Azure 密钥保管库开发人员指南

使用 Key Vault 可以从应用程序中安全地访问敏感信息:

  • 无需自己编写代码即可保护密钥和机密信息,并且能够轻松地在应用程序中使用它们。
  • 能够让客户拥有和管理其自己的密钥,因此可以专注于提供核心软件功能。 这样,应用程序便不会对客户的租户密钥和机密承担职责或潜在责任。
  • 应用程序可以使用密钥进行签名和加密,不过使密钥管理与应用程序分开,可以使解决方案适用于地理分散的应用。
  • 自 2016 年 9 月版本的 Key Vault 发布起,应用程序现在可以管理 Key Vault 证书。 有关详细信息,请参阅 About keys, secrets, and certificates(关于密钥、机密和证书)。

有关 Azure 密钥保管库的更多常规信息,请参阅什么是密钥保管库

公共预览版

我们会定期发布新 Key Vault 功能的公共预览版。 抢先试用这些版本,并通过反馈电子邮件地址 azurekeyvault@microsoft.com 将想法告诉我们。

存储帐户密钥 - 2017 年 7 月 10 日

Note

在 Azure Key Vault 的此更新版中,只有存储帐户密钥功能以预览版提供。

此预览版包含通过 .NET/C#RESTPowerShell 接口提供的新存储帐户密钥功能。

有关新存储帐户密钥功能的详细信息,请参阅 Azure Key Vault 存储帐户密钥概述

视频

此视频介绍如何创建自己的密钥保管库以及如何使用从“Hello Key Vault”示例应用程序使用它。

上述视频中提到的资源:

创建和管理密钥保管库

虽然 Azure Key Vault 可用于安全存储凭据以及其他密钥和机密,但代码需要通过 Key Vault 的身份验证才能检索它们。 Azure 资源的托管标识为 Azure 服务提供了 Azure Active Directory (Azure AD) 中的自动托管标识,更巧妙地解决了这个问题。 此标识可用于通过支持 Azure AD 身份验证的任何服务(包括 Key Vault)的身份验证,这样就无需在代码中插入任何凭据了。

若要详细了解如何使用 AAD,请参阅将应用程序与 Azure Active Directory 集成

使用密钥保管库中的密钥、机密或证书前,请通过 CLI、PowerShell、资源管理器模板或 REST 创建和管理密钥保管库,如以下文章所述:

使用密钥保管库进行编码

面向程序员的 Key Vault 管理系统包含多个接口。 此部分收录了所有语言和一些代码示例的链接。

支持的编程和脚本语言

REST

通过 REST 接口,可以访问所有 Key Vault 资源:保管库、密钥、机密等。

Key Vault REST API Reference(Key Vault REST API 参考)。

.NET

.NET API refence for Key Vault(适用于 Key Vault 的 .NET API 参考)

有关 .NET SDK 2.x 版的详细信息,请参阅发行说明

Java

Java SDK for Key Vault(适用于 Key Vault 的 Java SDK)

Node.js

在 Node.js 中,Key Vault 管理 API 和 Key Vault 对象 API 相互独立。 下面的概述文章介绍了如何访问这两个 API。

用于 Node.js 的 Azure Key Vault 模块

Python

用于 Python 的 Azure Key Vault 库

Azure CLI 2

适用于 Key Vault 的 Azure CLI

Azure PowerShell

适用于 Key Vault 的 Azure PowerShell

快速入门指南

代码示例

有关在应用程序中使用密钥保管库的完整示例,请参阅:

操作方法

以下文章和方案提供了特定于任务的指导,以便使用 Azure Key Vault:

与密钥保管库集成

这些文章介绍了使用 Key Vault 或与之集成的其他方案和服务。

  • Azure 磁盘加密利用 Windows 的行业标准 BitLocker 功能和 Linux 的 DM-Crypt 功能,为 OS 和数据磁盘提供卷加密。 该解决方案与 Azure 密钥保管库集成,可帮助你控制和管理密钥保管库订阅中的磁盘加密密钥和机密,同时确保虚拟机磁盘中的所有数据可在 Azure 存储中静态加密。

Key Vault 概述和概念

社交

支持库