Azure Key Vault anahtarlarına, gizli dizilerine ve sertifikalara genel bakış

Azure Key Vault, Microsoft Azure uygulamalarının ve kullanıcılarının çeşitli gizli dizi/anahtar verilerini depolamasına ve kullanmasına olanak tanır: anahtarlar, gizli diziler ve sertifikalar. Anahtarlar, gizli diziler ve sertifikalar topluca "nesneler" olarak adlandırılır.

Nesne tanımlayıcıları

Nesneler Key Vault'ta nesne tanımlayıcısı olarak adlandırılan büyük/küçük harfe duyarlı olmayan bir tanımlayıcı kullanılarak benzersiz olarak tanımlanır. Coğrafi konumdan bağımsız olarak sistemdeki iki nesne aynı tanımlayıcıya sahip değildir. Tanımlayıcı, anahtar kasasını, nesne türünü, kullanıcı tarafından sağlanan nesne adını ve nesne sürümünü tanımlayan bir ön ek içerir. Nesne sürümünü içermeyen tanımlayıcılar "temel tanımlayıcılar" olarak adlandırılır. Key Vault nesne tanımlayıcıları da geçerli URL'lerdir, ancak her zaman büyük/küçük harfe duyarlı olmayan dizeler olarak karşılaştırılmalıdır.

Daha fazla bilgi için bkz. Kimlik doğrulaması, istekler ve yanıtlar

Nesne tanımlayıcısı aşağıdaki genel biçime sahiptir (kapsayıcı türüne bağlı olarak):

  • Kasalar için: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Yönetilen HSM havuzları için: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Where:

Öğe Açıklama
vault-name veya hsm-name Microsoft Azure Key Vault hizmetindeki bir anahtar kasasının veya Yönetilen HSM havuzunun adı.

Kasa adları ve Yönetilen HSM havuzu adları kullanıcı tarafından seçilir ve genel olarak benzersizdir.

Kasa adı ve Yönetilen HSM havuz adı, yalnızca 0-9, a-z, A-Z içeren ve ardışık olmayan bir 3-24 karakter dizesi olmalıdır.
object-type Nesnenin türü, "anahtarlar", "gizli diziler" veya "sertifikalar".
object-name , object-name için kullanıcı tarafından sağlanan bir addır ve anahtar kasası içinde benzersiz olmalıdır. Ad yalnızca 0-9, a-z, A-Z ve -içeren 1-127 karakterlik bir dize olmalıdır.
object-version , object-version isteğe bağlı olarak bir nesnenin benzersiz bir sürümünü ele almak için kullanılan, sistem tarafından oluşturulan, 32 karakterlik bir dize tanımlayıcısıdır.

Nesne tanımlayıcıları için DNS son ekleri

Azure Key Vault kaynak sağlayıcısı iki kaynak türünü destekler: kasalar ve yönetilen HSM'ler. Bu tabloda, çeşitli bulut ortamlarındaki kasalar ve yönetilen HSM havuzları için veri düzlemi uç noktası tarafından kullanılan DNS soneki gösterilmektedir.

Bulut ortamı Kasalar için DNS son eki Yönetilen HSM'ler için DNS son eki
Azure Cloud .vault.azure.net .managedhsm.azure.net
21Vianet Cloud tarafından sağlanan Microsoft Azure .vault.azure.cn Desteklenmez
Azure ABD Kamu .vault.usgovcloudapi.net Desteklenmez
Azure Alman Bulutu .vault.microsoftazure.de Desteklenmez

Nesne türleri

Bu tablo nesne tanımlayıcısında nesne türlerini ve bunların soneklerini gösterir.

Object type Tanımlayıcı Son Eki Kasalar Yönetilen HSM Havuzları
HSM ile korunan anahtarlar /Anahtar Desteklenir Desteklenir
Yazılım korumalı anahtarlar /Anahtar Desteklenir Desteklenmez
Gizli Diziler /Sır -larını Desteklenir Desteklenmez
Sertifikalar /Sertifika Desteklenir Desteklenmez
Depolama hesabı anahtarları /depolama Desteklenir Desteklenmez
  • Şifreleme anahtarları: Birden çok anahtar türünü ve algoritmayı destekler ve yazılım korumalı ve HSM korumalı anahtarların kullanılmasını sağlar. Daha fazla bilgi için bkz . Anahtarlar hakkında.
  • Gizli Diziler: Parolalar ve veritabanı bağlantı dizesi gibi gizli dizilerin güvenli bir şekilde depolanmasını sağlar. Daha fazla bilgi için bkz . Gizli diziler hakkında.
  • Sertifikalar: Anahtarların ve gizli dizilerin üzerine kurulu sertifikaları destekler ve otomatik yenileme özelliği ekler. Bir sertifika oluşturulduğunda aynı adla adreslenebilir bir anahtar ve gizli dizi de oluşturulduğunu unutmayın. Daha fazla bilgi için bkz . Sertifikalar hakkında.
  • Azure Depolama hesabı anahtarları: Azure Depolama hesabının anahtarlarını sizin için yönetebilir. Key Vault dahili olarak bir Azure Depolama Hesabı ile anahtarları listeleyebilir (eşitleyebilir) ve anahtarları düzenli aralıklarla yeniden oluşturabilir (döndürebilir). Daha fazla bilgi için bkz . Key Vault ile depolama hesabı anahtarlarını yönetme.

Key Vault hakkında daha fazla genel bilgi için bkz . Azure Key Vault hakkında. Yönetilen HSM havuzları hakkında daha fazla bilgi için bkz. Azure Key Vault Yönetilen HSM nedir ?

Veri türleri

Anahtarlar, şifreleme ve imzalama için ilgili veri türleri için JOSE belirtimlerine bakın.

  • algoritma - anahtar işlemi için desteklenen bir algoritma, örneğin, RSA1_5
  • ciphertext-value - Base64URL kullanılarak kodlanmış şifreleme metin sekizlileri
  • digest-value - Base64URL kullanılarak kodlanmış bir karma algoritmasının çıkışı
  • key-type - desteklenen anahtar türlerinden biri, örneğin RSA (Rivest-Shamir-Adleman).
  • plaintext-value - Base64URL kullanılarak kodlanmış düz metin sekizlileri
  • signature-value - Base64URL kullanılarak kodlanmış bir imza algoritmasının çıkışı
  • base64URL - Base64URL [RFC4648] kodlanmış ikili değer
  • boolean - true veya false
  • Kimlik - Microsoft Entra Id'den bir kimlik.
  • IntDate - 1970-01-01T0:0:0Z UTC arasındaki saniye sayısını belirtilen UTC tarih/saat değerine kadar gösteren bir JSON ondalık değeri. Genel olarak tarih/saat ve özellikle UTC ile ilgili ayrıntılar için bkz. RFC3339.

Nesneler, tanımlayıcılar ve sürüm oluşturma

Key Vault'ta depolanan nesneler, bir nesnenin yeni bir örneği oluşturulduğunda sürümlenir. Her sürüme benzersiz bir nesne tanımlayıcısı atanır. Bir nesne ilk oluşturulduğunda, benzersiz bir sürüm tanımlayıcısı verilir ve nesnenin geçerli sürümü olarak işaretlenir. Aynı nesne adına sahip yeni bir örneğin oluşturulması, yeni nesneye benzersiz bir sürüm tanımlayıcısı verir ve bu da geçerli sürüm haline gelmesine neden olur.

Key Vault'taki nesneler bir sürüm belirtilerek veya nesnenin en son sürümünü almak için sürümü çıkarılarak alınabilir. Nesneler üzerinde işlem gerçekleştirmek için, nesnenin belirli bir sürümünü kullanmak için sürüm sağlanması gerekir.

Not

Azure kaynakları veya nesne kimlikleri için sağladığınız değerler, hizmeti çalıştırmak amacıyla genel olarak kopyalanabilir. Sağlanan değer, kişisel veya hassas bilgileri içermemelidir.

Sonraki adımlar