Azure Key Vault gizli dizileri hakkında
Key Vault, parolalar ve veritabanı bağlantı dizesi gibi genel gizli dizilerin güvenli bir şekilde depolanmasını sağlar.
Geliştirici açısından bakıldığında Key Vault API'leri gizli dizi değerlerini dize olarak kabul eder ve döndürür. Key Vault dahili olarak gizli dizileri sekizli diziler (8 bit bayt) olarak depolar ve yönetir ve her biri en fazla 25k bayt boyutundadır. Key Vault hizmeti gizli diziler için semantik sağlamaz. Yalnızca verileri kabul eder, şifreler, depolar ve bir gizli dizi tanımlayıcısı (id
) döndürür. Tanımlayıcı, gizli diziyi daha sonra almak için kullanılabilir.
Son derece hassas veriler için istemciler, veriler için ek koruma katmanlarını dikkate almalıdır. Anahtarı Anahtar Kasasında depolamadan önce ayrı bir koruma anahtarı kullanarak verileri şifrelemek bunun bir örneğidir.
Key Vault, gizli diziler için contentType alanını da destekler. İstemciler, gizli dizi verileri alındığında yorumlanmasında yardımcı olması için gizli dizinin içerik türünü belirtebilir. Bu alanın uzunluk üst sınırı 255 karakterdir. Önerilen kullanım, gizli verileri yorumlamak için bir ipucudur. Örneğin, bir uygulama hem parolaları hem de sertifikaları gizli dizi olarak depolayıp ayırt etmek için bu alanı kullanabilir. Önceden tanımlanmış değer yok.
Şifreleme
Key Vault'unuzda yer alan tüm gizli diziler şifrelenmiş olarak depolanır. Key Vault bekleyen gizli dizileri şifreleme anahtarları hiyerarşisiyle şifreler ve bu hiyerarşideki tüm anahtarlar FIPS 140-2 uyumlu modüllerle korunur. Bu şifreleme saydamdır ve kullanıcıdan hiçbir eylem gerektirmez. Azure Key Vault hizmeti, gizli dizilerinizi eklediğinizde şifreler ve bunları okuduğunuzda bunların şifresini otomatik olarak çözer.
Anahtar hiyerarşisinin şifreleme yaprak anahtarı her anahtar kasası için benzersizdir. Anahtar hiyerarşisinin şifreleme kök anahtarı güvenlik dünyasına özgüdür ve koruma düzeyi bölgeler arasında değişir:
- Çin: Kök anahtar, FIPS 140-2 Düzey 1 için doğrulanan bir modülle korunur.
- Diğer bölgeler: Kök anahtar, FIPS 140-2 Düzey 2 veya üzeri için doğrulanmış bir modülle korunur.
Gizli dizi öznitelikleri
Gizli dizi verilerine ek olarak aşağıdaki öznitelikler belirtilebilir:
- exp: IntDate, isteğe bağlı, varsayılan sonsuza kadardır. exp (süre sonu) özniteliği, belirli durumlar dışında gizli verilerin alınmaması gereken veya sonrasındaki süre sonunu tanımlar. Bu alan yalnızca kullanıcılara belirli bir gizli anahtarın kullanılamayabileceğini bildiren bilgi amaçlıdır. Değeri, IntDate değeri içeren bir sayı OLMALıDıR.
- nbf: IntDate, isteğe bağlı, varsayılan artık. nbf (daha önce değil) özniteliği, belirli durumlar dışında gizli verilerin alınmaması gereken zamanı tanımlar. Bu alan yalnızca bilgilendirme amaçlıdır. Değeri, IntDate değeri içeren bir sayı OLMALıDıR.
- etkin: boole, isteğe bağlı, varsayılan true. Bu öznitelik, gizli verilerin alınıp alınamayacağını belirtir. Etkin öznitelik nbf ve exp arasında bir işlem gerçekleştiğinde nbf ve exp ile birlikte kullanılır; yalnızca etkinleştirildiğinde true olarak ayarlanırsa izin verilir. Nbf ve exp penceresinin dışındaki işlemlere, belirli durumlar dışında otomatik olarak izin verilmez.
Gizli dizi öznitelikleri içeren herhangi bir yanıta dahil edilen daha fazla salt okunur öznitelik vardır:
- created: IntDate, isteğe bağlı. Oluşturulan öznitelik, gizli dizinin bu sürümünün ne zaman oluşturulduğunu gösterir. Bu öznitelik eklenmeden önce oluşturulan gizli diziler için bu değer null olur. Değeri, IntDate değeri içeren bir sayı olmalıdır.
- güncelleştirildi: IntDate, isteğe bağlı. Güncelleştirilmiş özniteliği, gizli dizinin bu sürümünün ne zaman güncelleştirildiğini gösterir. Bu değer, bu özniteliğin eklenmesinden önce en son güncelleştirilen gizli diziler için null değeridir. Değeri, IntDate değeri içeren bir sayı olmalıdır.
Her anahtar kasası nesne türünün ortak öznitelikleri hakkında bilgi için bkz . Azure Key Vault anahtarları, gizli dizileri ve sertifikalara genel bakış
Tarih-saat denetimli işlemler
Gizli dizi alma işlemi nbf / exp penceresinin dışında henüz geçerli olmayan ve süresi dolan gizli diziler için çalışır. Henüz geçerli olmayan bir gizli dizi için gizli dizi alma işlemini çağırmak test amacıyla kullanılabilir. Süresi dolan gizli diziyi alma (alma) kurtarma işlemleri için kullanılabilir.
Gizli anahtar erişim denetimi
Key Vault'ta yönetilen gizli diziler için Erişim Denetimi, bu gizli dizileri içeren Key Vault düzeyinde sağlanır. Gizli diziler için erişim denetimi ilkesi, aynı Key Vault'taki anahtarlar için erişim denetimi ilkesinden farklıdır. Kullanıcılar gizli dizileri barındırmak için bir veya daha fazla kasa oluşturabilir ve senaryoya uygun kesimleme ve gizli dizi yönetimi sağlamak için gereklidir.
Aşağıdaki izinler, bir kasadaki gizli dizi erişim denetimi girişinde her sorumlu temelinde kullanılabilir ve gizli dizi nesnesinde izin verilen işlemleri yakından yansıtabilir:
Gizli dizi yönetimi işlemleri için izinler
- get: Gizli dizi okuma
- list: Key Vault'ta depolanan gizli dizileri veya sürümleri listeleme
- set: Gizli dizi oluşturma
- delete: Gizli diziyi silme
- kurtarma: Silinen gizli diziyi kurtarma
- yedekleme: Anahtar kasasında gizli dizi yedekleme
- geri yükleme: Yedeklenen gizli diziyi anahtar kasasına geri yükleme
Ayrıcalıklı işlemler için izinler
- purge: Silinen gizli diziyi temizleme (kalıcı olarak silme)
Gizli dizilerle çalışma hakkında daha fazla bilgi için bkz . Key Vault REST API başvurusunda gizli dizi işlemleri. İzin oluşturma hakkında bilgi için bkz . Kasalar - Oluşturma veya Güncelleştirme ve Kasalar - Erişim İlkesini Güncelleştirme.
Key Vault'ta erişimi denetlemek için nasıl yapılır kılavuzları:
- CLI kullanarak Key Vault erişim ilkesi atama
- PowerShell kullanarak Key Vault erişim ilkesi atama
- Azure portalını kullanarak Key Vault erişim ilkesi atama
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama
Gizli dizi etiketleri
Etiketler biçiminde uygulamaya özgü daha fazla meta veri belirtebilirsiniz. Key Vault, her biri 512 karakter adına ve 512 karakter değerine sahip olabilecek en fazla 15 etiketi destekler.
Not
Etiketler, listeye sahipse veya izin alıyorsa arayan tarafından okunabilir.
Kullanım Senaryoları
ne zaman kullanılmalı | Örnekler |
---|---|
Parolalar, erişim anahtarları, hizmet sorumlusu istemci gizli dizileri gibi hizmetlerden hizmete iletişim için kimlik bilgilerini güvenli bir şekilde depolayın, yaşam döngüsünü yönetin ve izleyin. | - Sanal Makine ile Azure Key Vault kullanma - Azure Web Uygulaması ile Azure Key Vault kullanma |
Sonraki adımlar
- Azure'da anahtar yönetimi
- Key Vault'ta gizli dizi yönetimi için en iyi yöntemler
- Key Vault Hakkında
- Anahtarlar, gizli diziler ve sertifikalar hakkında
- Key Vault erişim ilkesi atama
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama
- Anahtar kasasına güvenli erişim
- Key Vault Geliştirici Kılavuzu