Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault ist ein Clouddienst, der sichere Speicherung und Verwaltung von kryptografischen Schlüsseln, geheimen Schlüsseln und Zertifikaten bietet. Dieser Leitfaden hilft Entwicklern, Key Vault in ihre Anwendungen zu integrieren.
Überblick
Azure Key Vault ermöglicht Folgendes:
- Sicherer Speicher: Schützen Sie Schlüssel, geheime Schlüssel und Zertifikate, ohne benutzerdefinierten Sicherheitscode zu schreiben.
- Vereinfachte Schlüsselverwaltung: Zentrale Kryptografievorgänge und Schlüssellebenszyklusverwaltung.
- Kundeneigene Schlüssel: Ermöglichen Sie Kunden, ihre eigenen Schlüssel zu verwalten, während Sie sich auf die wichtigsten Anwendungsfeatures konzentrieren.
- Verwaltung externer Schlüssel: Verwenden Sie Schlüssel zum Signieren und Verschlüsseln, während sie außerhalb Ihrer Anwendung bleiben.
Allgemeine Informationen zu Azure Key Vault finden Sie unter About Azure Key Vault.
Entwicklerszenarien
Allgemeine Entwickleraufgaben mit Key Vault umfassen:
- Speichern und Abrufen geheimer Schlüssel: Verwalten von Verbindungszeichenfolgen, Kennwörtern, API-Schlüsseln und SAS-Token sicher. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Geheimnissen.
- Verwenden Sie Schlüssel zum Verschlüsseln und Signieren: Führen Sie kryptografische Vorgänge aus, ohne schlüsselmaterial für Ihre Anwendung verfügbar zu machen. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.
- Verwalten von Zertifikaten: Automatisieren der Zertifikatbereitstellung, Erneuerung und Bereitstellung für SSL/TLS. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.
Öffentliche Vorschauversionen
Microsoft veröffentlicht regelmäßig öffentliche Vorschauen neuer Key Vault Features. Um Vorschaufeatures auszuprobieren und Feedback zu geben, wenden Sie sich an das Team unter azurekeyvault@microsoft.com. Informationen zu den neuesten Features und Updates finden Sie unter What's new in Azure Key Vault.
Erstellen und Verwalten von Key Vault-Instanzen
Key Vault verwendet ein Zwei-Ebenen-Zugriffsmodell:
- Control-Ebene: Verwaltet die Key Vault Ressource selbst (Erstellen, Löschen, Aktualisieren von Eigenschaften, Zuweisen von Zugriffsrichtlinien). Vorgänge werden über Azure Resource Manager verwaltet. Informationen zur Zugriffssteuerung finden Sie unter Zuweisen einer Richtlinie für den Zugriff auf Key Vault.
- Datenebene: Verwaltet die in Key Vault gespeicherten Daten (Schlüssel, Geheime Schlüssel, Zertifikate). Der Zugriff wird über Azure RBAC mit Key Vault gesteuert.
Verwenden Sie die vordefinierte Key Vault Contributor Rolle, um verwaltungszugriff auf Key Vault Ressourcen zu gewähren. Weitere Informationen zur Authentifizierung und Autorisierung finden Sie unter Authentication in Azure Key Vault.
Netzwerksicherheit
Verringern Sie die Netzwerkbelastung, indem Sie private Endpunkte, Firewalls oder Dienstendpunkte konfigurieren. Umfassende Richtlinien zur Netzwerksicherheit, einschließlich konfigurationsoptionen von den meisten bis zu den wenigsten restriktiv, finden Sie unter Secure your Azure Key Vault: Network Security and Configure Azure Key Vault networking settings.
APIs und SDKs für die Key Vault-Verwaltung
In der folgenden Tabelle sind SDKs und Schnellstarts zum Verwalten von Key Vault Ressourcen (Steuerungsebenenvorgänge) aufgeführt. Die neuesten Versionen und Installationsanweisungen finden Sie unter Clientbibliotheken.
| Azure CLI | PowerShell | REST-API | Ressourcenmanager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referenz Schnellstart |
Referenz Schnellstart |
Referenz |
Referenz Schnellstart |
Referenz | Referenz | Referenz | Referenz |
Authentifizieren bei Key Vault im Code
Key Vault verwendet die Authentifizierung durch Microsoft Entra, die einen Sicherheitsprinzipal von Microsoft Entra erfordert, um Zugriff zu gewähren. Ein Microsoft Entra Sicherheitsprinzipal kann ein Benutzer, ein Anwendungsdienstprinzipal, eine verwaltete Identität für Azure-Ressourcen oder eine Gruppe dieser Typen sein.
Bewährte Methoden für die Authentifizierung
Verwenden Sie für Anwendungen, die für Azure bereitgestellt werden, verwaltete Identitäten, um die Notwendigkeit des Speicherns von Anmeldeinformationen im Code zu vermeiden. Ausführliche Empfehlungen für Authentifizierung und Sicherheitsprinzipalempfehlungen für verschiedene Umgebungen (Produktion, Entwicklung, lokal) finden Sie unter Authentication in Azure Key Vault und Secure your Azure Key Vault.
Azure Identity-Clientbibliotheken
Die oben genannten Authentifizierungsszenarien werden von der Azure Identity-Clientbibliothek unterstützt und in die Key Vault-SDKs integriert. Sie können die Azure Identity-Clientbibliothek für Umgebungen und Plattformen verwenden, ohne Ihren Code zu ändern. Die Bibliothek ruft automatisch Authentifizierungstoken von Benutzern ab, die über die Azure CLI, Visual Studio, Visual Studio Code und andere Mittel bei der Azure angemeldet sind.
Weitere Informationen zur Azure Identity-Clientbibliothek finden Sie unter:
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Hinweis
Wir empfehlen App Authentication library für Key Vault .NET SDK Version 3, aber sie ist jetzt veraltet. Um zur Key Vault .NET SDK Version 4 zu migrieren, folgen Sie dem Leitfaden zur Migration von AppAuthentication zu Azure.Identity.
Anleitungen zur Authentifizierung von Anwendungen bei Key Vault finden Sie unter:
- Use Azure Key Vault mit einem virtuellen Computer in .NET
- Use Azure Key Vault mit einem virtuellen Computer in Python
- Verwenden Sie eine verwaltete Identität, um Key Vault mit einer Azure-Webanwendung in .NET zu verbinden
Verwalten von Schlüsseln, Zertifikaten und Geheimnissen
Hinweis
SDKs für .NET, Python, Java, JavaScript, PowerShell und die Azure CLI sind Teil des Key Vault Feature release-Prozesses durch öffentliche Vorschau und allgemeine Verfügbarkeit mit Key Vault Serviceteamunterstützung. Andere SDK-Clients für Key Vault sind verfügbar, aber sie werden von einzelnen SDK-Teams über GitHub erstellt und in ihrem Teams-Zeitplan veröffentlicht. Die neuesten SDK-Versionen und Installationspakete finden Sie unter Clientbibliotheken.
Die Datenebene steuert den Zugriff auf Schlüssel, Zertifikate und Geheimnisse. Sie können Azure RBAC mit Key Vault für die Zugriffssteuerung über die Datenebene verwenden.
APIs und SDKs für Schlüssel
In der folgenden Tabelle sind SDKs und Schnellstarts zum Arbeiten mit Schlüsseln (Datenebenenvorgänge) aufgeführt. Weitere Informationen zu Schlüsseln finden Sie unter "Informationen zu Schlüsseln".
| Azure CLI | PowerShell | REST-API | Ressourcenmanager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referenz Schnellstart |
Referenz Schnellstart |
Referenz |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Weitere Bibliotheken
Kryptografieclient für Key Vault und verwaltetes HSM
Dieses Modul stellt einen Kryptografieclient für das Clientmodul Azure Key Vault Keys für Go bereit.
Hinweis
Dieses Projekt wird vom Azure SDK-Team nicht unterstützt, richtet sich jedoch an die Kryptografieclients in anderen unterstützten Sprachen.
| Sprache | Referenz |
|---|---|
| Go | Referenz |
APIs und SDKs für Zertifikate
In der folgenden Tabelle sind SDKs und Schnellstarts zum Arbeiten mit Zertifikaten (Datenebenenvorgänge) aufgeführt. Weitere Informationen zu Zertifikaten finden Sie unter "Informationen zu Zertifikaten".
| Azure CLI | PowerShell | REST-API | Ressourcenmanager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referenz Schnellstart |
Referenz Schnellstart |
Referenz | Nicht verfügbar |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
APIs und SDKs für Geheimnisse
Die folgende Tabelle listet SDKs und Schnellstartanleitungen für die Arbeit mit Geheimnissen (Datenebenenoperationen) auf. Weitere Informationen zu geheimen Schlüsseln finden Sie unter "Informationen zu geheimen Schlüsseln".
| Azure CLI | PowerShell | REST-API | Ressourcenmanager | .NET | Python | Java | JavaScript |
|---|---|---|---|---|---|---|---|
|
Referenz Schnellstart |
Referenz Schnellstart |
Referenz |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Referenz Schnellstart |
Verwendung von Geheimnissen
Verwenden Sie Azure Key Vault, um nur geheime Schlüssel für Ihre Anwendung zu speichern. Beispiele für geheime Schlüssel, die in Key Vault gespeichert werden sollten, sind:
- Geheimnisse der Clientanwendung
- Verbindungszeichenfolgen
- Kennwörter
- Freigegebene Zugriffsschlüssel
- SSH-Schlüssel
Jegliche geheimnisbezogenen Informationen wie Benutzernamen oder Anwendungs-IDs können als Tag in einem Geheimnis gespeichert werden. Bei anderen einstellungen für vertrauliche Konfigurationen sollten Sie Azure App Configuration verwenden.
Installationspakete und Quellcode finden Sie unter Clientbibliotheken.
Verwenden von Key Vault in Anwendungen
Um die neuesten Features in Key Vault nutzen zu können, empfehlen wir, die verfügbaren Key Vault SDKs für die Verwendung von Geheimschlüsseln, Zertifikaten und Schlüsseln in Ihrer Anwendung zu verwenden. Die Key Vault SDKs und DER REST-API werden aktualisiert, wenn neue Features für das Produkt veröffentlicht werden, und sie befolgen bewährte Methoden und Richtlinien.
Für grundlegende Szenarien gibt es weitere Bibliotheken und Integrationslösungen zur vereinfachten Verwendung mit Unterstützung von Microsoft Partnern oder Open-Source-Communitys.
Für Zertifikate können Sie Folgendes verwenden:
- Die VM-Erweiterung des virtuellen Computers für Schlüsselbund, die die automatische Aktualisierung von Zertifikaten bereitstellt, die in einem Azure-Schlüsselbund gespeichert sind. Weitere Informationen finden Sie unter:
- Azure App Service Integration, die Zertifikate aus Key Vault importieren und automatisch aktualisieren kann. Weitere Informationen finden Sie unter Importieren eines Zertifikats aus Key Vault.
Für Geheimnisse können Sie Folgendes verwenden:
- Key Vault Secrets mit App Service-Anwendungseinstellungen. Weitere Informationen finden Sie unter Verwendung von Key Vault-Verweisen für App Service und Azure Functions.
- Mit Azure App Configuration und Key Vault-Verweisen wird der Zugriff Ihrer Anwendung auf Konfigurationen und Geheimnisse optimiert. Weitere Informationen finden Sie unter Use Key Vault references in Azure App Configuration.
Code-Beispiele
Vollständige Beispiele für die Verwendung von Key Vault mit Anwendungen finden Sie unter Azure Key Vault Codebeispiele.
Aufgabenspezifischer Leitfaden
Die folgenden Artikel und Szenarien bieten aufgabenspezifische Anleitungen für die Arbeit mit Azure Key Vault:
- Für den Zugriff auf eine Key Vault-Instanz muss Ihre Clientanwendung für unterschiedliche Funktionalitäten auf mehrere Endpunkte zugreifen können. Siehe Zugriff auf Key Vault hinter einer Firewall.
- Eine Cloudanwendung, die in einer Azure VM ausgeführt wird, benötigt ein Zertifikat. Wie stellen Sie dieses Zertifikat für eine solche VM bereit? Weitere Informationen finden Sie unter Key Vault Erweiterung virtueller Computer für Windows oder Key Vault Erweiterung virtueller Computer für Linux.
- Informationen zum Zuweisen einer Zugriffsrichtlinie mithilfe der Azure CLI, PowerShell oder des Azure Portals finden Sie unter Assign a Key Vault access policy.
- Anleitungen zur Verwendung und zum Lebenszyklus eines Schlüsseltresors und verschiedener Schlüsseltresorobjekte mit aktivierter Soft-Delete-Funktion finden Sie unter Azure Key Vault Wiederherstellungsverwaltung mit Soft-Delete und Schutz vor dem endgültigen Löschen.
- Wenn Sie während der Bereitstellung einen sicheren Wert (z. B. ein Kennwort) als Parameter übergeben müssen, können Sie diesen Wert als geheimen Schlüssel in einem Schlüsseltresor speichern und in anderen Resource Manager Vorlagen auf den Wert verweisen. Siehe Azure Key Vault verwenden, um sichere Parameterwerte während der Bereitstellung zu übergeben.
Integration mit Key Vault
Die folgenden Dienste und Szenarien verwenden oder integrieren sich mit Key Vault:
- Die Verschlüsselung ruhender Daten ermöglicht die Codierung (Verschlüsselung) von Daten, wenn diese dauerhaft gespeichert werden. Datenverschlüsselungsschlüssel werden häufig mit einem Schlüsselverschlüsselungsschlüssel in Azure Key Vault verschlüsselt, um den Zugriff weiter zu beschränken.
- mit Azure Information Protection können Sie Ihren eigenen Mandantenschlüssel verwalten. Statt z. B. Microsoft Ihren Mandantenschlüssel zu verwalten (Standard), können Sie Ihren eigenen Mandantenschlüssel verwalten, um bestimmte Vorschriften einzuhalten, die für Ihre Organisation gelten. Die Verwaltung des eigenen Mandantenschlüssels wird auch als Bring Your Own Key (BYOK) bezeichnet.
- mit Azure Private Link können Sie auf Azure Dienste zugreifen (z. B. Azure Key Vault, Azure Storage und Azure Cosmos DB) und Azure gehostete Kunden-/Partnerdienste über einen privaten Endpunkt in Ihrem virtuellen Computer Netzwerk.
- Key Vault Integration in Azure Event Grid ermöglicht Benutzern, benachrichtigt zu werden, wenn sich der Status eines geheimen Schlüssels geändert hat, der in Key Vault gespeichert ist. Sie können neue Versionen von Geheimnissen an Anwendungen verteilen oder Geheimnisse rotieren, die bald ablaufen, um Ausfälle zu verhindern.
- Schützen Sie Ihre Azure DevOps geheimen Schlüssel vor unerwünschtem Zugriff in Key Vault.
- Verwenden Sie geheime Schlüssel, die in Key Vault gespeichert sind, um verbindung mit Azure Storage von Azure Databricks herzustellen.
- Konfigurieren und ausführen Sie den Azure Key Vault Anbieter für den Secrets Store CSI-Treiber auf Kubernetes.
Notfallwiederherstellung und Geschäftskontinuität
Key Vault bietet integrierte Notfallwiederherstellung mit automatischer regionaler Replikation. Für Produktionsumgebungen sollten Sie Vorläufiges Löschen und Löschschutz aktivieren und regelmäßige Backups implementieren. Weitere Informationen finden Sie unter Azure Key Vault Verfügbarkeit und Redundanz, Azure Key Vault Wiederherstellungsverwaltung und Azure Key Vault Backup.
Leistung und Skalierbarkeit
Berücksichtigen Sie bei der Entwicklung von Anwendungen, die Key Vault verwenden, die folgenden bewährten Methoden für Leistung und Skalierbarkeit:
- Service limits: Key Vault verfügt über Dienstbeschränkungen für Transaktionen pro Tresor pro Region. Das Überschreiten dieser Grenzwerte führt zu einer Drosselung der Geschwindigkeit. Weitere Informationen finden Sie unter Azure Key Vault Servicelimits.
- Drosselungsleitfaden: Implementieren Sie Wiederholungslogik mit exponentiellem Backoff, um Drosselungsantworten zu verwalten. Weitere Informationen finden Sie unter dem Azure Key Vault Throttling-Leitfaden.
- Caching: Speichern Sie geheime Schlüssel und Zertifikate in Ihrer Anwendung zwischen, um Aufrufe an Key Vault zu reduzieren und die Leistung zu verbessern.
- Verbindenverwaltung: Verwenden Sie HTTP-Verbindungen für Key Vault, wenn möglich, um die Latenz zu reduzieren und die Leistung zu verbessern.
Überwachung und Protokollierung
Aktivieren Sie die Protokollierung und Überwachung für Sicherheit, Compliance und Problembehandlung. Konfigurieren Sie Diagnoseeinstellungen, Ereignisrasterbenachrichtigungen und Warnungen für kritische Ereignisse. Ausführliche Anleitungen finden Sie unter Monitor Azure Key Vault, Azure Key Vault Logging, Monitoring Key Vault mit Azure Event Grid und Sichern Sie Ihre Azure Key Vault: Protokollierung und Bedrohungserkennung.
Allgemeine Parameter und Anforderungsmuster
Beim Arbeiten mit der Key Vault REST-API sind allgemeine Parameter und Anforderungs-/Antwortmuster hilfreich:
- API-Versionen: Key Vault verwendet versionsierte APIs. Geben Sie immer die API-Version in Ihren Anforderungen an.
- Authentifizierungsanforderungen: Verstehen, wie Authentifizierungstoken abgerufen und verwendet werden, einschließlich allgemeiner Anforderungsheader und Antwortformate. Weitere Informationen finden Sie unter Authentifizierung, Anforderungen und Antworten.
- Fehlercodes: Machen Sie sich mit allgemeinen REST-API-Fehlercodes vertraut, um Fehler ordnungsgemäß zu behandeln. Weitere Informationen finden Sie unter Azure Key Vault REST-API-Fehlercodes.
Problembehandlung
Hilfe zum Beheben häufiger Probleme:
- Zugriff verweigert-Fehler: Überprüfen Sie Ihre Anmeldeinformationen und stellen Sie sicher, dass Ihr Sicherheitsprinzipal über die RBAC-Zuweisungen die erforderlichen Berechtigungen besitzt. Siehe Azure RBAC für Key Vault Datenebenenvorgänge.
- Network-Konnektivität: Wenn Sie über eine Firewall auf Key Vault zugreifen, stellen Sie sicher, dass auf erforderliche Endpunkte zugegriffen werden kann. Siehe Zugriff auf Key Vault hinter einer Firewall.
- Drosselung: Wenn Sie 429-Antworten (Zu viele Anfragen) erhalten, implementieren Sie exponentielles Backoff. Siehe Azure Key Vault Drosselungsrichtlinien.
Bewährte Sicherheitsmethoden
Umfassende Sicherheitsleitlinien, einschließlich Identitäts- und Zugriffsverwaltung, Datenschutz, Compliance, Governance und Sicherungsstrategien, finden Sie unter Secure your Azure Key Vault.
Weitere Ressourcen
Key Vault Konzepte
- Azure Key Vault grundlegende Konzepte – Grundlegende Konzepte für die Arbeit mit Key Vault.
- Azure Key Vault Übersicht über die Soft-Delete-Funktion – Wiederherstellung gelöschter Objekte.
- Azure Key Vault Drosselungsleitfaden – Grundlegende Konzepte und Ansätze für Ihre App.
- Azure Key Vault Sicherheitswelten und geografische Grenzen – Regionale und Sicherheitsbeziehungen.
- Azure Key Vault Dienstbeschränkungen – Transaktionsbeschränkungen und andere Diensteinschränkungen.
Verwaltung und Abläufe
- Monitor Azure Key Vault – Einrichten der Überwachung und Diagnose.
- Azure Key Vault logging – Aktivieren und analysieren Sie Key Vault Protokolle.
Community und Unterstützung
Microsoft Q& A – Stellen Sie Fragen, und erhalten Sie Antworten von der Community.- Stack Overflow für Key Vault - Technische Fragen und Antworten von Entwicklern.
- Azure Feedback – Featureanfragen und Feedback übermitteln.