Azure Key Vault 开发人员指南

Azure Key Vault 是一项云服务，提供加密密钥、机密和证书的安全存储和管理。本指南可帮助开发人员将 Key Vault 集成到其应用程序中。

概述

使用 Azure Key Vault 可以：

安全存储：在不编写自定义安全代码的情况下保护密钥、机密和证书。
简化的密钥管理：集中加密作和密钥生命周期管理。
客户拥有的密钥：允许客户管理自己的密钥，同时专注于核心应用程序功能。
外部密钥管理：使用密钥进行签名和加密，同时将密钥保留在应用程序外部。

有关 Azure Key Vault 的常规信息，请参阅关于 Azure Key Vault。

开发者场景

Key Vault 的常见开发人员任务包括：

存储和检索机密：安全地管理连接字符串、密码、API 密钥和 SAS 令牌。有关详细信息，请参阅关于机密。
使用密钥进行加密和签名：执行加密作，而不向应用程序公开密钥材料。有关详细信息，请参阅关于密钥。
管理证书：自动执行 SSL/TLS 的证书预配、续订和部署。有关详细信息，请参阅关于证书。

公共预览版

我们定期发布新的 Key Vault 功能的公共预览版。若要尝试预览功能并提供反馈，请与我们联系 azurekeyvault@microsoft.com。有关最新功能和更新的信息，请参阅 Azure Key Vault 中的新增功能。

创建和管理密钥保管库

Key Vault 使用双平面访问模型：

控制平面：管理 Key Vault 资源本身（创建、删除、更新属性、分配访问策略）。作通过 Azure 资源管理器进行管理。有关访问控制，请参阅分配 Key Vault 访问策略。
数据平面：管理 Key Vault 中存储的数据（密钥、机密、证书）。通过 Azure RBAC 和 Key Vault 控制访问。

使用预定义 的 Key Vault 参与者 角色授予对 Key Vault 资源的管理访问权限。有关身份验证和授权的详细信息，请参阅 Azure Key Vault 中的身份验证。

网络安全

通过配置专用终结点、防火墙或服务终结点来减少网络暴露。有关全面的网络安全指南，包括从大多数到最低限制的配置选项，请参阅保护 Azure Key Vault：网络安全和配置 Azure Key Vault 网络设置。

用于密钥保管库管理的 API 和 SDK

下表列出了以管理 Key Vault 资源的 SDK 和快速入门（控制平面操作）。有关最新版本和安装说明，请参阅客户端库。

Azure CLI	PowerShell	REST API	资源管理器	.NET	Python	Java	JavaScript
引用快速入门	引用快速入门	引用	引用快速入门	引用	引用	引用	引用

在代码中对 Key Vault 进行身份验证

Key Vault 使用 Microsoft Entra 身份验证，这需要 Microsoft Entra 安全主体授予访问权限。 Microsoft Entra 安全主体可以是用户、应用程序服务主体、Azure 资源的托管标识，也可以是任何这些类型的组。

身份验证最佳做法

对于部署到 Azure 的应用程序，请使用托管标识来消除在代码中存储凭据的需求。有关不同环境（生产、开发、本地）的详细身份验证指南和安全主体建议，请参阅 Azure Key Vault 中的身份验证和保护 Azure Key Vault。

Azure 标识客户端库

上述身份验证方案由 Azure 标识客户端库提供支持，并与 Key Vault SDK 集成在一起。无需更改代码，即可跨环境和平台使用 Azure 标识客户端库。库会自动从通过 Azure CLI、Visual Studio、Visual Studio Code 和其他方式登录到 Azure 用户的用户中检索身份验证令牌。

有关 Azure 标识客户端库的详细信息，请参阅：

.NET	Python	Java	JavaScript
Azure 标识 SDK .NET	Azure 标识 SDK Python	Azure 标识 SDK Java	Azure 标识 SDK JavaScript

注意

建议 Key Vault .NET SDK 版本 3 使用应用身份验证库，但该版本现已弃用。若要迁移到 Key Vault .NET SDK 版本 4，请遵循 AppAuthentication 到 Azure.Identity 的迁移指南。

有关如何在应用程序中对 Key Vault 进行身份验证的教程，请参阅：

管理密钥、证书和机密

注意

适用于 .NET、Python、Java、JavaScript、PowerShell 和 Azure CLI 的 SDK 是通过公共预览版和正式版在保管库服务团队支持下发布密钥保管库功能过程的一部分。可以使用适用于密钥保管库的其他 SDK 客户端，但它们由各个 SDK 团队通过 GitHub 生成和提供支持，并在其团队计划中发布。有关最新的 SDK 版本和安装包，请参阅客户端库。

数据平面可控制对密钥、证书和机密的访问。可以将 Azure RBAC 与 Key Vault 配合使用，通过数据平面进行访问控制。

用于密钥的 API 和 SDK

Azure CLI	PowerShell	REST API	资源管理器	.NET	Python	Java	JavaScript
引用快速入门	引用快速入门	引用	引用快速入门	引用快速入门	引用快速入门	引用快速入门	引用快速入门

其他库

适用于密钥保管库和托管 HSM 的加密客户端

本模块为适用于 Go 的 Azure Key Vault 密钥客户端模块提供加密客户端。

注意

此项目不受 Azure SDK 团队支持，但与使用其他支持语言的加密客户端保持一致。

语言	参考文献
Go	引用

用于证书的 API 和 SDK

下表列出了用于证书数据平面操作的 SDK 和快速入门。有关证书的详细信息，请参阅 “关于证书”。

Azure CLI	PowerShell	REST API	资源管理器	.NET	Python	Java	JavaScript
引用快速入门	引用快速入门	引用	空值	引用快速入门	引用快速入门	引用快速入门	引用快速入门

用于机密的 API 和 SDK

Azure CLI	PowerShell	REST API	资源管理器	.NET	Python	Java	JavaScript
引用快速入门	引用快速入门	引用	引用快速入门	引用快速入门	引用快速入门	引用快速入门	引用快速入门

机密用法

使用 Azure Key Vault 仅存储应用程序机密。应存储在 Key Vault 中的机密示例包括：

客户端应用程序机密
连接字符串
密码
共享访问密钥
SSH 密钥

任何与机密相关的信息（如用户名和应用程序 ID）都可以作为标记存储在机密中。对于任何其他敏感配置设置，应使用 Azure 应用配置。

有关安装包和源代码，请参阅客户端库。

在应用程序中使用 Key Vault

要利用 Key Vault 中的最新功能，建议使用现有的 Key Vault SDK 以在应用程序中使用机密、证书和密钥。 Key Vault SDK 和 REST API 进行了更新，是该产品发布的新功能，它们遵循最佳做法和指导原则。

对于基本方案，还有其他简化使用的库和集成解决方案，由 Azure 合作伙伴或开源社区提供支持。

对于证书，可以使用：

Key Vault 虚拟机 (VM) 扩展，它自动刷新 Azure Key Vault 中存储的证书。有关详细信息，请参阅：
- 适用于 Windows 的 Key Vault 虚拟机扩展
- 适用于 Linux 的 Key Vault 虚拟机扩展

对于机密，可以使用：

Key Vault 机密，用于应用服务应用程序设置。有关详细信息，请参阅使用应用服务和 Azure Functions 的 Key Vault 引用。
参照 Azure 应用配置设置密钥保管库引用，以简化应用程序对配置和机密的访问。有关详细信息，请参阅 Azure 应用配置中的“使用 Key Vault 引用”。

代码示例

有关将 Key Vault 用于应用程序的完整示例，请参阅 Azure Key Vault 代码示例。

任务特定指南

以下文章和方案提供了特定于任务的指导，方便用户使用 Azure Key Vault：

要访问密钥保管库，客户端应用程序应能够访问各种功能的多个终结点。请参阅访问防火墙保护下的 Key Vault。
在 Azure VM 中运行的云应用程序需要证书。如何将此证书部署到此 VM 中？请参阅适用于 Windows 的 Key Vault 虚拟机扩展和适用于 Linux 的 Key Vault 虚拟机扩展。
若要使用 Azure CLI、PowerShell 或 Azure 门户分配访问策略，请参阅分配 Key Vault 访问策略。
有关启用了软删除的密钥保管库和各种密钥保管库对象的使用和生命周期的指导，请参阅通过软删除和清除保护实现 Azure Key Vault 恢复管理。
需要在部署期间以参数形式传递安全值（例如密码）时，可以将该值存储为密钥保管库中的机密，然后在其他资源管理器模板中引用该值。请参阅在部署过程中使用 Azure Key Vault 传递安全参数值。

与 Key Vault 集成

以下服务和方案使用 Key Vault 或与 Key Vault 集成：

静态加密允许在持久保存数据时对数据进行编码（加密）。数据加密密钥通常由 Azure Key Vault 中的密钥加密密钥进行加密，以进一步限制访问。
Azure 信息保护允许管理自己的租户密钥。例如，你可以管理自己的租户密钥以遵守适用于你的组织的特定法规，而不是由 Azure 管理你的租户密钥（默认设置）。管理自己的租户密钥也称为自带密钥 (BYOK)。
使用 Azure 专用链接，可以通过虚拟网络中的专用终结点访问 Azure 服务（例如 Azure Key Vault、Azure 存储和 Azure Cosmos DB）以及 Azure 托管的客户服务/合作伙伴服务。
通过将 Key Vault 与 Azure 事件网格集成，用户可以在密钥保管库中存储的机密的状态发生更改时收到通知。可以将新版本的机密分发到应用程序，也可以轮换即将到期的机密，以防止中断。
防止自己的 Azure DevOps 机密在 Key Vault 中被意外访问。
使用 Key Vault 中存储的机密从 Azure Databricks 连接到 Azure 存储。

灾难恢复和业务连续性

Key Vault 提供内置的灾难恢复和自动区域复制。对于生产部署，请启用软删除和清除保护，并实现常规备份。有关详细信息，请参阅 Azure Key Vault 可用性和冗余、 Azure Key Vault 恢复管理和 Azure Key Vault 备份。

性能和可伸缩性

开发使用 Key Vault 的应用程序时，请考虑以下性能和可伸缩性最佳做法：

服务限制：Key Vault 对每个区域的每个保管库的事务都有服务限制。超出这些限制会导致限流。有关详细信息，请参阅 Azure Key Vault 服务限制。
限制指南：使用指数退避实现重试逻辑来处理限制响应。有关详细信息，请参阅 Azure Key Vault 限制指南。
缓存：在应用程序中缓存机密和证书，以减少对 Key Vault 的调用并提高性能。
连接管理：尽可能重复使用与 Key Vault 的 HTTP 连接，以减少延迟并提高性能。

监视和日志记录

启用日志记录和监视，以实现安全性、合规性和故障排除。为关键事件配置诊断设置、事件网格通知和警报。有关详细指南，请参阅监视 Azure Key Vault、 Azure Key Vault 日志记录、使用 Azure 事件网格监视 Key Vault 以及保护 Azure Key Vault：日志记录和威胁检测。

常见参数和请求模式

使用 Key Vault REST API 时，了解常见参数和请求/响应模式非常有用：

API 版本：Key Vault 使用版本控制 API。始终在请求中指定 API 版本。
常见标头：了解 Key Vault 请求的必需和可选的 HTTP 标头。有关详细信息，请参阅 Azure Key Vault 常见参数和标头。
身份验证请求：了解如何获取和使用身份验证令牌。有关详细信息，请参阅身份验证、请求和响应。
错误代码：熟悉常见的 REST API 错误代码，以正常处理故障。有关详细信息，请参阅 Azure Key Vault REST API 错误代码。

若要了解：

可以恢复已删除的对象的功能（不管是有意还是无意删除），请参阅 Azure Key Vault 软删除概述。
限制的基本概念并获得针对应用的限制方法，请参阅 Azure Key Vault 限制指南。

安全最佳做法

有关全面的安全指南，包括标识和访问管理、数据保护、合规性、治理和备份策略，请参阅保护 Azure Key Vault。

其他资源

Key Vault 的概念

Azure Key Vault 基本概念 - 使用 Key Vault 的基础概念。
Azure Key Vault 软删除概述 - 恢复已删除的对象。
Azure Key Vault 限流指南 - 应用程序的基本概念及方法。
Azure Key Vault 服务限制 - 事务限制和其他服务限制。

管理和操作

使用 Azure CLI 管理 Key Vault - 命令行管理作。
监控 Azure Key Vault - 配置监控和诊断。
Azure Key Vault 日志记录 - 启用和分析 Key Vault 日志。

Last updated on 2025-12-15