我是azure云服务平台的新手。今天我遇到了azure提供的Key-Vault存储服务。它能够存储应用程序级别的密钥和设置。通过增强的数据保护,它是安全可靠的。
但我没有明确得到的是连接到Key-Vault我需要存储在我的应用程序配置中的Key-Vault工件。
如果出现这种情况,当有人对键值进行删除时,他将无法连接到我的Key-Vault并读取所有密钥。
如果我应该加密我的本地Key-Vault设置,那么我可以加密我存储在Vault中的密钥吧? Key-Vault的目的是什么?。
答案 0 :(得分:4)
除了能够使用可以存储在安全存储中而不是普通密码的客户端证书进行身份验证之外,另一点是Keyvault可用作加密oracle。它存储您的密钥,永远不会释放它们。当您想要执行加密操作(加密,解密等)时,您将数据发送到Keyvault,而不是从中获取密钥。这可以确保即使攻击者(甚至管理员)可以临时访问您的整个基础架构,他也只能在有限的时间内访问您的数据,并且永远无法获得您的实际密钥。另一个好处是可以对任何访问进行适当的审核。
答案 1 :(得分:2)
基本上你在寻找什么是一种连接到azure密钥保险库的方法。对于使用密钥保管库的应用程序,它必须使用Azure Active Directory(AD)中的令牌进行身份验证
使用Azure AD时,有两种方法可供使用。
根据您的要求,我建议采用2种方法。
看到这篇文章: Authenticating a client application with Azure Key Vault
答案 2 :(得分:0)
您可以使用Azure托管身份访问密钥库,而无需在本地存储任何密钥。您可以在门户中为一个天蓝色资源分配一个受管身份,然后它就可以在后台访问密钥库(或其他资源)而无需暴露任何密钥。 https://docs.microsoft.com/en-us/azure/app-service/overview-managed-identity?tabs=dotnet