoft Azure Key Vault-tjänsten.

Valvnamn och hanterade HSM-poolnamn väljs av användaren och är globalt unika.

Valvnamn och Hanterat HSM-poolnamn måste vara en sträng på 3–24 tecken som endast innehåller 0–9, a-z, A-Z och inte i följd –.
object-type Typen av objekt, "nycklar", "hemligheter" eller "certifikat".
object-name En object-name är ett angivet användarnamn för och måste vara unikt i ett nyckelvalv. Namnet måste vara en sträng på 1–127 tecken som endast innehåller 0–9, a-z, A-Z och -.
object-version En object-version är en systemgenererad strängidentifierare med 32 tecken som kan användas för att hantera en unik version av ett objekt.

DNS-suffix för objektidentifierare

Azure Key Vault-resursprovidern stöder två resurstyper: valv och hanterade HSM:er. Den här tabellen visar DNS-suffixet som används av dataplanets slutpunkt för valv och hanterade HSM-pooler i olika molnmiljöer.

Molnmiljö DNS-suffix för valv DNS-suffix för hanterade HSM:er
Azure Cloud .vault.azure.net .managedhsm.azure.net
Microsoft Azure drivs av 21Vianet Cloud .vault.azure.cn Stöds inte
Azure US Government .vault.usgovcloudapi.net Stöds inte
Azure German Cloud .vault.microsoftazure.de Stöds inte

Objekttyper

Den här tabellen visar objekttyper och deras suffix i objektidentifieraren.

Object type Identifierarsuffix Valv Hanterade HSM-pooler
HSM-skyddade nycklar /Nycklar Stöds Stöds
Programvaruskyddade nycklar /Nycklar Stöds Stöds inte
Hemligheter /Hemligheter Stöds Stöds inte
Certifikat /certifikaten Stöds Stöds inte
Lagringskontonycklar /lagring Stöds Stöds inte
  • Kryptografiska nycklar: Stöder flera nyckeltyper och algoritmer och möjliggör användning av programvaruskyddade och HSM-skyddade nycklar. Mer information finns i Om nycklar.
  • Hemligheter: Ger säker lagring av hemligheter, till exempel lösenord och databas niska veze. Mer information finns i Om hemligheter.
  • Certifikat: Stöder certifikat som bygger på nycklar och hemligheter och lägger till en automatisk förnyelsefunktion. Tänk på att när ett certifikat skapas skapas även en adresserbar nyckel och hemlighet med samma namn. Mer information finns i Om certifikat.
  • Azure Storage-kontonycklar: Kan hantera nycklar för ett Azure Storage-konto åt dig. Internt kan Key Vault lista (synkronisera) nycklar med ett Azure Storage-konto och återskapa (rotera) nycklarna med jämna mellanrum. Mer information finns i Hantera lagringskontonycklar med Key Vault.

Mer allmän information om Key Vault finns i Om Azure Key Vault. Mer information om hanterade HSM-pooler finns i Vad är Azure Key Vault Managed HSM?

Datatyper

Se JOSE-specifikationerna för relevanta datatyper för nycklar, kryptering och signering.

  • algoritm – en algoritm som stöds för en nyckelåtgärd, till exempel RSA1_5
  • chiffertextvärde – chiffertextoktets, kodade med Base64URL
  • digest-value – utdata från en hash-algoritm, kodad med Base64URL
  • key-type – en av de nyckeltyper som stöds, till exempel RSA (Rivest-Shamir-Adleman).
  • plaintext-value – oformaterade oktetter, kodade med Base64URL
  • signature-value – utdata från en signaturalgoritm som kodas med Base64URL
  • base64URL – ett Base64URL [RFC4648] kodat binärt värde
  • booleskt värde – antingen sant eller falskt
  • Identitet – en identitet från Microsoft Entra-ID.
  • IntDate – ett JSON-decimalvärde som representerar antalet sekunder från 1970-01-01T0:0:0Z UTC till det angivna UTC-datumet/tiden. Se RFC3339 för information om datum/tider, i allmänhet och UTC i synnerhet.

Objekt, identifierare och versionshantering

Objekt som lagras i Key Vault versionshanteras när en ny instans av ett objekt skapas. Varje version tilldelas en unik objektidentifierare. När ett objekt först skapas får det en unik versionsidentifierare och markeras som den aktuella versionen av objektet. Skapandet av en ny instans med samma objektnamn ger det nya objektet en unik versionsidentifierare, vilket gör att den blir den aktuella versionen.

Objekt i Key Vault kan hämtas genom att ange en version eller genom att utelämna version för att hämta den senaste versionen av objektet. Om du utför åtgärder på objekt måste du tillhandahålla en version för att använda en viss version av objektet.

Kommentar

De värden som du anger för Azure-resurser eller objekt-ID:t kan kopieras globalt i syfte att köra tjänsten. Det angivna värdet bör inte innehålla personligt identifierbar eller känslig information.

Nästa steg