推荐的部署Azure Key Vault的方法是什么
如果我想使用ARM模板自动创建Azure资源,则似乎第二种方法更可取。但是,除非您对秘密名称使用某种命名方案,否则将Test和Production秘密存储在一起可能会导致错误的发生。
答案 0 :(得分:2)
官方建议不要在环境之间共享Key Vault。
请勿在密钥库机密上使用前缀,以将多个应用程序的机密放入同一密钥库中,或将环境机密(例如,开发与生产机密)放入同一库中。我们建议不同的应用程序和开发/生产环境使用单独的密钥库来隔离应用程序环境,以实现最高的安全性。
我们通过ARM模板部署它们,并没有遇到任何麻烦。 部署ARM后,可能需要一些PowerShell(或其他)脚本来设置机密。
答案 1 :(得分:0)
要添加到此答案的另一件事。我确实同意,每个应用程序或进程都应在单个区域中拥有自己的Key Vault,并且每个环境都应完全不同。
最后,这实际上取决于您使用Key Vault的用途以及您对Key Vault的管理是否满意。是的,Key Vault is replicated to a secondary region by default;但是,如果您正在使用或计划使用Key Vault进行VM磁盘加密,it does not cross regions因此,如果将光盘存储在多个区域中,则每个区域都需要一个单独的Key Vault。