Azure Stack Hub 中的 Key Vault 简介
先决条件
- 订阅包含 Azure Key Vault 服务的产品/服务。
- PowerShell 已安装并配置为用于 Azure Stack Hub。
Key Vault 基础知识
Azure Stack Hub 中的 Key Vault 可帮助保护云应用和服务使用的加密密钥和机密。 通过使用 Key Vault,可以加密密钥和机密,例如:
- 身份验证密钥
- 存储帐户密钥
- 数据加密密钥
- .pfx 文件
- 密码
密钥保管库简化了密钥管理过程,可让你控制用于访问和加密数据的密钥。 开发人员可以在几分钟内创建用于开发和测试的密钥,并无缝地将其迁移到生产密钥。 安全管理员可以根据需要授予(和撤销)密钥权限。
只要拥有 Azure Stack Hub 订阅,任何人都可以创建和使用密钥保管库。 尽管 Key Vault 能够为开发人员和安全管理员提供便利,但管理组织的其他 Azure Stack Hub 服务的操作员也可以实现和管理 Key Vault。 例如,Azure Stack Hub 操作员可以使用 Azure Stack Hub 订阅登录,并为组织创建用于存储密钥的保管库。 完成此操作后,他们可以:
- 创建或导入密钥或机密。
- 撤销或删除密钥或机密。
- 授权用户或应用访问密钥保管库,以便他们随后可以管理或使用其密钥和机密。
- 配置密钥用法(例如,签名或加密)。
然后,操作员可以向开发人员提供统一资源标识符 (URI),以便从其应用调用。
开发人员还可使用 API 直接管理密钥。 有关详细信息,请参阅 Key Vault 开发人员指南。
方案
以下方案说明 Key Vault 如何帮助满足开发人员和安全管理员的需求。
Azure Stack Hub 应用开发人员
问题: 我想要编写使用密钥进行签名和加密的 Azure Stack Hub 应用。 我希望这些密钥在应用外部,以便解决方案适用于地理位置分散的应用。
说明: 密钥会存储在保管库中,根据需要由 URI 调用。
软件即服务 (SaaS) 开发人员
问题: 对于客户的密钥和机密,我不想承担任何实际或潜在的法律责任。 我希望客户拥有并管理其密钥,这样我就可以集中精力做我最擅长的事情,即提供核心软件功能。
说明: 客户可以在 Azure Stack Hub 中导入和管理自己的密钥。
首席安全官 (CSO)
问题:我想要确保我的组织掌控密钥生命周期,并可监视密钥使用情况。
说明:Key Vault 的设计可确保 Azure 无法看到或提取你的密钥。 当应用需要使用客户密钥来执行加密操作时,Key Vault 会代表应用来使用密钥。 应用看不到客户密钥。 即使我们使用多个 Azure Stack Hub 服务和资源,你可以从 Azure Stack Hub 中的单一位置管理密钥。 不论你在 Azure Stack Hub 中有几个保管库、保管库支持哪些区域以及使用哪些应用使用这些保管库,保管库都可提供单一界面。