Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Key Vault is een cloudservice die veilige opslag en beheer van cryptografische sleutels, geheimen en certificaten biedt. Deze handleiding helpt ontwikkelaars bij het integreren van Key Vault in hun toepassingen.
Overzicht
Met Azure Key Vault kunt u:
- Beveiligde opslag: beveilig sleutels, geheimen en certificaten zonder aangepaste beveiligingscode te schrijven.
- Vereenvoudigd sleutelbeheer: centraliseer cryptografische bewerkingen en sleutellevenscyclusbeheer.
- Sleutels die eigendom zijn van de klant: hiermee kunnen klanten hun eigen sleutels beheren terwijl u zich richt op de belangrijkste toepassingsfuncties.
- Extern sleutelbeheer: gebruik sleutels voor ondertekening en versleuteling terwijl u deze extern op uw toepassing houdt.
Zie About Azure Key Vault voor algemene informatie over Azure Key Vault.
Scenario's voor ontwikkelaars
Algemene taken voor ontwikkelaars met Key Vault zijn onder andere:
- Geheimen opslaan en ophalen: verbindingsreeksen, wachtwoorden, API-sleutels en SAS-tokens veilig beheren. Zie Over geheimen voor meer informatie.
- Gebruik sleutels voor versleuteling en ondertekening: voer cryptografische bewerkingen uit zonder sleutelmateriaal beschikbaar te maken voor uw toepassing. Zie Over sleutels voor meer informatie.
- Certificaten beheren: het inrichten, vernieuwen en implementeren van certificaten automatiseren voor SSL/TLS. Zie Over certificaten voor meer informatie.
Openbare previews
Microsoft regelmatig openbare previews van nieuwe Key Vault-functies publiceert. Als u preview-functies wilt proberen en feedback wilt geven, neemt u contact op met het team op azurekeyvault@microsoft.com. Zie What's new in Azure Key Vault voor meer informatie over de nieuwste functies en updates.
Sleutelkluizen maken en beheren
Key Vault maakt gebruik van een toegangsmodel met twee lagen:
- besturingsvlak: beheert de Key Vault-resource zelf (aanmaken, verwijderen, eigenschappen bijwerken, toegangsbeleid toewijzen). Bewerkingen worden beheerd via Azure Resource Manager. Zie Assign a Key Vault access policy voor toegangsbeheer.
- Gegevensvlak: beheert de gegevens die zijn opgeslagen in Key Vault (sleutels, geheimen, certificaten). Toegang wordt beheerd via Azure RBAC met Key Vault.
Gebruik de vooraf gedefinieerde rol Key Vault Inzender om beheertoegang te verlenen tot Key Vault resources. Zie Authentication in Azure Key Vault voor meer informatie over verificatie en autorisatie.
Netwerkbeveiliging
Verminder de netwerkblootstelling door privé-eindpunten, firewalls of service-eindpunten te configureren. Zie Secure your Azure Key Vault: Network Security and Configure Azure Key Vault networking settings voor uitgebreide richtlijnen voor netwerkbeveiliging, waaronder configuratieopties van de meeste tot de minst beperkende netwerkopties.
API's en SDK's voor sleutelkluisbeheer
De volgende tabel bevat SDK's en quickstarts voor het beheren van Key Vault resources (besturingsvlakbewerkingen). Zie Clientbibliotheken voor de nieuwste versies en installatie-instructies.
| Azure CLI | PowerShell | REST-API | Bronbeheerder | .NET | Python | Java | Javascript |
|---|---|---|---|---|---|---|---|
|
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing |
Verwijzing Snelstart |
Verwijzing | Verwijzing | Verwijzing | Verwijzing |
Authenticeren met Key Vault in code
Key Vault maakt gebruik van Microsoft Entra-verificatie. Hiervoor is een Microsoft Entra beveiligingsprincipaal vereist om toegang te verlenen. Een Microsoft Entra beveiligingsprincipaal kan een gebruiker, een toepassingsservice-principal, een beheerde identiteit voor Azure resources of een groep van deze typen zijn.
Aanbevolen procedures voor verificatie
Voor toepassingen die zijn geïmplementeerd in Azure, gebruikt u beheerde identiteiten om de noodzaak voor het opslaan van referenties in code te elimineren. Zie Authentication in Azure Key Vault en Secure your Azure Key Vault voor gedetailleerde verificatierichtlijnen en beveiligingsprincipiënten voor verschillende omgevingen (productie, ontwikkeling, lokaal).
Azure Identity-clientbibliotheken
De voorgaande verificatiescenario's worden ondersteund door de Azure Identity-clientbibliotheek en geïntegreerd met Key Vault SDK's. U kunt de Azure Identity-clientbibliotheek gebruiken in omgevingen en platforms zonder uw code te wijzigen. De bibliotheek haalt automatisch verificatietokens op van gebruikers die zijn aangemeld bij Azure gebruiker via de Azure CLI, Visual Studio, Visual Studio Code en andere middelen.
Zie voor meer informatie over de Azure Identity-clientbibliotheek:
| .NET | Python | Java | Javascript |
|---|---|---|---|
| Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Notitie
We raden App Authentication library aan voor Key Vault .NET SDK versie 3, maar deze is nu afgeschaft. Als u wilt migreren naar Key Vault .NET SDK versie 4, volgt u de AppAuthentication naar Azure. Richtlijnen voor identiteitsmigratie.
Zie voor zelfstudies over het verifiëren van Key Vault in toepassingen:
- Gebruik Azure Key Vault met een virtuele machine in .NET
- Gebruik Azure Key Vault met een virtuele machine in Python
- Een beheerde identiteit gebruiken om Key Vault te verbinden met een Azure-web-app in .NET
Sleutels, certificaten en geheimen beheren
Notitie
SDK's voor .NET, Python, Java, JavaScript, PowerShell en de Azure CLI maken deel uit van het releaseproces voor Key Vault functies via openbare preview en algemene beschikbaarheid met Key Vault serviceteamondersteuning. Andere SDK-clients voor Key Vault zijn beschikbaar, maar ze worden gebouwd en ondersteund door afzonderlijke SDK-teams via GitHub en uitgebracht in hun teamsplanning. Zie Clientbibliotheken voor de nieuwste SDK-versies en -installatiepakketten.
Het gegevensvlak beheert de toegang tot sleutels, certificaten en geheimen. U kunt Azure RBAC gebruiken met Key Vault voor toegangsbeheer via het gegevensvlak.
API's en SDK's voor sleutels
De volgende tabel bevat SDK's en quickstarts voor het werken met sleutels (gegevensvlakbewerkingen). Zie Over sleutels voor meer informatie over sleutels.
| Azure CLI | PowerShell | REST-API | Bronbeheerder | .NET | Python | Java | Javascript |
|---|---|---|---|---|---|---|---|
|
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Andere bibliotheken
Cryptografieclient voor Key Vault en beheerde HSM
Deze module biedt een cryptografieclient voor de clientmodule Azure Key Vault Keys voor Go.
Notitie
Dit project wordt niet ondersteund door het Azure SDK team, maar komt wel overeen met de cryptografieclients in andere ondersteunde talen.
| Taal | Referentie |
|---|---|
| Ga | Verwijzing |
API's en SDK's voor certificaten
De volgende tabel bevat SDK's en quickstarts voor het werken met certificaten (gegevensvlakbewerkingen). Zie Over certificaten voor meer informatie over certificaten.
| Azure CLI | PowerShell | REST-API | Bronbeheerder | .NET | Python | Java | Javascript |
|---|---|---|---|---|---|---|---|
|
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing | Niet van toepassing |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
API's en SDK's voor geheimen
De volgende tabel bevat SDK's en quickstarts voor het werken met geheimen (gegevensvlakbewerkingen). Zie Over geheimen voor meer informatie over geheimen.
| Azure CLI | PowerShell | REST-API | Bronbeheerder | .NET | Python | Java | Javascript |
|---|---|---|---|---|---|---|---|
|
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Verwijzing Snelstart |
Gebruik van geheimen
Gebruik Azure Key Vault om alleen geheimen voor uw toepassing op te slaan. Voorbeelden van geheimen die moeten worden opgeslagen in Key Vault zijn:
- Geheimen van clientapplicaties
- Verbindingsreeksen
- Wachtwoorden
- Gedeelde toegangssleutels
- SSH-sleutels
Alle informatie met betrekking tot geheimen, zoals gebruikersnamen en toepassings-ID's, kan als een tag in een geheim worden opgeslagen. Voor andere gevoelige configuratie-instellingen moet u Azure App Configuration gebruiken.
Zie Clientbibliotheken voor installatiepakketten en broncode.
Key Vault gebruiken in toepassingen
Als u wilt profiteren van de meest recente functies in Key Vault, raden we u aan de beschikbare Key Vault SDK's te gebruiken voor het gebruik van geheimen, certificaten en sleutels in uw toepassing. De Key Vault SDK's en REST API worden bijgewerkt naarmate er nieuwe functies voor het product worden uitgebracht en ze volgen aanbevolen procedures en richtlijnen.
Voor basisscenario's zijn er andere bibliotheken en integratieoplossingen voor vereenvoudigd gebruik, met ondersteuning van Microsoft partners of opensource-community's.
Voor certificaten kunt u het volgende gebruiken:
- De extensie Key Vault virtuele machine (VM), die automatische vernieuwing van certificaten biedt die zijn opgeslagen in een Azure key vault. Zie voor meer informatie:
- Azure App Service integratie, waarmee certificaten uit Key Vault kunnen worden geïmporteerd en automatisch kunnen worden vernieuwd. Zie Importeer een certificaat uit Key Vault voor meer informatie.
Voor geheimen kunt u het volgende gebruiken:
- Key Vault-secret met App Service-toepassingsinstellingen. Zie Gebruik Key Vault verwijzingen voor App Service en Azure Functions voor meer informatie.
- Referenties naar Key Vault met behulp van Azure App Configuration om de toegang van uw applicatie tot configuratie en geheimen te stroomlijnen. Zie voor meer informatie Key Vault-verwijzingen in Azure App Configuration.
Codevoorbeelden
Zie Azure Key Vault codevoorbeelden voor volledige voorbeelden van het gebruik van Key Vault met toepassingen.
Taakspecifieke richtlijnen
De volgende artikelen en scenario's bieden taakspecifieke richtlijnen voor het werken met Azure Key Vault:
- Voor toegang tot een sleutelkluis moet uw clienttoepassing toegang hebben tot meerdere eindpunten voor verschillende functies. Zie Toegang tot Key Vault achter een firewall.
- Een cloudtoepassing die wordt uitgevoerd in een Azure-VM heeft een certificaat nodig. Hoe haalt u dit certificaat op in deze VIRTUELE machine? Zie Key Vault-extensie voor virtuele machines voor Windows of Key Vault virtuele-machineextensie voor Linux.
- Zie Aanwijs een Key Vault toegangsbeleid toewijzen als u een toegangsbeleid voor Azure CLI, PowerShell of de Azure-portal wilt toewijzen.
- Zie Azure Key Vault herstelbeheer met voorlopig verwijderen en bescherming tegen opschonen voor hulp bij het gebruik en de levenscyclus van een sleutelkluis en de verschillende objecten binnen de sleutelkluis waarvoor voorlopig verwijderen is ingeschakeld.
- Wanneer u tijdens de implementatie een veilige waarde (zoals een wachtwoord) als parameter moet doorgeven, kunt u deze waarde opslaan als geheim in een sleutelkluis en verwijzen naar de waarde in andere Resource Manager sjablonen. Zie Azure Key Vault gebruiken om tijdens de implementatie veilige parameterwaarden door te geven.
Integratie met Key Vault
De volgende services en scenario's gebruiken of integreren met Key Vault:
- Versleuteling in rusttoestand wordt de codering (versleuteling) van gegevens toegepast wanneer ze worden opgeslagen. Gegevensversleutelingssleutels worden vaak versleuteld met een sleutelversleutelingssleutel in Azure Key Vault om de toegang verder te beperken.
- Azure Information Protection kunt u uw eigen tenantsleutel beheren. In plaats van bijvoorbeeld Microsoft het beheren van uw tenantsleutel (de standaardinstelling), kunt u uw eigen tenantsleutel beheren om te voldoen aan specifieke voorschriften die van toepassing zijn op uw organisatie. Het beheren van uw eigen tenantsleutel wordt ook wel Bring Your Own Key (BYOK) genoemd.
- Azure Private Link kunt u toegang krijgen tot Azure services (bijvoorbeeld Azure Key Vault, Azure Storage en Azure Cosmos DB) en Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele virtuele eindpunt Netwerk.
- Key Vault integratie met Azure Event Grid kunnen gebruikers een melding ontvangen wanneer de status van een geheim dat is opgeslagen in Key Vault is gewijzigd. U kunt nieuwe versies van geheimen distribueren naar toepassingen of bijna verlopen geheimen roteren om storingen te voorkomen.
- Bescherm uw Azure DevOps geheimen tegen ongewenste toegang in Key Vault.
- Gebruik geheimen die zijn opgeslagen in Key Vault om verbinding te maken met Azure Storage vanuit Azure Databricks.
- Configureer en voer de Azure Key Vault-provider uit voor het CSI-stuurprogramma Secrets Store CSI op Kubernetes.
Herstel na noodgevallen en bedrijfscontinuïteit
Key Vault biedt ingebouwde herstel na noodgevallen met automatische regionale replicatie. Voor productie-implementaties schakelt u zacht verwijderen en verwijderbescherming in en implementeert u regelmatige back-ups. Zie Azure Key Vault beschikbaarheid en redundantieAzure Key Vault herstelbeheer en Azure Key Vault backup voor meer informatie.
Prestaties en schaalbaarheid
Houd rekening met de volgende best practices voor prestaties en schaalbaarheid bij het ontwikkelen van toepassingen die gebruikmaken van Key Vault:
- Servicelimieten: Key Vault heeft servicelimieten voor transacties per kluis per regio. Het overschrijden van deze limieten resulteert in vertraging. Zie Azure Key Vault servicelimieten voor meer informatie.
- Gids voor beperking: Implementeer herhaal logica met exponentiële wachttijd om beperkingsreacties af te handelen. Zie voor meer informatie de Azure Key Vault throtteling richtlijnen.
- Caching: Cachegeheimen en -certificaten in uw toepassing om aanroepen naar Key Vault te verminderen en de prestaties te verbeteren.
- Connection-beheer: GEBRUIK HTTP-verbindingen zo mogelijk opnieuw met Key Vault om latentie te verminderen en de prestaties te verbeteren.
Bewaking en logboekregistratie
Logboekregistratie en bewaking inschakelen voor beveiliging, naleving en probleemoplossing. Configureer diagnostische instellingen, Event Grid-meldingen en waarschuwingen voor kritieke gebeurtenissen. Zie Monitor Azure Key Vault, Azure Key Vault logging, Monitoring Key Vault met Azure Event Grid en Beveilig je Azure Key Vault: Logging en bedreigingsdetectie.
Algemene parameters en aanvraagpatronen
Wanneer u met de Key Vault REST API werkt, is het handig om algemene parameters en aanvraag-/antwoordpatronen te begrijpen:
- API-versies: Key Vault maakt gebruik van api's met versiebeheer. Geef altijd de API-versie op in uw aanvragen.
- Verificatieaanvragen: inzicht krijgen in hoe verificatietokens worden verkregen en gebruikt, inclusief veelgebruikte aanvraagheaders en antwoordindelingen. Zie Verificatie, aanvragen en antwoorden voor meer informatie.
- Foutcodes: vertrouwd raken met veelvoorkomende REST API-foutcodes om fouten correct af te handelen. Zie Azure Key Vault REST API-foutcodes voor meer informatie.
Probleemoplossingsproces
Voor hulp bij het oplossen van veelvoorkomende problemen:
- Fouten met geweigerde toegang: Controleer uw authenticatiegegevens en of uw beveiligingsprincipaal over de benodigde machtigingen beschikt via RBAC-toewijzingen. Zie Azure RBAC voor bewerkingen van Key Vault gegevensvlak.
- Network-connectiviteit: Als u Key Vault opent vanaf een firewall, moet u ervoor zorgen dat de vereiste eindpunten toegankelijk zijn. Zie Toegang tot Key Vault achter een firewall.
- Beperking: Als u 429 (Te Veel Aanvragen) reacties ontvangt, implementeer dan exponentieel terugschakelen. Zie Azure Key Vault richtlijnen voor beperking.
Aanbevolen procedures voor beveiliging
Zie Beveilig uw Azure Key Vault voor uitgebreide beveiligingsrichtlijnen, waaronder identiteits- en toegangsbeheer, gegevensbescherming, naleving, governance en back-upstrategieën.
Aanvullende bronnen
Key Vault-concepten
- Azure Key Vault basisconcepten - Basisconcepten voor het werken met Key Vault.
- Azure Key Vault overzicht van zachte verwijdering - Herstel van verwijderde objecten.
- Azure Key Vault limiteringsrichtlijnen - Basisconcepten en benadering voor uw app.
- Azure Key Vault beveiligingswerelden en geografische grenzen - Regionale en beveiligingsrelaties.
- Azure Key Vault servicelimieten - Transactielimieten en andere servicebeperkingen.
Beheer en bewerkingen
- Monitor Azure Key Vault - Bewaking en diagnose instellen.
- Azure Key Vault logboekregistratie : Key Vault logboeken inschakelen en analyseren.
Community en ondersteuning
Microsoft Q& A - Stel vragen en krijg antwoorden van de community.- Stack Overflow voor Key Vault - Technische V&A door ontwikkelaars.
- Azure Feedback - Functieaanvragen en feedback verzenden.