Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Key Vault é um serviço de nuvem para armazenar e acessar segredos com segurança. Um segredo é tudo o que você deseja controlar firmemente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço Key Vault dá suporte a dois tipos de contêineres: cofres e pools de módulos de segurança de hardware gerenciados (HSM). Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM. Consulte Azure Key Vault visão geral da API REST para obter detalhes completos.
Outros termos importantes são:
Tenant: um locatário é a organização que possui e gerencia uma instância específica dos serviços de nuvem Microsoft. Geralmente, ele é usado para se referir ao conjunto de serviços de Azure e Microsoft 365 para uma organização.
Proprietário do cofre: pode criar um cofre de chaves e obter acesso e controle totais sobre ele. O proprietário do cofre também pode configurar a auditoria para registrar quem acessa os segredos e as chaves. Os administradores podem controlar o ciclo de vida da chave. Eles podem migrar para uma nova versão da chave, fazer o backup e executar tarefas relacionadas.
Consumidor do cofre: pode executar ações nos ativos dentro do cofre de chaves quando seu proprietário concede acesso ao cliente. As ações disponíveis dependem das permissões concedidas.
Administradores de HSM gerenciado: os usuários atribuídos à função Administrador têm controle total sobre um pool HSM gerenciado. Podem criar outras atribuições de função para delegar o acesso controlado a outros usuários.
Usuário/responsável pela criptografia do HSM gerenciado: funções internas que são geralmente atribuídas a usuários ou entidades de serviço que realizarão operações criptográficas usando chaves no HSM gerenciado. O usuário de criptografia pode criar novas chaves, mas não excluir chaves.
Usuário de criptografia de serviço de Crypto do HSM gerenciado: função interna geralmente atribuída a uma identidade do serviço gerenciada de contas de serviço (por exemplo, conta de armazenamento) para a criptografia de dados inativos com a chave gerenciada pelo cliente.
Resource: um recurso é um item gerenciável disponível por meio de Azure. Alguns exemplos comuns são máquina virtual, conta de armazenamento, aplicativo Web, banco de dados e rede virtual, mas há muito mais.
Resource group: um grupo de recursos é um contêiner que contém recursos relacionados para uma solução Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Você decide como deseja alocar recursos para grupos de recursos com base no que faz mais sentido para sua organização.
Entidade de segurança: uma entidade de segurança do Azure é uma identidade de segurança que aplicativos, serviços e ferramentas de automação criados pelo usuário utilizam para acessar recursos específicos do Azure. Pense nela como uma “identidade do usuário” (nome de usuário e senha ou certificado) com uma função específica e permissões rigidamente controladas. Uma entidade de segurança realiza somente ações específicas, ao contrário de uma identidade de usuário geral. Ela melhora a segurança se você conceder apenas o nível mínimo de permissão necessário para executar as tarefas de gerenciamento. Uma entidade de segurança usada com um aplicativo ou serviço é chamada de entidade de serviço. Para obter mais informações, confira Objetos de entidade de serviço e aplicativo.
Microsoft Entra ID: Microsoft Entra ID é o serviço Active Directory para um locatário. Cada diretório tem um ou mais domínios. Um diretório pode ter várias assinaturas associadas a ele, mas apenas um locatário.
ID do locatário do Azure: a identificação de locatário é uma maneira exclusiva de identificar uma instância Microsoft Entra em uma assinatura do Azure.
Identidades gerenciadas: O Azure Key Vault fornece uma maneira de armazenar com segurança credenciais, além de outras chaves e segredos. No entanto, seu código precisa se autenticar no Key Vault para recuperá-los. O uso de uma identidade gerenciada torna a solução desse problema mais simples, dando aos serviços de Azure uma identidade gerenciada automaticamente em Microsoft Entra ID. Você pode usar essa identidade para autenticar para Key Vault ou qualquer serviço que dê suporte à autenticação Microsoft Entra, sem ter credenciais em seu código. Para obter mais informações, consulte a imagem a seguir e a visão geral de identidades gerenciadas para recursos do Azure.
Autenticação
Para fazer qualquer operação com Key Vault, primeiro você precisa autenticar-se nele. Há três maneiras de autenticar para Key Vault:
- Identidades gerenciadas para recursos do Azure: Ao implantar um aplicativo em uma máquina virtual no Azure, você pode atribuir uma identidade à sua máquina virtual que tenha acesso ao Key Vault. Você também pode atribuir identidades a other Azure resources. O benefício dessa abordagem é que o aplicativo ou serviço não está gerenciando a rotação do primeiro segredo. Azure alterna automaticamente a identidade. Recomendamos essa abordagem como uma prática recomendada.
- Serviço principal e certificado: você pode usar uma entidade de serviço e um certificado associado que tenha acesso a Key Vault. Não recomendamos essa abordagem porque o proprietário do aplicativo ou desenvolvedor deve rotacionar o certificado. Para obter mais informações, consulte Criar um principal de serviço.
- Principal do serviço e segredo: embora você possa usar um principal de serviço e um segredo para autenticar no Key Vault, não é recomendado. É complicado rotacionar automaticamente o segredo de inicialização usado para autenticar no Key Vault.
Para obter diretrizes abrangentes de autenticação, consulte Authentication no Azure Key Vault.
Criptografia de dados em trânsito
Azure Key Vault impõe o protocolo Transport Layer Security (TLS) para proteger os dados quando eles estiverem viajando entre Azure Key vault e clientes. Os clientes negociam uma conexão TLS com Azure Key Vault. O TLS fornece autenticação forte, privacidade de mensagens e integridade (habilitando a detecção de violação de mensagens, interceptação e falsificação), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
Perfect Forward Secrecy (PFS) protege as conexões entre os sistemas cliente dos clientes e os serviços de nuvem Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação dificulta a interceptação e o acesso de dados que estão em trânsito.
Funções do Key Vault
Use a tabela a seguir para entender melhor como Key Vault pode ajudar a atender às necessidades de desenvolvedores e administradores de segurança.
| Função | Instrução do problema | Resolvido por Azure Key Vault |
|---|---|---|
| Desenvolvedor de um aplicativo Azure | "Quero escrever um aplicativo para Azure que usa chaves para assinatura e criptografia. Mas quero que essas chaves fiquem externas ao meu aplicativo, para que a solução seja adequada a um aplicativo geograficamente distribuído. Quero que essas chaves e segredos sejam protegidos, sem precisar escrever o código sozinho. Também quero que essas chaves e segredos sejam fáceis de usar em meus aplicativos, com desempenho ideal.” |
√ As chaves são armazenadas em um cofre e invocadas pelo URI quando necessário. √ Chaves são protegidas por Azure, usando algoritmos padrão do setor, comprimentos de chave e módulos de segurança de hardware. √ Chaves são processadas em HSMs que residem nos mesmos datacenters Azure que os aplicativos. Esse método permite uma maior confiabilidade e uma latência reduzida em comparação às chaves que residem em um local separado, como no local. |
| Desenvolvedor de SaaS (software como serviço) | "Eu não quero a responsabilidade ou receber a culpa por problemas com as chaves e segredos de locatário dos meus clientes. Quero que os clientes sejam proprietários e gerenciem suas chaves para que eu possa me concentrar em fazer o que faço melhor, ou seja, fornecer os recursos centrais do software." |
√ Os clientes podem importar suas próprias chaves para Azure e gerenciá-las. Quando um aplicativo SaaS precisa executar operações criptográficas usando as chaves dos clientes, Key Vault faz essas operações em nome do aplicativo. O aplicativo não vê as chaves dos clientes. |
| Diretor-chefe de segurança (CSO) | "Quero saber se nossos aplicativos estão em conformidade com HSMs FIPS 140 Nível 3 para gerenciamento seguro de chaves. Quero garantir que minha organização controle o ciclo de vida da chave e possa monitorar seu uso. E, embora usemos vários Azure serviços e recursos, quero gerenciar as chaves de um único local em Azure". |
√ Escolha cofres ou HSMs gerenciados para HSMs validados por FIPS 140. Escolha pools de HSM gerenciados para HSMs validados FIPS 140-3 Nível 3. √ Key Vault foi projetado para que Microsoft não veja nem extraia suas chaves. √ Uso de chave é registrado praticamente em tempo real. O cofre fornece uma única interface, independentemente de quantos cofres você tem no Azure, quais regiões eles suportam e quais aplicativos os usam. |
Qualquer pessoa com uma assinatura Azure pode criar e usar cofres de chaves. Embora Key Vault beneficie desenvolvedores e administradores de segurança, ele pode ser implementado e gerenciado pelo administrador de uma organização que gerencia outros serviços Azure. Por exemplo, esse administrador pode entrar com uma assinatura Azure, criar um cofre para a organização na qual armazenar chaves e, em seguida, ser responsável por tarefas operacionais como estas:
- Criar ou importar uma chave ou segredo
- Revogar ou excluir uma chave ou segredo
- Autorizar usuários ou aplicativos a acessar o cofre da chave para que eles possam gerenciar ou usar suas chaves e segredos
- Configurar o uso de chaves (por exemplo, assinar ou criptografar)
- Monitorar o uso de chaves
Em seguida, esse administrador oferece URIs aos desenvolvedores para realizar chamadas de seus aplicativos. Esse administrador também fornece informações de registro em log de uso da chave para o administrador da segurança.
Os desenvolvedores também podem gerenciar as chaves diretamente, por meio de APIs. Para obter mais informações, consulte Azure Key Vault guia do desenvolvedor.
Próximas etapas
- Introdução ao guia do desenvolvedor Azure Key Vault
- Saiba mais sobre Azure Key Vault recursos de segurança
- Saiba mais sobre Authentication no Azure Key Vault
- Saiba como proteger seus pools HSM gerenciados
Azure Key Vault está disponível na maioria das regiões. Para obter mais informações, consulte a página de preços Key Vault.