Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Key Vault fornisce archiviazione sicura per segreti generici, ad esempio password e stringhe di connessione del database.
Dal punto di vista di uno sviluppatore, Key Vault API accettano e restituiscono valori segreti come stringhe. Internamente, Key Vault archivia e gestisce i segreti come sequenze di ottetti (byte a 8 bit), con una dimensione massima di 25 KB ciascuno. Il servizio Key Vault non fornisce semantica per i segreti. Accetta semplicemente i dati, li crittografa, li archivia e restituisce un identificatore segreto (id). È possibile usare l'identificatore per recuperare il segreto in un secondo momento.
Per i dati altamente sensibili, è consigliabile aggiungere livelli aggiuntivi di protezione. Ad esempio, crittografare i dati usando una chiave di protezione separata prima di archiviarli in Key Vault.
Key Vault supporta anche un campo contentType per i segreti. I client possono specificare il tipo di contenuto di un segreto per interpretare i dati segreti quando vengono recuperati. La lunghezza massima di questo campo è di 255 caratteri. L'utilizzo consigliato è un suggerimento per l'interpretazione dei dati del segreto. Ad esempio, un'implementazione potrebbe archiviare sia le password che i certificati come segreti, quindi usare questo campo per distinguere. Non ci sono valori predefiniti.
Crittografia
Key Vault archivia tutti i segreti nel key vault come dati crittografati. Key Vault crittografa i segreti inattivi usando una gerarchia di chiavi di crittografia, con tutte le chiavi nella gerarchia protetta da moduli convalidati da FIPS. Questa crittografia è trasparente e non richiede alcuna azione da parte dell'utente. Il servizio Azure Key Vault crittografa i segreti quando vengono aggiunti e li decrittografa automaticamente durante la lettura.
La chiave foglia di crittografia della gerarchia di chiavi è univoca per ogni insieme di credenziali delle chiavi. La chiave radice di crittografia della gerarchia delle chiavi è univoca per il mondo della sicurezza. Per informazioni sui livelli di convalida FIPS per ogni livello di Key Vault e modulo di protezione hardware gestito, vedere Informazioni sulle chiavi: Conformità.
Attributi segreti
Oltre ai dati segreti, è possibile specificare gli attributi seguenti:
- exp: IntDate, facoltativo, valore predefinito è per sempre. L'attributo exp (scadenza) imposta l'ora di scadenza in o dopo la quale i dati segreti NON DEVONO essere recuperati, tranne in situazioni particolari. Questo campo è a scopo informativo solo perché informa gli utenti del servizio di gestione delle chiavi che un determinato segreto potrebbe non essere utilizzabile. Il valore deve essere un numero contenente un valore IntDate.
- nbf: IntDate, facoltativo, impostazione predefinita è ora. L'attributo nbf (non prima) imposta l'ora prima della quale i dati segreti NON DEVONO essere recuperati, tranne in situazioni particolari. Questo campo è solo a scopo informativo . Il valore deve essere un numero contenente un valore IntDate.
- abilitato: booleano, facoltativo, il valore predefinito è true. Questo attributo specifica se i dati dei segreti possono essere recuperati. Usare l'attributo abilitato con nbf ed exp. Quando si verifica un'operazione tra nbf ed exp, l'operazione è consentita solo se abilitata è impostata su true. Le operazioni esterne alla finestra nbf ed exp vengono automaticamente non consentite, tranne in situazioni particolari.
Gli attributi di sola lettura seguenti sono inclusi in qualsiasi risposta che include attributi segreti:
- creato: IntDate, facoltativo. L’attributo creato indica quando è stata creata questa versione del segreto. Questo valore è null per i segreti creati prima dell'aggiunta di questo attributo. Il valore deve essere un numero contenente un valore IntDate.
- aggiornato: IntDate, facoltativo. L’attributo aggiornato indica quando è stata aggiornata questa versione del segreto. Questo valore è null peri segreti aggiornati prima dell'aggiunta di questo attributo. Il valore deve essere un numero contenente un valore IntDate.
Per informazioni sugli attributi comuni per ogni tipo di oggetto della cassaforte delle chiavi, vedere la panoramica di Azure Key Vault: chiavi, segreti e certificati.
Operazioni controllate in base a data e ora
L'operazione get di un segreto funziona per i segreti non ancora validi e scaduti, all'esterno della finestra nbf / exp . La chiamata dell’operazione get di un segreto, per una chiave privata non ancora valida, può essere utilizzata per scopi di test. Il recupero (ottenere) di un segreto scaduto può essere utilizzato per operazioni di ripristino.
Controllo di accesso per i segreti
Il controllo di accesso per i segreti gestiti in Key Vault viene fornito al livello del key vault che contiene tali segreti. I criteri di controllo di accesso per i segreti sono distinti dai criteri di controllo di accesso per le chiavi presenti nello stesso insieme di credenziali delle chiavi. Gli utenti possono creare una o più casseforti per custodire i segreti e sono tenuti a mantenere una segmentazione e una gestione dei segreti appropriata per lo scenario.
Usare le seguenti autorizzazioni, in base alle singole entità, nella voce di controllo degli accessi ai segreti in un insieme di credenziali. Queste autorizzazioni rispecchiano attentamente le operazioni consentite in un oggetto segreto:
Autorizzazioni per le operazioni di gestione dei segreti
- get: Leggere un segreto
- list: elencare i segreti o le versioni di un segreto archiviato in un Key Vault
- set: Creare un segreto
- delete: eliminare un segreto
- recover: recuperare un segreto eliminato
- backup: eseguire il backup di un segreto in un insieme di credenziali delle chiavi
- ripristina: ripristinare un segreto sottoposto a backup in un insieme di credenziali delle chiavi
Autorizzazioni per le operazioni privilegiate
- ripulitura: ripulire (eliminare definitivamente) un segreto eliminato
Per altre informazioni sull'uso dei segreti, vedere Secret operations in the Key Vault REST API reference. Per informazioni sulla definizione delle autorizzazioni, vedere Archivi - Creare o Aggiornare e Archivi - Aggiornare i criteri di accesso.
Guide pratiche per controllare l'accesso in Key Vault:
- Provide accesso a chiavi, certificati e segreti Key Vault con Azure controllo degli accessi in base al ruolo (scelta consigliata)
- Assegnare un criterio di accesso al Key Vault (legacy)
Tag dei segreti
È possibile specificare metadati aggiuntivi specifici dell'applicazione sotto forma di tag. Key Vault supporta fino a 15 tag, ognuno dei quali può avere un nome di 512 caratteri e un valore di 512 caratteri.
Annotazioni
Se un chiamante dispone dell'elenco o ottiene l'autorizzazione, può leggere i tag.
Scenari di utilizzo
| Quando utilizzare | Esempi |
|---|---|
| Archiviare in modo sicuro, gestire il ciclo di vita e monitorare le credenziali per la comunicazione da servizio a servizio, ad esempio password, chiavi di accesso, segreti client dell'entità servizio. |
-
Usare Azure Key Vault con una macchina virtuale - Usare Azure Key Vault con un'app Web di Azure |
Passaggi successivi
- gestione delle chiavi in Azure
- Migliori pratiche per la gestione dei segreti in Key Vault
- Informazioni su Key Vault
- Informazioni su chiavi, segreti e certificati
- Assegnare un criterio di accesso per il Key Vault
- Provide l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo Azure
- Proteggere l'accesso a un insieme di credenziali delle chiavi
- Key Vault Developer's Guide