Azure Key Vault 概觀 | vault中文
Azure Key Vault 是安全的祕密存放區,可提供祕密、金鑰和憑證的管理,並以硬體安全性模組為後盾。
跳到主要內容目錄結束焦點模式儲存編輯共用TwitterLinkedInFacebook電子郵件WeChat目錄關於AzureKeyVault10/01/2020mo本文內容AzureKeyVault可協助您解決下列問題:祕密管理-AzureKeyVault可用來安全地儲存權杖、密碼、憑證、API金鑰和其他祕密,並嚴密控制其存取金鑰管理-AzureKeyVault也可作為金鑰管理解決方案。
AzureKeyVault可讓您輕鬆地建立和控制用來加密資料的加密金鑰。
憑證管理-AzureKeyVault也是一項服務,可讓您輕鬆地註冊、管理和部署公用和私用傳輸層安全性/安全通訊端層(TLS/SSL)憑證,以搭配Azure和內部連線資源使用。
AzureKeyVault有兩個服務層級:Standard、使用軟體金鑰進行加密,以及包含硬體安全模組(HSM)保護的金鑰的高階層。
若要查看標準層與進階層之間的比較,請參閱AzureKeyVault定價頁面。
為何使用AzureKeyVault?集中儲存應用程式祕密在AzureKeyVault中集中儲存應用程式祕密,可讓您控制其散發。
KeyVault可大幅降低不小心洩露祕密的風險。
使用KeyVault時,應用程式開發人員不再需要在其應用程式中儲存安全性資訊。
不需將安全性資訊儲存在應用程式中,就不需要讓此資訊成為程式碼的一部分。
例如,應用程式可能需要連線到資料庫。
您可以在KeyVault中妥善儲存連接字串,而不用在應用程式程式碼中儲存連接字串。
您的應用程式可以使用URI安全地存取其所需的資訊。
這些URI可讓應用程式擷取特定版本的祕密。
您不需要撰寫自訂程式碼來保護任何儲存在KeyVault中的祕密資訊。
安全地儲存秘密和金鑰金鑰保存庫的存取權需要先經過適當的驗證和授權,呼叫者(使用者或應用程式)才能取得存取權。
驗證會建立呼叫者的身分識別,授權則會判斷呼叫者可以執行的作業。
驗證會透過AzureActiveDirectory進行。
授權可透過Azure角色型存取控制(AzureRBAC)或KeyVault存取原則來完成。
在處理保存庫的管理時會使用AzureRBAC,而在嘗試存取保存庫中儲存的資料時會使用金鑰保存庫存取原則。
AzureKeyVault可能受軟體保護或搭配AzureKeyVault進階層,讓硬體受到硬體安全模組(HSM)(HSM)保護。
Azure會使用業界標準演算法和金鑰長度,來保護受軟體保護的金鑰、祕密和憑證。
在您需要加強保證的情況下,您可以在HSM中匯入或產生無需離開HSM界限的金鑰。
AzureKeyVault會使用經過美國聯邦資訊處理標準(FIPS)140-2Level2驗證的HSM。
您可以使用nCipher工具將金鑰從您的HSM移至AzureKeyVault。
最後,AzureKeyVault依設計會使Microsoft無法看見或擷取您的資料。
監視存取和使用在您建立一些KeyVault之後,您會想要監視存取金鑰和祕密的方式和時機。
您可以藉由啟用保存庫的記錄來監視活動。
您可以如下設定AzureKeyVault:封存至儲存體帳戶。
串流至事件中樞。
將記錄傳送至Azure監視器記錄。
您可以控制您的記錄,藉由限制存取權來保護它們,也可以刪除您不再需要的記錄。
簡化應用程式祕密的管理在儲存珍貴資料時,您必須採取幾個步驟。
安全性資訊必須受到保護,其必須遵循生命週期,而且必須保持高可用性。
AzureKeyVault可藉由下列功能,簡化符合這些需求的程序:無須具備硬體安全性模組的內部知識。
在短時間內相應增加,以符合組織的使用尖峰。
將區域內的KeyVault內容複寫到次要區域。
資料複寫可確保高可用性,並可讓管理員無須執行任何動作來觸發容錯移轉。
透過入口網站、AzureCLI和PowerShell提供標準Azure系統管理選項。
自動對向公開CA購買的憑證執行一些作業,例如註冊或續約。
此外,
跳到主要內容目錄結束焦點模式儲存編輯共用TwitterLinkedInFacebook電子郵件WeChat目錄關於AzureKeyVault10/01/2020mo本文內容AzureKeyVault可協助您解決下列問題:祕密管理-AzureKeyVault可用來安全地儲存權杖、密碼、憑證、API金鑰和其他祕密,並嚴密控制其存取金鑰管理-AzureKeyVault也可作為金鑰管理解決方案。
AzureKeyVault可讓您輕鬆地建立和控制用來加密資料的加密金鑰。
憑證管理-AzureKeyVault也是一項服務,可讓您輕鬆地註冊、管理和部署公用和私用傳輸層安全性/安全通訊端層(TLS/SSL)憑證,以搭配Azure和內部連線資源使用。
AzureKeyVault有兩個服務層級:Standard、使用軟體金鑰進行加密,以及包含硬體安全模組(HSM)保護的金鑰的高階層。
若要查看標準層與進階層之間的比較,請參閱AzureKeyVault定價頁面。
為何使用AzureKeyVault?集中儲存應用程式祕密在AzureKeyVault中集中儲存應用程式祕密,可讓您控制其散發。
KeyVault可大幅降低不小心洩露祕密的風險。
使用KeyVault時,應用程式開發人員不再需要在其應用程式中儲存安全性資訊。
不需將安全性資訊儲存在應用程式中,就不需要讓此資訊成為程式碼的一部分。
例如,應用程式可能需要連線到資料庫。
您可以在KeyVault中妥善儲存連接字串,而不用在應用程式程式碼中儲存連接字串。
您的應用程式可以使用URI安全地存取其所需的資訊。
這些URI可讓應用程式擷取特定版本的祕密。
您不需要撰寫自訂程式碼來保護任何儲存在KeyVault中的祕密資訊。
安全地儲存秘密和金鑰金鑰保存庫的存取權需要先經過適當的驗證和授權,呼叫者(使用者或應用程式)才能取得存取權。
驗證會建立呼叫者的身分識別,授權則會判斷呼叫者可以執行的作業。
驗證會透過AzureActiveDirectory進行。
授權可透過Azure角色型存取控制(AzureRBAC)或KeyVault存取原則來完成。
在處理保存庫的管理時會使用AzureRBAC,而在嘗試存取保存庫中儲存的資料時會使用金鑰保存庫存取原則。
AzureKeyVault可能受軟體保護或搭配AzureKeyVault進階層,讓硬體受到硬體安全模組(HSM)(HSM)保護。
Azure會使用業界標準演算法和金鑰長度,來保護受軟體保護的金鑰、祕密和憑證。
在您需要加強保證的情況下,您可以在HSM中匯入或產生無需離開HSM界限的金鑰。
AzureKeyVault會使用經過美國聯邦資訊處理標準(FIPS)140-2Level2驗證的HSM。
您可以使用nCipher工具將金鑰從您的HSM移至AzureKeyVault。
最後,AzureKeyVault依設計會使Microsoft無法看見或擷取您的資料。
監視存取和使用在您建立一些KeyVault之後,您會想要監視存取金鑰和祕密的方式和時機。
您可以藉由啟用保存庫的記錄來監視活動。
您可以如下設定AzureKeyVault:封存至儲存體帳戶。
串流至事件中樞。
將記錄傳送至Azure監視器記錄。
您可以控制您的記錄,藉由限制存取權來保護它們,也可以刪除您不再需要的記錄。
簡化應用程式祕密的管理在儲存珍貴資料時,您必須採取幾個步驟。
安全性資訊必須受到保護,其必須遵循生命週期,而且必須保持高可用性。
AzureKeyVault可藉由下列功能,簡化符合這些需求的程序:無須具備硬體安全性模組的內部知識。
在短時間內相應增加,以符合組織的使用尖峰。
將區域內的KeyVault內容複寫到次要區域。
資料複寫可確保高可用性,並可讓管理員無須執行任何動作來觸發容錯移轉。
透過入口網站、AzureCLI和PowerShell提供標準Azure系統管理選項。
自動對向公開CA購買的憑證執行一些作業,例如註冊或續約。
此外,