什么是 Azure 密钥保管库?

大多数区域都提供了 Azure 密钥保管库。有关详细信息,请参阅密钥保管库定价页

介绍

Azure 密钥保管库可帮助保护云应用程序和服务使用的加密密钥和机密。通过密钥保管库,可以使用密钥来加密密钥和机密(例如身份验证密钥、存储帐户密钥、数据加密密钥、.PFX 文件和密码)。

密钥保管库简化了密钥管理过程,可让你控制用于访问和加密数据的密钥。开发人员可以在几分钟内创建用于开发和测试的密钥,然后无缝地将其迁移到生产密钥。安全管理员可以根据需要授予(和吊销)密钥权限。

使用下表详细了解密钥保管库如何帮助达到开发人员和安全管理员的需求。

角色 问题陈述 Azure 密钥保管库已解决问题
Azure 应用程序开发人员 “我想要编写使用密钥进行签名和加密的 Azure 应用程序,但希望这些密钥与我的应用程序分开,使解决方案适用于地理分散的应用程序。

我还希望这些密钥和机密受到保护,但不必自己编写代码。另外,我还希望能够从应用程序轻松使用这些密钥和机密,同时保持最佳的性能。”
√ 密钥将存储在保管库中并由 URI 在需要时调用。

√ 密钥由 Azure 使用行业标准算法、密钥长度加以保护。
软件即服务 (SaaS) 开发人员 “对于客户的租户密钥和机密,我不想承担任何实际或潜在法律责任。

我希望客户拥有并管理他们自己的密钥,所以我可以将全部精力集中在我的专长上,也就是提供核心软件功能。”
√ 客户可以将他们自己的密钥导入 Azure 并进行管理。当 SaaS 应用程序需要使用其客户密钥来执行加密操作时,密钥保管库将代表应用程序执行这些操作。应用程序将不看到客户的密钥。
首席安全官 (CSO) “我想要确保我的组织掌控密钥生命周期,并可监视密钥用法。

此外,即使我们使用多个 Azure 服务和资源,我仍想要从 Azure 中的单个位置管理密钥。”
√ 密钥保管库在设计上可以避免 Microsoft 看到或提取你的密钥。

√ 接近实时的密钥用法日志记录。

√ 保管库提供单个接口,不论你在 Azure 中有几个保管库,支持哪些区域,以及哪些应用程序使用这些保管库。

具有 Azure 订阅的任何人都可以创建和使用密钥保管库。尽管密钥保管库能够为开发人员和安全管理员提供便利,但管理组织中其他 Azure 服务的管理员也可以实现和管理密钥保管库。例如,此管理员可以使用 Azure 订阅登录、创建组织用来存储密钥的保管库,然后负责执行操作任务,例如:

  • 创建或导入密钥或机密
  • 吊销或删除密钥或机密
  • 授权用户或应用程序访问密钥保管库,使它们能够管理或使用其密钥和机密
  • 配置密钥用法(例如,签名或加密)
  • 监视密钥用法

然后,此管理员将为开发人员提供可从其应用程序调用的 URI,并为其安全管理员提供密钥用法日志记录信息。

Azure 密钥保管库概述

开发人员还可通过使用 API 直接管理密钥。有关详细信息,请参阅《密钥保管库开发人员指南》

后续步骤

有关面向管理员的入门教程,请参阅 Azure 密钥保管库入门

有关将密钥和机密与 Azure 密钥保管库配合使用的详细信息,请参阅关于密钥、机密和证书