3
密钥循环的Azure Storage sample code演示使用多个唯一命名的密钥。但是,在KeyVault中现在可以创建单个Secret的多个版本。我没有看到为什么使用Versions无法实现按键旋转的原因,并且它看起来就像它更容易管理。Azure KeyVault密钥旋转
任何人都可以提供任何指导你为什么要选择多个秘密在单个秘密的版本以支持按键旋转?如果不是这样的话,可能有关于版本的目标的一般指导?
谢谢!
A
回答
1
随意使用单个秘密和多个版本进行密钥轮换,具体取决于您使用的是哪个SDK。
对于我们基于Node.js的应用程序,我们的配置指向完整的KeyVault秘密URI。
一些秘密只指向秘密(没有版本)的短URL,所以应用程序获得“最新版本”。
需要轮换的其他机密将需要该版本的完整URL。例如,我们使用Azure Table Encryption;因此加密时表中的每一行都使用KeyVault中的密钥包装密钥。密钥包装密钥是一个完整的KeyVault版本化URL,因为您需要该特定秘密来解密表数据。随着时间的推移,不同的行将指向不同的密钥版本。
对于一般场景,即将当前版本的密钥旋转到新密钥,只需构建您的配置系统和连接逻辑,以一次支持2个密钥 - 如果一个失败,则使用另一个;或考虑基于时间的逻辑。
任何方法都可以,但考虑如果您随着时间的推移使用版本而不是扩大其他秘密名称,那么您的故事将会变得多么美好和“干净”。
+0
秘密的版本数量是否有限制? –
相关问题
- 1. 资源管理器模板中的Azure Keyvault密钥
- 2. 检索KeyVault密钥时发生问题
- 3. Azure的旋转存储密钥和更新ADF链接服务
- 4. Powershell - 转换Azure Keyvault响应数据
- 5. 通过Azure PowerShell函数创建KeyVault密钥时的行为不一致
- 6. 在现有keyvault中创建KeyVault秘密
- 7. 我应该多久旋转我的加密密钥?我可以使用云端KMS自动旋转密钥吗?
- 8. Azure密钥库加密
- 9. Azure编码密钥
- 10. Azure KeyVault如何加载X509Certificate?
- 11. 总是使用Keyvault加密SQL Azure - 导出CMK证书
- 12. Azure表存储客户端加密而不使用KeyVault
- 13. Python Azure sdk:如何从keyvault中检索秘密?
- 14. Azure API管理密钥
- 15. Azure密钥保险库密钥/秘密版本
- 16. Azure KeyVault GetKeyAsync返回RSAParameters而不是X509Certificate
- 17. 查看Azure中的Secret KeyVault的内容
- 18. Azure Add-AzureProvisioningConfig ssh密钥或密钥对上传
- 19. 谷歌的密钥管理系统:主要的旋转
- 20. 旋转密码加密不加密
- 21. 在Azure Active Directory中签署密钥翻转
- 22. Azure KeyVault - 来自Azure函数的太多连接
- 23. 从另一个Azure ActiveDirectory租户中的应用访问Azure KeyVault
- 24. Azure密钥保管库了解
- 25. Microsoft Azure平台未显示密钥
- 26. Azure ACS:kubectl的多个SSH密钥
- 27. Azure表存储批行密钥查找
- 28. 向Windows Azure添加SSH密钥
- 29. 在azure密钥库上的回调
- 30. Windows Azure中的密钥管理
我不是专家,但看着API,似乎没有版本标识符的每个机密都默认为最新版本,这就是预期的方法。所以大多数情况下,它看起来像那里的API(REST,.NET等)并不是真正构建代码模式来支持你想要的版本。 –
例如,它看起来像ResolverKeyAsync方法不允许您提供版本值来选择不同版本的密钥。也许当APIs已经成熟以适应这种新功能时,这种模式会更有意义。再次,不是专家,盐粒等。 –
谢谢@ kyle-hale。在回答你的观点“[..]看API时,似乎没有版本标识符的每个机密都默认为最新版本” - 正确。但我认为这不重要(实际上我认为这是可取的)。由于密钥的每个版本都可以唯一地寻址,所以只要存储版本,就可以解密使用先前版本加密的数据并将最新版本用于加密 –