我当前的客户将秘密存储在Blob存储中,我们希望将其迁移到KeyVault。与Blob相比,我可以知道将密钥存储或存储在KeyVault中有什么好处吗?
当我阅读文档时,KeyVault使用HSM来保护密钥和机密,但是Blob也使用同样安全的加密。那么还有哪些其他优势呢?
答案 0 :(得分:0)
我想说它们通常看起来很相似,但是我想说两者之间最重要的区别是授权模型。
通过两个可用的连接字符串/键之一来访问存储帐户。可以将KeyVault的访问权限直接分配给用户或组(来自AAD),并且可以更详细地配置对Key Vault中资源的访问权限。除此之外,很容易地从azure内限制可能会或可能不会从KeyVault检索数据的资源类型,从而减少了攻击服务。
存储帐户当前确实具有预览的AAD集成,但是我收集到的是,该帐户主要集中在Azure文件共享功能(https://docs.microsoft.com/en-us/azure/storage/files/storage-files-active-directory-overview)。
另一个很好的区别肯定是使用KeyVault时已经可用的集成(即直接从KeyVault检索Azure DevOps机密或自动检索VM的证书)
仅供参考,我绝不是KeyVault专家,但这只是我的2美分:)