私はAzureクラウドサービスプラットフォームが初めてです。今日、私はazureによって提供されるKey-Vaultストレージサービスに出くわしました。これには、アプリケーションレベルのキーと設定を格納する機能があります。データ保護が強化され、安全で安全です。Azure Key Vaultストレージの目的
しかし、私が明らかになっていないことは、Key-Vaultに接続することです。アプリケーションの設定に保存されているKey-Vaultの成果物が必要です。
誰かがキーの値をeves-dropすると、自分のKey-Vaultに接続せずに自分のキーをすべて読み取ることができます。
私のローカル鍵ボルト設定を暗号化する必要がある場合は、私もVaultに格納されている鍵を暗号化できますか。 Key-Vaultの目的は何ですか?
基本的にあなたが探しているのは、紺碧の金庫に接続する方法です。アプリケーションがキーボルトを使用するには、Azure Active Directory(AD)のトークンを使用して認証する必要があります。
Azure ADを使用する場合、2つの方法があります。私は2のアプローチで行くことを示唆しているあなたの条件のためにClientIdを、証明書
を使用してClientIdの秘密
この記事を参照してください。 Authenticating a client application with Azure Key Vault
一般的なパスワードとは異なり、セキュアなストアに格納できるクライアント証明書で認証できることに加えて、Keyvaultは暗号化のオラクルとして機能するという点もあります。それはあなたの鍵を格納し、はそれらを解放することはありません。暗号操作(暗号化、復号化など)を実行する場合は、データをKeyvaultに送信するのではなく、そのデータをKeyvaultに送信します。これにより、たとえ攻撃者(または管理者)がインフラストラクチャ全体に一時的にアクセスしても、限られた時間だけデータにアクセスすることができ、実際の鍵を得ることはできません。もう1つの利点は、すべてのアクセスを適切に監査できることです。