问题标签 [azure-keyvault]

以下是在控制台应用程序和 ClientID 中，RedirectUri 来自天蓝色活动目录中创建的本机应用程序。

我现在有了与管理 api 交谈的令牌。

以上工作，但要求我在我的 AD 上创建一个可以与密钥库对话的单独应用程序。我想使用自己的 ID 与 keyvault 交谈，但我不知道如何获取 keyvault 客户端所需的访问令牌。

我是否需要更新 azure manuel 上的清单并添加允许我的控制台应用程序代表用户获取 keyvault 的令牌？需要在 GetAccessTokenAsync 中更改哪些代码才能使其工作。

我已经尝试只给它来自公共端点的初始令牌请求的访问或 ID 令牌。有人对如何代表我自己的 id 而不是应用程序与 azure key vault 交谈有什么建议吗？

更新

因此，查看标头我发现我的令牌缺少 vault.azure.net 作为资源，因此尝试：

给出以下错误：

AADSTS65005：客户端应用程序已请求访问资源“ https://vault.azure.net ”。此请求失败，因为客户端未在其 requiredResourceAccess 列表中指定此资源。

并查看当前清单：

我怎么知道 keyvault 的范围和 resourceAppId 使用哪些 guid？

临时解决方案

在我知道如何获取 resourceAppId 和相关信息之前，我一直在使用模拟 powershell 工具的旧技巧。

来源：http : //www.s-innovations.net/Blog/2014/02/12/Controlling-the-login-flow-when-using-ADAL-for-WAML 请在之前的博客文章中阅读@bradygaster 评论使用 powershells 客户端 ID。

我的 pfx 文件已导入 Azure 密钥库，当我将其作为密钥包取回时，它仅包含公钥。如何使用 Azure 密钥库通过 itextsharp 签署 PDF 文档

考虑在 Azure 中启用透明数据加密并使用Azure Key Vault进行密钥管理的 SQL Server 。数据在 <whatever> 国家/地区的 Azure 数据中心进行静态加密，但 Key Vault 位于客户自己的数据中心内。应用程序（也托管在 Azure 中，因此物理放置在 <whatever> 国家/地区）可以在成功往返 Key Vault 后访问数据库。

1. 数据访问绑定到哪个实体（哪个实体持有对称密钥）？是保存对称密钥的数据库，以便所有传入连接都能够看到未加密的数据吗？还是每个连接都存储密钥，以便在建立每个新连接时数据库重新连接到 Key Vault？
2. 我们希望能够仅通过关闭本地 Key Vault 来关闭数据库访问。即：无论数据中心发生什么情况，始终可以从 Key Vault 停止对云中的数据访问。数据只能被解密，因为密钥被缓存在某处。我们是否可以强制缓存在 X 秒后超时，从而强制数据库重新连接到 Key Vault 并再次请求密钥？这将允许我们关闭 Key Vault，在这些 X 秒后使数据变得无用。

我有一个我想在 Azure 中运行的应用程序，它可以使用 KMIP 协议与密钥管理服务器进行通信。Azure Key Vault 是否支持 KMIP？如果是这样，我可以找到详细信息吗？

我正在开发一个将文件上传到 Azure 存储的 .NET 应用程序。我正在利用https://azure.microsoft.com/en-us/documentation/articles/storage-encrypt-decrypt-blobs-key-vault/教程中所做的客户端加密

该应用程序有效，即我可以成功地将加密的 blob 上传到选定的存储帐户和容器。

但是，我对 RSA 密钥的安全性有些担心。如果客户端应用程序从 Key Vault 获取密钥以在 BlobEncryptionPolicy 中使用，那么该密钥可能会被泄露？应用程序真正需要的唯一东西是 RSA 对的公钥，私钥应保留在服务器上（解密仅由受信任的 Web 应用程序进行）。

我担心的另一个问题是，从 app.config 获取 AAD 集成信息很简单。如何解决这个问题？

（注意：运行上传应用程序的工作站不一定受信任）

我有一个密钥保管库，几个月前我创建并导入了密钥。我根据文档创建了具有高级 SKU的保管库，以启用 Key Vault 对 HSM 的使用。我还将设置目标 = 的密钥导入到 HSM

现在，我被要求验证密钥实际上是否受到硬件保护，但我无法找到任何过于令人信服的属性来告诉我这一点。如果我运行： Get-AzureKeyVaultKey -VaultName "Contoso" -KeyName "ITPfx"

我可以在 JSON "kty: RSA-HSM" 中看到软件保护密钥的 kty 值只是 RSA。这是我可以看到的硬件和软件保护密钥之间的唯一区别。

这真的是判断密钥是否在密钥保管库的 HSM 中的唯一方法吗？

还是有更直观的方法来确定这一点？

我正在尝试创建一个 Azure Key Vault，但门户（旧的和新的）还没有选项，最新的文档说使用命令行，但这似乎也不起作用。

从 Azure CLI 运行时的未知命令：

从 Azure PowerShell 运行时的未知命令：

您如何使用 Key Vault？

编辑：

这些应该包含在 0.9.5 的 Azure CLI 中，但 0.9.9 没有：http: //blogs.technet.com/b/kv/archive/2015/06/24/keyvaulthasshipped.aspx

我正在尝试了解 Azure Key Vault 将提供的安全优势（或同样的 AWS KMS）

我了解密钥管理的好处，能够轻松轮换、更改、审核密钥访问。

让我有点困惑的是它是如何更安全的。

据我了解，如果我开发了一个 Web 应用程序并想要保护我的连接字符串（例如），我可以在 Key Vault 中创建一个密钥对并将其保存在那里。然后我在 AAD 中创建一个应用程序，并使用客户端 ID/Secret/URI 对 Key Vault 进行身份验证以获取我的连接字符串。资源组进一步限制这一点也可能带来好处。

但是，这现在意味着我有一个要保护的客户端 ID/秘密/URI。

这如何更好？

PS我不是开发者！我只是想从 devops 的角度来研究这些东西以了解它们。因此，如果您可以将答案瞄准典型的无知操作人员，那将不胜感激；）

我想提高我的网络应用程序的安全性，以防受到攻击。我的系统中存在以下组件：

• Azure 网络应用
• Azure Blob 存储
• Azure SQL Azure
• Azure KeyVault

现在有应用程序加密和存储上传文档的场景。这如描述的那样工作：

1) 用户将文档上传到 Web 应用程序 2) 生成随机加密密钥 3) 随机加密密钥存储到 azure 密钥库 4) sql azure 存储 blob url 和密钥 url

现在我的问题是：在黑客入侵 Web 应用程序实例的情况下，如何更安全地使用密钥库？我的意思是 app.config 中有客户端 ID 和客户端密码来访问密钥库，我们需要它来读取和写入密钥。因此，无论我是否使用密钥保管库都不会增加黑客攻击 Web 应用程序的安全性，对吧？

我在我的 Azure 订阅中创建了一个 KeyVault，并在我的一个 Azure AD 目录中创建了一个客户端应用程序。但是，客户端应用程序未在订阅的默认目录中注册。

当我运行以下 PowerShell cmdlet 时，它会尝试在订阅的默认目录中查找服务主体，但找不到它。

我发现一篇文章描述了如何在管理门户中更改订阅的默认目录，但想知道如何使用 PowerShell 来做同样的事情。

“ Select-AzureSubscription” cmdlet 似乎不支持更改默认目录。' ' 也不Set-AzureKeyVaultAccessPolicy支持一个参数来指示它应该在哪个目录中查找。