Azure Key Vault - 多个环境,每个环境都需要一个 Azure Key Vault 吗?
Azure Key Vault - multiple environments, do I need a Azure Key Vault for each environment?
我正在做一些初步研究,但无法为我的问题找到明确的答案。计划是拥有多个环境(即 Dev、Prod 和 QA),我是否需要为每个环境拥有一个新的 Azure Key Vaults 实例,或者我是否只能在它们之间共享数据?
多个 resources/entities 可以访问一个 Key Vault 实例 - 前提是它们都在同一位置(数据中心)。
您可以选择将密钥、机密和证书分段,方法是将它们放在不同的密钥保管库中或使用不同的访问权限 methods/identities,但这不是必需的。
您唯一需要 单独的 Key Vault 实例是当 resources/entities 访问它时在另一个位置(数据 centre/region)。
值得注意的是,您不必太担心使用 Key Vault 为资源配置灾难恢复,因为 Microsoft 提供的 SLA 出奇地好:https://docs.microsoft.com/en-gb/azure/key-vault/key-vault-disaster-recovery-guidance。需要注意的是,如果您正在 运行 宁 IaaS/PaaS 个实例并希望 运行 将自己的 DR 故障转移到另一个数据中心,此时您需要手动将主 Key Vault 中的 keys/secrets/certificates 迁移到另一个实例(并相应地重新指向您的 VM)
我宁愿建议为不同的环境使用单独的 Key Vault 实例。您可以错误地避免 "mixing" 跨环境的秘密,并且您有明确的分离。
微软官方也推荐这种方法:
Our recommendation is to use a vault per application per environment (Development, Pre-Production and Production).
你可以在官方阅读更多documentation
我正在做一些初步研究,但无法为我的问题找到明确的答案。计划是拥有多个环境(即 Dev、Prod 和 QA),我是否需要为每个环境拥有一个新的 Azure Key Vaults 实例,或者我是否只能在它们之间共享数据?
多个 resources/entities 可以访问一个 Key Vault 实例 - 前提是它们都在同一位置(数据中心)。
您可以选择将密钥、机密和证书分段,方法是将它们放在不同的密钥保管库中或使用不同的访问权限 methods/identities,但这不是必需的。
您唯一需要 单独的 Key Vault 实例是当 resources/entities 访问它时在另一个位置(数据 centre/region)。
值得注意的是,您不必太担心使用 Key Vault 为资源配置灾难恢复,因为 Microsoft 提供的 SLA 出奇地好:https://docs.microsoft.com/en-gb/azure/key-vault/key-vault-disaster-recovery-guidance。需要注意的是,如果您正在 运行 宁 IaaS/PaaS 个实例并希望 运行 将自己的 DR 故障转移到另一个数据中心,此时您需要手动将主 Key Vault 中的 keys/secrets/certificates 迁移到另一个实例(并相应地重新指向您的 VM)
我宁愿建议为不同的环境使用单独的 Key Vault 实例。您可以错误地避免 "mixing" 跨环境的秘密,并且您有明确的分离。 微软官方也推荐这种方法:
Our recommendation is to use a vault per application per environment (Development, Pre-Production and Production).
你可以在官方阅读更多documentation