【发布时间】:2018-04-30 07:30:59
【问题描述】:
在 Azure 门户 > KeyVaults > Secrets 中,似乎有两组 Secrets:“非托管”和“托管”。
添加新 Secret 时,它似乎直接进入“非托管”部分(没有选项可供选择)。
- “非托管”和“托管”机密之间有什么区别?
- 为什么每次我创建一个秘密都是“不受管理的”?
- 如何创建“托管”机密?
【问题讨论】:
标签: azure azure-keyvault azureportal
【发布时间】:2018-04-30 07:30:59
【问题描述】:
“非托管”和“托管”机密有什么区别?
“托管”机密是支持证书或存储帐户密钥的机密。它不能直接被改变 - 例如,如果你想删除它,那么你应该删除相应的证书或存储帐户密钥。 “非托管”机密是未托管的机密 - 从 AKV 的角度来看,它只是一个数据块。
为什么每次我创建一个秘密都是“不受管理的”?
在 Azure 门户中,AKV 仅支持创建密钥、机密和证书(尚不支持存储帐户密钥)。如果您创建证书,则还将创建托管机密。否则,如果您创建一个密钥(即使您选择“证书”作为上传选项),那么它将是一个非托管密钥。
如何创建“托管”机密?
不直接。仅通过创建证书或存储帐户密钥。
更多背景:
Azure Key Vault (AKV) 服务最初只支持两种可以存储在保管库中的对象:密钥和机密。
后来,AKV 引入了第三种对象:certificates。最初,客户将他们的证书作为原始机密存储在他们的保险库中(从 AKV 的角度来看,只是数据块)。有了这个新的证书功能,客户可以将证书存储为一流的 AKV 对象。现在,AKV 可以管理证书的生命周期(通过自动更新或自动发送电子邮件提醒客户在接近到期时手动更新)。在后台,当在 Key Vault 中创建一等证书时,该证书由托管密钥和托管机密支持。
同样,AKV 还引入了第 4 种对象:storage account keys。 AKV 类似地管理存储帐户密钥的生命周期,并由托管密钥支持。
【讨论】:
-
如何删除托管机密?通过删除证书,托管机密似乎仍然存在。