Azure密钥库访问权限和密钥安全性
我正在开发一个将文件上传到Azure存储的.NET应用程序。我正在利用https://azure.microsoft.com/en-us/documentation/articles/storage-encrypt-decrypt-blobs-key-vault/教程中所做的客户端加密
应用程序工作,即,我可以成功地上传一个加密的blob到一个选定的存储帐户和容器。
但是,我对RSA密钥的安全性有些担心。如果客户端应用程序从密钥库中获取要在BlobEncryptionPolicy中使用的密钥,那么该密钥可能会被泄露?应用程序真正需要的唯一东西是RSA对的公钥,私钥应该保留在服务器上(解密仅由受信任的web应用程序进行)。
另一个问题是,从app.config获取AAD集成信息是微不足道的。一个人如何解决这个问题呢?
(注:上传app将运行的工作站不一定是可信的)
共有1个答案
在https://Azure.microsoft.com/en-us/documentation/articles/storage-encrypt-decrypt-blobs-key-vault/上对Azure存储和密钥库演练文档的一些额外阅读提供了答案:
“存储客户端本身永远无法访问KEK。”
KEK是“密钥加密密钥”,它对用于加密实际BLOB的实际一次性使用对称加密密钥进行加密。
-
是否有一种方法可以使用Delphi访问Azure密钥库?我可以使用柏林的data.cloud.azureapi单元访问数据库和blob存储,但想从密钥库中获取数据库连接字符串,但似乎找不到任何用于此操作的代码。
-
我在Powershell中编写了一个程序,该程序在Azure Functions应用程序中按计划运行。为了避免硬编码的凭据,我创建了一个Azure密钥库来存储秘密。我在Azure函数中创建了一个托管标识,在Azure Key Vault中创建了秘密,然后在Azure函数中创建了应用程序设置,并使用指向Azure Key Vault中秘密的URL。程序引用应用程序机密(APPSETTING),并按照
-
我得到的错误是“Access Denied”,这(我认为)意味着id、secret和Vault的url没有问题。但是,我不知道我可以做什么来修复这个错误,也许在Azure门户中有一个设置阻止我读取一个秘密?
-
我正在python中构建由事件网格事件触发的Azure函数,它应该能够从Kay Vault收集秘密。 我将系统分配的托管标识添加到我的功能应用程序中,然后我可以在密钥库访问策略中选择我的应用程序。我授予它如下所示的权限: (我尝试了不同的组合在这一个)
-
资源组 集成帐户 密钥库 Active Directory 使用命令set-azurermkeyvaultaccesspolicy向我的用户授予所有密钥和机密的权限 每当我转到集成帐户>Certificates>Add>choose[Certificate Type]=“Private”时,组合框资源组和密钥库会自动填充,但密钥名称会抛出以下错误: 与密钥库[MY_KEY_VAULT]通信失败。请
-
我们希望利用Azure Key vault将我们的敏感密钥存储在Azure Key vault中,并利用存储的敏感密钥在发送到服务之前加密我们的字符串/纯文本数据。服务将再次与Azure Key vault交互,检索敏感密钥,用于解密客户端发送的加密字符串。任何一个可以提供一些关于如何使用azure密钥库以上的场景。