具有密钥轮换的 Azure KeyVault

Question

我们的应用程序直到现在才使用 keyvault。我们正在考虑使用Azure KeyVault 来加强密钥、机密和证书的安全性。我阅读了有关此Link 的微软文档。尚不清楚Azure KeyVault 是否与Azure AD 以外的身份提供者一起使用。因为我们没有使用 Azure AD，但我们使用的是 Azure 应用服务和存储帐户。我们还想实现key rotation 1 小时到期。

我的问题是

1. 应向 Azure AD 注册 Web 应用以使用 KeyVault 吗？

2. 在创建azure keyvault 时，我没有看到任何关于密钥轮换的选项。我找错地方了吗？

3. 任何示例代码都会有所帮助。

Answer 1

在 Azure 订阅中创建密钥保管库时，它会自动与订阅的 Azure Active Directory 租户关联。所有调用者（用户和应用程序）必须在此租户中注册才能访问此密钥保管库。这意味着要访问存储在密钥保管库中的密钥和机密，必须将请求的应用程序添加到 Azure 活动目录中，并且它还需要具有读取 azure 密钥保管库中的密钥和机密的权限。

以下相关教程供大家参考：

• Get started with Azure Key Vault
• How to set up Key Vault with end to end key rotation and auditing - 这将介绍如何使用 Azure 设置密钥轮换和审核 密钥保管库。
• Azure Key Vault Developer's Guide
• Use Azure Key Vault from a Web Application