我是天蓝色云服务平台的新手。今天偶遇azure提供的Key-Vault存储服务。它具有存储应用程序级密钥和设置的能力。它具有增强的数据保护功能,安全可靠。
但是我不清楚的是要连接到 Key-Vault,我需要将 Key-Vault 的工件存储在我的应用程序配置中。
如果是这种情况,当有人偷看密钥值时,他将不会连接到我的 Key-Vault 并读取我的所有密钥。
如果我应该加密我的本地 Key-Vault 设置,那么我也可以加密我存储在 Vault 中的密钥,对吗?Key-Vault 的目的是什么?
除了能够使用可以存储在安全存储中而不是普通密码的客户端证书进行身份验证之外,另一点是 Keyvault 作为加密预言机工作。它存储您的密钥并且从不释放它们。当您想要执行加密操作(加密、解密等)时,您将数据发送到 Keyvault,而不是从中获取密钥。这样可以确保即使攻击者(甚至管理员)可以临时访问您的整个基础架构,他也只能在有限的时间内访问您的数据,并且永远无法获得您的实际密钥。另一个好处是可以正确审核任何访问。
基本上,您要寻找的是一种连接到 azure key vault 的方法。对于使用密钥保管库的应用程序,它必须使用来自 Azure Active Directory (AD) 的令牌进行身份验证
使用 Azure AD 时有两种方法可用。
对于您的要求,我建议采用 2 种方法。
可以使用 Azure 托管标识访问 Key Vault,无需在本地存储任何密钥。您将托管标识分配给门户中的 azure 资源,然后它能够在幕后访问密钥保管库(或其他资源),而无需公开任何密钥。https://docs.microsoft.com/en-us/azure/app-service/overview-managed-identity?tabs=dotnet