关于 Azure Key Vault 托管存储帐户密钥
重要
我们建议使用 Azure 存储与 Microsoft Entra ID 的集成,这是 Azure 推出的基于云的标识和访问管理服务。 Microsoft Entra 集成适用于 Azure Blob 和队列,提供对 Azure 存储的基于 OAuth2 令牌的访问(类似于 Azure Key Vault)。 Microsoft Entra ID 允许使用应用程序标识或用户标识(而不是存储帐户凭据)对客户端应用程序进行身份验证。 在 Azure 上运行时,可以使用 Microsoft Entra 托管标识。 托管标识消除了客户端身份验证的需要,并可以在应用程序中存储凭据,或者将凭据与应用程序一同存储。 仅在无法实现 Microsoft Entra 身份验证的情况下使用以下解决方法。
Azure 存储帐户使用由帐户名和密钥构成的凭据。 密钥是自动生成的,充当密码而不是加密密钥。 Key Vault 通过在存储帐户中定期重新生成存储帐户密钥来管理存储帐户密钥,并提供共享访问签名令牌,以便对存储帐户中的资源进行委托访问。
可以使用 Key Vault 托管的存储帐户密钥功能列出(同步) Azure 存储帐户中的密钥,并定期重新生成(轮换)密钥。 可以管理存储帐户和经典存储帐户的密钥。
Azure 存储帐户密钥管理
Key Vault 可以管理 Azure 存储帐户密钥:
- 在内部,Key Vault 可以使用 Azure 存储帐户列出(同步)密钥。
- Key Vault 定期重新生成(轮换)密钥。
- 响应调用方时永远不会返回密钥值。
- Key Vault 管理存储帐户和经典存储帐户的密钥。
有关详细信息,请参阅:
存储帐户访问控制
授权用户或应用程序主体对托管的存储帐户执行操作时,可以使用以下权限:
针对托管存储帐户和 SaS 定义操作的权限
- get:获取有关存储帐户的信息
- list:列出 Key Vault 托管的存储帐户
- update:更新存储帐户
- delete:删除存储帐户
- recover:恢复删除的存储帐户
- backup:备份存储帐户
- restore:将备份存储帐户还原到 Key Vault
- set:创建或更新存储帐户
- regeneratekey:为存储帐户重写指定的密钥值
- getsas:获取有关存储帐户的 SAS 定义的信息
- listsas:列出存储帐户的存储 SAS 定义
- deletesas:从存储帐户中删除 SAS 定义
- setsas:创建或更新存储帐户的新 SAS 定义/属性
针对特权操作的权限
- purge:清除(永久删除)托管存储帐户
有关详细信息,请参阅 Key Vault REST API 中的存储帐户操作参考。 有关建立权限的信息,请参阅保管库 - 更新访问策略。