我正在进行一些初步研究,但我无法找到问题的明确答案。计划是有多个环境(即Dev,Prod和QA)我需要为每个环境建立一个新的Azure Key Vault实例,还是我能够在它们之间共享数据?
答案 0 :(得分:1)
多个资源/实体可以访问单个Key Vault实例 - 只要它们位于同一位置(数据中心)。
您可以选择将密钥,密钥和证书分段,方法是将它们放在不同的密钥保管库中,或者使用不同的访问方法/身份,但这不是必需的。
您需要单独的Key Vault实例的唯一时间是访问它的资源/实体位于其他位置(数据中心/区域)。
值得注意的是,您不必过分担心使用Key Vault为资源配置灾难恢复,因为Microsoft提供的SLA不足为奇:https://docs.microsoft.com/en-gb/azure/key-vault/key-vault-disaster-recovery-guidance。有一点需要注意的是,如果您正在运行IaaS / PaaS实例并希望自己将DR故障转移到另一个数据中心,那么您需要手动迁移主密钥中的密钥/机密/证书保险柜进入另一个实例(并相应地重新指向您的虚拟机)
答案 1 :(得分:1)
我宁愿为不同的环境使用单独的Key Vault实例。您可以避免错误地跨环境“混合”秘密,并且可以清楚地分开。 微软也正式推荐这种方法:
我们的建议是在每个应用程序的每个环境(开发,预生产和生产)中使用保管库。
您可以在官方documentation
中阅读更多内容