Azure Key Vault 的新增功能
下面是 Azure Key Vault 的新增功能。 新增功能和改进也在 Azure 更新 Key Vault 频道上进行了公布。
用于在 Azure Key Vault 中管理密钥轮换配置的内置策略。 使用此策略,可以审核密钥保管库中的现有密钥,以确保所有密钥都配置进行轮换并符合组织的标准。
有关详细信息,请参阅配置密钥轮换治理
Key Vault 强制实施 TLS 1.2 或更高版本以增强安全性。 如果仍在使用较旧的 TLS 版本,请参阅在环境中启用对 TLS 1.2 的支持,以更新客户端并确保不间断地访问 Key Vault 服务。 可以通过使用此处的示例 Kusto 查询监视 Key Vault 日志来监视客户端使用的 TLS 版本。
Azure RBAC 现在是 Azure Key Vault 数据平面的推荐授权系统。 Azure RBAC 是在 Azure 资源管理器基础上构建的,针对 Azure 资源提供精细的访问权限管理。 使用 Azure RBAC,你可以通过创建角色分配来控制对资源的访问,这些角色分配由三个元素组成:安全主体、角色定义(预定义的权限集)和范围(资源组或单个资源)。
有关详细信息,请访问 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略 | Azure Learn
用于管理向 Azure 基于角色的访问控制 (RBAC) 进行迁移的内置策略现以预览版提供。 通过内置策略,可以审核现有密钥保管库,并强制所有新密钥保管库使用 Azure RBAC 权限模型。 请参阅 RBAC 迁移治理,了解如何强制实施新的内置策略。
密钥保管库中的自动加密密钥轮换现已推出。
有关详细信息,请参阅在密钥保管库中配置密钥自动轮换
Azure Key Vault 服务吞吐量限制已提高,为每个保管库提供的配额增加一倍,这有助于确保应用程序的高性能。 也就是说,对于机密 GET 和 RSA 2,048 位软件密钥,你每 10 秒会收到 4,000 个 GET 事务,而之前是每 10 秒会收到 2,000 个 GET 事务。 服务配额特定于操作类型,你可以在 Azure Key Vault 服务限制中访问整个列表。
有关 Azure 更新公告,请参阅[正式发布:Azure Key Vault 已提高所有客户的服务限制] (https://azure.microsoft.com/updates/azurekeyvaultincreasedservicelimits/)
密钥保管库中的自动加密密钥轮换现已推出预览版。 可以针对密钥设置轮换策略以计划自动轮换,并通过事件网格集成配置过期通知。
有关详细信息,请参阅在密钥保管库中配置密钥自动轮换
Azure 密钥保管库与 Azure Policy 的集成现已推出正式版,随时可用于生产。 此功能是我们为了履行在 Azure 中简化安全机密管理,同时增强可对密钥保管库、密钥、机密和证书定义的策略实施方案所做的承诺而迈出的一步。 Azure Policy 允许你对密钥保管库及其对象实施保护,确保它们符合组织的安全建议和法规管制要求。 它允许对 Azure 环境中的现有机密执行基于策略的实时强制实施措施和按需合规性评估。 策略执行的审核的结果将显示在合规性仪表板中,可在其中深入查看合规和不合规的资源与组件。 适用于密钥保管库的 Azure Policy 将提供一整套内置策略用于治理密钥、机密和证书。
可以详细了解如何将 Azure 密钥保管库与 Azure Policy 集成并分配新策略。 单击此链接可查看公告。
Azure 密钥保管库托管 HSM 已推出正式版。 托管 HSM 提供完全托管、高度可用、高吞吐量、符合标准的单租户云服务,可以使用 FIPS 140-2 级别 3 验证的 HSM 来保护云应用程序的加密密钥。
有关详细信息,请参阅 Azure 密钥保管库托管 HSM 概述
用于 Azure 密钥保管库数据平面授权的 Azure 基于角色的访问控制 (RBAC) 现已推出正式版。 现在,借助此功能,可以管理从管理组中可用角色分配范围到单个密钥、证书和机密范围的密钥保管库密钥、证书和机密的 RBAC。
有关详细信息,请参阅使用 Azure 基于角色的访问控制提供对密钥保管库密钥、证书和机密的访问权限
对 Azure 密钥保管库 PowerShell cmdlet 进行了两项更改:
- 已将 Update-AzKeyVault 的 DisableSoftDelete 和 EnableSoftDelete parameters 参数弃用。
- Get-AzKeyVaultSecret cmdlet 的输出不再具有
SecretValueText
属性。
警告
此更新可能会影响 Azure 密钥保管库实现。
Azure 会将 Azure 服务更新为使用来自一组不同的根证书颁发机构 (CA) 的 TLS 证书。 此更改正在进行中,因为当前 CA 证书不符合某个 CA/浏览器论坛基线要求。 有关完整详细信息,请参阅 Azure TLS 证书更改。
Azure Monitor for Key Vault 现在为预览版。 Azure Monitor 提供 Key Vault 请求、性能、失败和延迟的统一视图,在其中可以全面监视密钥保管库。 有关详细信息,请参阅 Azure Monitor for Key Vault(预览版)。
专用终结点现在提供预览版。 使用 Azure 专用链接服务,可以通过虚拟网络中的专用终结点访问 Azure Key Vault 和 Azure 托管的客户服务/合作伙伴服务。 了解如何将 Key Vault 与 Azure 专用链接集成。
- 发布下一代 Azure Key Vault SDK。 有关其用法的示例,请参阅适用于 Python、.NET、Java 和 Node.js 的 Azure Key Vault 机密快速入门
- 用于管理 Key Vault 证书的新 Azure 策略。 请参阅 Key Vault 的 Azure Policy 内置定义。
- Azure Key Vault 虚拟机扩展现已正式发布。 请参阅适用于 Linux 的 Key Vault 虚拟机扩展和适用于 Windows 的 Key Vault 虚拟机扩展。
- Azure 事件网格中现在提供适用于 Azure Key Vault 的事件驱动机密管理。
本年度发布的新功能和集成:
- 与 Azure Functions 集成。 有关利用 Azure Functions 进行 Key Vault 操作的示例方案,请参阅自动轮换机密。
- 与 Azure Databricks 集成。 借助此功能,Azure Databricks 现在支持两种类型的机密范围:Azure Key Vault 支持和 Databricks 支持。 有关详细信息,请参阅创建 Azure Key Vault 支持的机密范围
- Azure Key Vault 的虚拟网络服务终结点。
本年度发布的新功能:
- 托管存储帐户密钥。 新增了存储帐户密钥功能,可更轻松地与 Azure 存储集成。 有关详细信息,请参阅托管存储帐户密钥概述。
- 软删除。 软删除功能增强了 Key Vault 和 Key Vault 对象的数据保护。 有关详细信息,请参阅软删除概述。
本年度发布的新功能:
- 证书管理。 2016 年 9 月 26 日,作为一种功能添加到 2015-06-01 正式版中。
2015 年 6 月 24 日发布了 2015-06-01 正式版。 此版本进行了以下更改:
- 删除密钥 - 删除了“使用”字段。
- 获取有关密钥的信息 - 删除了“使用”字段。
- 将密钥导入保管库 - 删除了“使用”字段。
- 还原密钥 - 删除了“使用”字段。
- 将“RSA_OAEP”改为 RSA 算法的“RSA-OAEP”。 请参阅关于密钥、机密和证书。
2015 年 4 月 20 日发布了第二版预览版(版本 2015-02-01-preview)。 有关详细信息,请参阅 REST API 更新 博客文章。 更新了以下任务:
- 列出保管库中的密钥 - 向操作添加了分页支持。
- 列出密钥版本 - 添加了列出密钥版本的操作。
- 列出保管库中的机密 - 添加了分页支持。
- 列出机密版本 - 添加了列出机密版本的操作。
- 所有操作 - 添加了属性创建/更新时间戳。
- 创建机密 - 向机密添加了 Content-Type。
- 创建密钥 - 添加了标记作为可选信息。
- 创建机密 - 添加了标记作为可选信息。
- 更新密钥 - 添加了标记作为可选信息。
- 更新机密 - 添加了标记作为可选信息。
- 将机密的最大大小从 10 KB 更改为 25 KB。 请参阅关于密钥、机密和证书。
2015 年 1 月 8 日发布了第一版预览版(版本 2014-12-08-preview)。
如果有任何问题,请通过客户支持联系我们。