Azure Key Vault（1）介绍

Azure Key Vault是一个可以安全的管理机密Secret（密码，令牌等），密钥Key和证书Certificate的服务。

下面来说一下我们为什么要使用Key Vault，它有哪些优点:

• 集中的管理‘机密’数据

Note：微软的官方文档翻译为机密，但我中觉得机密这个词更像是一个程度的名词。 我们可以将它说的‘机密’理解为类似于密码的这类数据，只不过Key Vault可以存的不只有密码，还可以存证书，令牌等。

Key Vault 可以大大减少机密意外泄露的可能性。 有了 Key Vault，开发人员就再也不需要将安全信息存储在应用程序中。

无需将安全信息存储在应用程序中，因此也无需将此信息作为代码的一部分。 例如，如果Function App需要连接到D365的服务， 则可将连接字符串安全地存储在 Key Vault 中，而不是存储在应用代码中。

程序可以使用 URI 安全的访问所需的信息。 这些 URI 允许程序检索特定版本的机密。 这样就不需编写自定义代码来保护存储在 Key Vault 中的任何机密信息。

• 安全的存储机密和密钥

访问密钥保管库需要身份验证和授权，否则调用方（用户或应用程序）无法访问。 身份验证可以用来确定调用方的身份，而授权则决定了调用方能够执行哪些操作。

身份验证通过 Azure AD来完成。 授权可以通过 Azure 基于角色的访问控制 (Azure RBAC) 或 Key Vault 的访问策略来完成。 Azure RBAC 可用于管理保管库和访问存储在该保管库中的数据，而密钥保管库访问策略仅能在尝试访问存储在保管库中的数据时使用。

Key Vault 还可以在高级层中由硬件安全模块 (HSM) 提供硬件保护。 受软件保护的密钥、密码和证书由 Azure 使用行业标准算法和密钥长度进行保护。 如果需要提高可靠性，可以在 HSM 中导入或生成永不超出 HSM 边界的密钥。 

最后需要指出的是，根据 Azure Key Vault 的设计，Microsoft 无法查看或提取数据（这是微软自己说的）。

• 监控使用情况

创建Key Vault 以后，我们可能会需要监视用户对密钥和机密数据进行访问的方式和时间。 这时可以通过启用保管库的日志记录来监视活动。

可以控制自己的日志，也可以通过限制访问权限来确保日志的安全，还可以删除不再需要的日志。

• 简化机密的管理

• 无需了解硬件安全模块的内部知识。
• 在某个区域内复制 Key Vault 的内容，并将其复制到次要区域。 数据复制可确保高可用性，不需管理员操作即可触发故障转移。
• 可以通过门户、Azure CLI 和 PowerShell 提供标准的 Azure 管理选项来进行管理。
• 针对从公共 CA 购买的证书自动执行某些任务，如注册和续订。

另外，还可以通过 Azure Key Vault 来隔离应用程序机密。

程序只能访问其有权访问的保管库，并且只能执行特定的操作。 可以为每个程序创建一个 Azure Key Vault，仅限特定的程序和开发人员团队访问存储在 Key Vault 中的机密。

• 与Azure的其他服务进行集成

• Azure encryption
• Azure App Service
• SQL服务器和Azure SQL数据库中的加密功能