探索 Azure Key Vault

3 分钟

Azure Key Vault 服务支持两种类型的容器：保管库和托管硬件安全模块（HSM）池。保管库支持存储软件和 HSM 支持的密钥、机密和证书。托管 HSM 池仅支持 HSM 支持的密钥。

Azure Key Vault 可帮助解决以下问题：

机密管理： Azure Key Vault 可用于安全地存储和严格控制对令牌、密码、证书、API 密钥和其他机密的访问
密钥管理： Azure Key Vault 还可以用作密钥管理解决方案。使用 Azure Key Vault 可以轻松创建和控制用于加密数据的加密密钥。
证书管理： Azure Key Vault 也是一项服务，可用于轻松预配、管理和部署公共和专用安全套接字层/传输层安全性（SSL/TLS）证书，以用于 Azure 和内部连接资源。

Azure Key Vault 有两个服务层级：标准层，使用软件密钥进行加密，以及高级层，其中包括硬件安全模块（HSM）保护的密钥。若要查看标准层与高级层之间的比较，请参阅 Azure Key Vault 定价页。

使用 Azure Key Vault 的主要优势

集中式应用程序机密： 集中存储 Azure Key Vault 中的应用程序机密可以控制其分发。例如，可以在 Key Vault 中安全地存储连接字符串，而不是将连接字符串存储在应用的代码中。应用程序可以使用 URI 安全地访问所需的信息。这些 URI 允许应用程序检索特定版本的机密。
安全地存储机密和密钥： 访问密钥保管库需要适当的身份验证和授权，然后调用方（用户或应用程序）才能获取访问权限。身份验证通过 Microsoft Entra ID 完成。授权可能通过 Azure 基于角色的访问控制（Azure RBAC）或 Key Vault 访问策略来完成。 Azure RBAC 可用于管理保管库，以及访问存储在保管库中的数据。仅当尝试访问存储在保管库中的数据时，才能使用密钥保管库访问策略。 Azure Key Vault 可能受软件保护，或者使用 Azure Key Vault 高级层，受硬件安全模块（HSM）的硬件保护。
监视访问和使用：可通过为保管库启用日志记录来监视活动。你可以控制日志，并且可以通过限制访问来保护日志，还可以删除不再需要的日志。可将 Azure Key Vault 配置为：
- 存档到存储帐户。
- 流式传输到事件中心。
- 将日志发送到 Azure Monitor 日志。
简化的应用程序机密管理： 必须保护安全信息，它必须遵循生命周期，并且必须高度可用。 Azure Key Vault 通过以下方式简化了满足这些要求的过程：
- 消除对硬件安全模块内部知识的需求
- 收到通知后很快就可进行纵向扩展，满足组织的使用高峰需求。
- 在某个区域内复制 Key Vault 的内容，并将其复制到次要区域。数据复制可确保高可用性，不需管理员操作即可触发故障转移。
- 通过门户、Azure CLI 和 PowerShell 提供标准 Azure 管理选项。
- 针对从公共 CA 购买的证书自动执行某些任务，如注册和续订。

反馈

此页面是否有帮助？