推荐的部署Azure Key Vault的方法

时间:2018-10-26 08:14:27

标签: azure azure-keyvault

推荐的部署Azure Key Vault的方法是什么

  1. 每个环境一个Key Vault,例如生产,测试等
  2. 一个在全球使用的密钥保管箱。

如果我想使用ARM模板自动创建Azure资源,则似乎第二种方法更可取。但是,除非您对秘密名称使用某种命名方案,否则将Test和Production秘密存储在一起可能会导致错误的发生。

2 个答案:

答案 0 :(得分:2)

官方建议不要在环境之间共享Key Vault。

  

请勿在密钥库机密上使用前缀,以将多个应用程序的机密放入同一密钥库中,或将环境机密(例如,开发与生产机密)放入同一库中。我们建议不同的应用程序和开发/生产环境使用单独的密钥库来隔离应用程序环境,以实现最高的安全性。

Source

我们通过ARM模板部署它们,并没有遇到任何麻烦。 部署ARM后,可能需要一些PowerShell(或其他)脚本来设置机密。

答案 1 :(得分:0)

要添加到此答案的另一件事。我确实同意,每个应用程序或进程都应在单个区域中拥有自己的Key Vault,并且每个环境都应完全不同。

最后,这实际上取决于您使用Key Vault的用途以及您对Key Vault的管理是否满意。是的,Key Vault is replicated to a secondary region by default;但是,如果您正在使用或计划使用Key Vault进行VM磁盘加密,it does not cross regions因此,如果将光盘存储在多个区域中,则每个区域都需要一个单独的Key Vault。