问题标签 [azure-keyvault]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 使用 Adal 代表用户访问 Azure KeyVault
以下是在控制台应用程序和 ClientID 中,RedirectUri 来自天蓝色活动目录中创建的本机应用程序。
我现在有了与管理 api 交谈的令牌。
以上工作,但要求我在我的 AD 上创建一个可以与密钥库对话的单独应用程序。我想使用自己的 ID 与 keyvault 交谈,但我不知道如何获取 keyvault 客户端所需的访问令牌。
我是否需要更新 azure manuel 上的清单并添加允许我的控制台应用程序代表用户获取 keyvault 的令牌?需要在 GetAccessTokenAsync 中更改哪些代码才能使其工作。
我已经尝试只给它来自公共端点的初始令牌请求的访问或 ID 令牌。有人对如何代表我自己的 id 而不是应用程序与 azure key vault 交谈有什么建议吗?
更新
因此,查看标头我发现我的令牌缺少 vault.azure.net 作为资源,因此尝试:
给出以下错误:
AADSTS65005:客户端应用程序已请求访问资源“ https://vault.azure.net ”。此请求失败,因为客户端未在其 requiredResourceAccess 列表中指定此资源。
并查看当前清单:
我怎么知道 keyvault 的范围和 resourceAppId 使用哪些 guid?
临时解决方案
在我知道如何获取 resourceAppId 和相关信息之前,我一直在使用模拟 powershell 工具的旧技巧。
来源:http : //www.s-innovations.net/Blog/2014/02/12/Controlling-the-login-flow-when-using-ADAL-for-WAML 请在之前的博客文章中阅读@bradygaster 评论使用 powershells 客户端 ID。
itext - 使用 itextsharp 和 Azure 密钥保管库签署 PDF
我的 pfx 文件已导入 Azure 密钥库,当我将其作为密钥包取回时,它仅包含公钥。如何使用 Azure 密钥库通过 itextsharp 签署 PDF 文档
sql-server - SQL Server 能否自动超时从 Azure Key Vault 获得的 DEK?
考虑在 Azure 中启用透明数据加密并使用Azure Key Vault进行密钥管理的 SQL Server 。数据在 <whatever> 国家/地区的 Azure 数据中心进行静态加密,但 Key Vault 位于客户自己的数据中心内。应用程序(也托管在 Azure 中,因此物理放置在 <whatever> 国家/地区)可以在成功往返 Key Vault 后访问数据库。
- 数据访问绑定到哪个实体(哪个实体持有对称密钥)?是保存对称密钥的数据库,以便所有传入连接都能够看到未加密的数据吗?还是每个连接都存储密钥,以便在建立每个新连接时数据库重新连接到 Key Vault?
- 我们希望能够仅通过关闭本地 Key Vault 来关闭数据库访问。即:无论数据中心发生什么情况,始终可以从 Key Vault 停止对云中的数据访问。数据只能被解密,因为密钥被缓存在某处。我们是否可以强制缓存在 X 秒后超时,从而强制数据库重新连接到 Key Vault 并再次请求密钥?这将允许我们关闭 Key Vault,在这些 X 秒后使数据变得无用。
azure - Azure Key Vault 是否支持 KMIP?
我有一个我想在 Azure 中运行的应用程序,它可以使用 KMIP 协议与密钥管理服务器进行通信。Azure Key Vault 是否支持 KMIP?如果是这样,我可以找到详细信息吗?
azure - Azure Key Vault 访问权限和密钥安全性
我正在开发一个将文件上传到 Azure 存储的 .NET 应用程序。我正在利用https://azure.microsoft.com/en-us/documentation/articles/storage-encrypt-decrypt-blobs-key-vault/教程中所做的客户端加密
该应用程序有效,即我可以成功地将加密的 blob 上传到选定的存储帐户和容器。
但是,我对 RSA 密钥的安全性有些担心。如果客户端应用程序从 Key Vault 获取密钥以在 BlobEncryptionPolicy 中使用,那么该密钥可能会被泄露?应用程序真正需要的唯一东西是 RSA 对的公钥,私钥应保留在服务器上(解密仅由受信任的 Web 应用程序进行)。
我担心的另一个问题是,从 app.config 获取 AAD 集成信息很简单。如何解决这个问题?
(注意:运行上传应用程序的工作站不一定受信任)
azure - Azure KeyVault:如何判断密钥是否受 HSM 保护
我有一个密钥保管库,几个月前我创建并导入了密钥。我根据文档创建了具有高级 SKU的保管库,以启用 Key Vault 对 HSM 的使用。我还将设置目标 = 的密钥导入到 HSM
现在,我被要求验证密钥实际上是否受到硬件保护,但我无法找到任何过于令人信服的属性来告诉我这一点。如果我运行:
Get-AzureKeyVaultKey -VaultName "Contoso" -KeyName "ITPfx"
我可以在 JSON "kty: RSA-HSM" 中看到软件保护密钥的 kty 值只是 RSA。这是我可以看到的硬件和软件保护密钥之间的唯一区别。
这真的是判断密钥是否在密钥保管库的 HSM 中的唯一方法吗?
还是有更直观的方法来确定这一点?
azure - 无法使用 azure key vault('New-AzureKeyVault' 无法识别)('keyvault' 不是 azure 命令)
我正在尝试创建一个 Azure Key Vault,但门户(旧的和新的)还没有选项,最新的文档说使用命令行,但这似乎也不起作用。
从 Azure CLI 运行时的未知命令:
从 Azure PowerShell 运行时的未知命令:
您如何使用 Key Vault?
编辑:
这些应该包含在 0.9.5 的 Azure CLI 中,但 0.9.9 没有:http: //blogs.technet.com/b/kv/archive/2015/06/24/keyvaulthasshipped.aspx
azure - 密钥库如何比标准存储更安全?
我正在尝试了解 Azure Key Vault 将提供的安全优势(或同样的 AWS KMS)
我了解密钥管理的好处,能够轻松轮换、更改、审核密钥访问。
让我有点困惑的是它是如何更安全的。
据我了解,如果我开发了一个 Web 应用程序并想要保护我的连接字符串(例如),我可以在 Key Vault 中创建一个密钥对并将其保存在那里。然后我在 AAD 中创建一个应用程序,并使用客户端 ID/Secret/URI 对 Key Vault 进行身份验证以获取我的连接字符串。资源组进一步限制这一点也可能带来好处。
但是,这现在意味着我有一个要保护的客户端 ID/秘密/URI。
这如何更好?
PS我不是开发者!我只是想从 devops 的角度来研究这些东西以了解它们。因此,如果您可以将答案瞄准典型的无知操作人员,那将不胜感激;)
azure - 黑客攻击时的 Azure Key Vault 安全
我想提高我的网络应用程序的安全性,以防受到攻击。我的系统中存在以下组件:
- Azure 网络应用
- Azure Blob 存储
- Azure SQL Azure
- Azure KeyVault
现在有应用程序加密和存储上传文档的场景。这如描述的那样工作:
1) 用户将文档上传到 Web 应用程序 2) 生成随机加密密钥 3) 随机加密密钥存储到 azure 密钥库 4) sql azure 存储 blob url 和密钥 url
现在我的问题是:在黑客入侵 Web 应用程序实例的情况下,如何更安全地使用密钥库?我的意思是 app.config 中有客户端 ID 和客户端密码来访问密钥库,我们需要它来读取和写入密钥。因此,无论我是否使用密钥保管库都不会增加黑客攻击 Web 应用程序的安全性,对吧?
powershell - 如何将非默认目录中的客户端授权给 KeyVault
我在我的 Azure 订阅中创建了一个 KeyVault,并在我的一个 Azure AD 目录中创建了一个客户端应用程序。但是,客户端应用程序未在订阅的默认目录中注册。
当我运行以下 PowerShell cmdlet 时,它会尝试在订阅的默认目录中查找服务主体,但找不到它。
我发现一篇文章描述了如何在管理门户中更改订阅的默认目录,但想知道如何使用 PowerShell 来做同样的事情。
“ Select-AzureSubscription
” cmdlet 似乎不支持更改默认目录。' ' 也不Set-AzureKeyVaultAccessPolicy
支持一个参数来指示它应该在哪个目录中查找。