3
密鑰循環的Azure Storage sample code演示使用多個唯一命名的密鑰。但是,在KeyVault中現在可以創建單個Secret的多個版本。我沒有看到爲什麼使用Versions無法實現按鍵旋轉的原因,並且它看起來就像它更容易管理。Azure KeyVault密鑰旋轉
任何人都可以提供任何指導你爲什麼要選擇多個祕密在單個祕密的版本以支持按鍵旋轉?如果不是這樣的話,可能有關於版本的目標的一般指導?
謝謝!
A
回答
1
隨意使用單個祕密和多個版本進行密鑰輪換,具體取決於您使用的是哪個SDK。
對於我們基於Node.js的應用程序,我們的配置指向完整的KeyVault祕密URI。
一些祕密只指向祕密(沒有版本)的短URL,所以應用程序獲得「最新版本」。
需要輪換的其他機密將需要該版本的完整URL。例如,我們使用Azure Table Encryption;因此加密時表中的每一行都使用KeyVault中的密鑰包裝密鑰。密鑰包裝密鑰是一個完整的KeyVault版本化URL,因爲您需要該特定祕密來解密表數據。隨着時間的推移,不同的行將指向不同的密鑰版本。
對於一般場景,即將當前版本的密鑰旋轉到新密鑰,只需構建您的配置系統和連接邏輯,以一次支持2個密鑰 - 如果一個失敗,則使用另一個;或考慮基於時間的邏輯。
任何方法都可以,但考慮如果您隨着時間的推移使用版本而不是擴大其他祕密名稱,那麼您的故事將會變得多麼美好和「乾淨」。
+0
祕密的版本數量是否有限制? –
相關問題
- 1. 資源管理器模板中的Azure Keyvault密鑰
- 2. 檢索KeyVault密鑰時發生問題
- 3. Azure的旋轉存儲密鑰和更新ADF鏈接服務
- 4. Powershell - 轉換Azure Keyvault響應數據
- 5. 通過Azure PowerShell函數創建KeyVault密鑰時的行爲不一致
- 6. 在現有keyvault中創建KeyVault祕密
- 7. 我應該多久旋轉我的加密密鑰?我可以使用雲端KMS自動旋轉密鑰嗎?
- 8. Azure密鑰庫加密
- 9. Azure編碼密鑰
- 10. Azure KeyVault如何加載X509Certificate?
- 11. 總是使用Keyvault加密SQL Azure - 導出CMK證書
- 12. Azure表存儲客戶端加密而不使用KeyVault
- 13. Python Azure sdk:如何從keyvault中檢索祕密?
- 14. Azure API管理密鑰
- 15. Azure密鑰保險庫密鑰/祕密版本
- 16. Azure KeyVault GetKeyAsync返回RSAParameters而不是X509Certificate
- 17. 查看Azure中的Secret KeyVault的內容
- 18. Azure Add-AzureProvisioningConfig ssh密鑰或密鑰對上傳
- 19. 谷歌的密鑰管理系統:主要的旋轉
- 20. 旋轉密碼加密不加密
- 21. 在Azure Active Directory中籤署密鑰翻轉
- 22. Azure KeyVault - 來自Azure函數的太多連接
- 23. 從另一個Azure ActiveDirectory租戶中的應用訪問Azure KeyVault
- 24. Azure密鑰保管庫瞭解
- 25. Microsoft Azure平臺未顯示密鑰
- 26. Azure ACS:kubectl的多個SSH密鑰
- 27. Azure表存儲批行密鑰查找
- 28. 向Windows Azure添加SSH密鑰
- 29. 在azure密鑰庫上的回調
- 30. Windows Azure中的密鑰管理
我不是專家,但看着API,似乎沒有版本標識符的每個機密都默認爲最新版本,這就是預期的方法。所以大多數情況下,它看起來像那裏的API(REST,.NET等)並不是真正構建代碼模式來支持你想要的版本。 –
例如,它看起來像ResolverKeyAsync方法不允許您提供版本值來選擇不同版本的密鑰。也許當APIs已經成熟以適應這種新功能時,這種模式會更有意義。再次,不是專家,鹽粒等。 –
謝謝@ kyle-hale。在回答你的觀點「[..]看API時,似乎沒有版本標識符的每個機密都默認爲最新版本」 - 正確。但我認爲這不重要(實際上我認爲這是可取的)。由於密鑰的每個版本都可以唯一地尋址,所以只要存儲版本,就可以解密使用先前版本加密的數據並將最新版本用於加密 –