Azure Key Vault是一個用來存放加密後秘鑰和數據的數字型檔。
基本介紹
- 外文名:Azure Key Vault
主要作用,使用方法,
主要作用
Azure Key Vault是一個用來存放加密後秘鑰和數據的數字型檔。秘鑰可以通過統一資源標識符(URI)進行調用,Azure Key Vault可以用來對基於雲的套用進行簽名和加密。這意味著秘鑰可以在不被從數字型檔刪除的前提下進行引用。
使用方法
微軟Azure Key Vault的使用相當的簡單,但是秘鑰庫必須得通過PowerShell進行設定。你需要做的第一件事情是通過PowerShell登錄到你的Azure Key Vault賬號,然後連線你的Azure Key Vault訂閱。可以通過以下命令來進行相關操作:
Add-AzureAccount
Get-AzureSubscription
Select-AzureSubscription –SubscriptionName <你的訂閱名稱>
一旦連線到訂閱之後,使用Azure Resource Manager來創建一個資源組和秘鑰庫。可以通過以下命令來進行相關操作:
Switch-AzureMode AzureResourceManager
New-AzureResourceGroup –Name '<你的資源組名稱>' –Location '<你的地區>'
New-AzureKeyVault –VaultName '<你的秘鑰名稱>' –ResourceGroupName '<你的資源組名稱>' –Location <你的地區>
請注意,在這個Azure Key Vault命令裡面,秘鑰庫指的是一個已命名的Azure Key Vault資源,它必須在資源組中被創建,Azure Key Vault資源組也是一個已命名的資源。
在Azure Key Vault中存儲什麼呢
微軟Azure Key Vault管理員並不受限於使用一個單一的秘鑰,他們可以上傳或者創建多個秘鑰。另外他們不限於不僅可以在Azure Key Vault秘鑰庫中存儲秘鑰,也可以存儲秘密信息。
在Azure Key Vault中創建和使用秘鑰
要在Azure Key Vault中創建和使用秘鑰,你可以通過使用PowerShell來產生秘鑰,如果你已經有PFX格式的秘鑰的話你也可以上傳這個秘鑰來使用Azure Key Vault。一旦秘鑰被創建或者上傳,Azure Key Vault會被通過URI進行引用。
用來添加秘鑰的PowerShell cmdlet是Add-AzureKeyVaultKey。因此,你可以通過以下一行代碼來創建Azure Key Vault秘鑰:
$Key = Add-AzureKeyVaultKey –VaultName '<你的秘鑰庫名稱>' –Name '<你的秘鑰名稱>' –Destination 'Software'
在前面命令中的Destination參數控制了使用的秘鑰是一個軟體保護的Azure Key Vault秘鑰還是硬體安全模組(HSM)保護的秘鑰。如果你傾向於使用HSM保護的秘鑰,那么Destination參數應該設定為HSM。
如果你傾向於導入一個存在的Azure Key Vault秘鑰,你會需要使用下面兩行的代碼。第一行代碼將Azure Key Vault秘鑰的密碼轉換成一個安全的字元串;第二行代碼指定了Azure Key Vault秘鑰檔案名稱然後將這個秘鑰導入秘鑰庫中。需要的兩行代碼是這樣的:
$SecureFXPwd = ConvertTo-SecureString –String '<秘鑰的密碼>' –AsPlainText –Force
$Key = Add-AzureKeyVaultKey –VaultName '<你的庫名>' –Name '<你想要秘鑰顯示的名字>' –KeyFilePath '<你想要上傳的秘鑰的路徑>' –KeyFilePassword $SecureFXPwd
一旦Azure Key Vault秘鑰被創建或者上傳,這個Azure Key Vault秘鑰會被URI引用。記錄這個URI最簡單的方式是在它被創建的時候記錄下來,但URI也可以以後獲取。
以上的命令創建了一個變數叫做$Key,通過-- $key.key.kid --獲取秘鑰的URI前提是需要這個變數還是有效的。說了這么多,如果你需要在會話結束後或創建額外的秘鑰後獲取秘鑰的URI的話,你需要使用其他不同的方法。
