部署 Azure Key Vault 的推荐方式
Recommended Way of Deploying Azure Key Vault
推荐的 Azure Key Vault 部署方式是什么:
- 每个环境一个 Key Vault,例如生产、测试等
- 全球使用一个 Key Vault。
如果我想使用 ARM 模板自动创建 Azure 资源,似乎第二种方法更可取。但是,将测试和生产机密存储在一起可能会导致错误发生,除非您对机密名称使用某种命名方案。
官方建议不跨环境共享 Key Vault。
Don't use prefixes on key vault secrets to place secrets for multiple apps into the same key vault or to place environmental secrets (for example, development versus production secrets) into the same vault. We recommend that different apps and development/production environments use separate key vaults to isolate app environments for the highest level of security.
我们通过 ARM 模板部署它们,并没有真正遇到麻烦。
部署 ARM 后可能需要一些 PowerShell(或其他)脚本来设置机密。
还有一件事要添加到这个答案中。我同意每个应用程序或进程都应该在单个区域中拥有自己的 Key Vault,并且在每个环境中拥有完全不同的 Key Vault。
最后,这实际上取决于您使用 Key Vault 的目的以及您对管理 Key Vault 的熟悉程度。是的,Key Vault is replicated to a secondary region by default; however, if you are using or planning to use Key Vault for VM Disk encryption it does not cross regions 因此,如果您的光盘将存储在多个区域,您将需要在每个区域都有一个单独的 Key Vault。
推荐的 Azure Key Vault 部署方式是什么:
- 每个环境一个 Key Vault,例如生产、测试等
- 全球使用一个 Key Vault。
如果我想使用 ARM 模板自动创建 Azure 资源,似乎第二种方法更可取。但是,将测试和生产机密存储在一起可能会导致错误发生,除非您对机密名称使用某种命名方案。
官方建议不跨环境共享 Key Vault。
Don't use prefixes on key vault secrets to place secrets for multiple apps into the same key vault or to place environmental secrets (for example, development versus production secrets) into the same vault. We recommend that different apps and development/production environments use separate key vaults to isolate app environments for the highest level of security.
我们通过 ARM 模板部署它们,并没有真正遇到麻烦。 部署 ARM 后可能需要一些 PowerShell(或其他)脚本来设置机密。
还有一件事要添加到这个答案中。我同意每个应用程序或进程都应该在单个区域中拥有自己的 Key Vault,并且在每个环境中拥有完全不同的 Key Vault。
最后,这实际上取决于您使用 Key Vault 的目的以及您对管理 Key Vault 的熟悉程度。是的,Key Vault is replicated to a secondary region by default; however, if you are using or planning to use Key Vault for VM Disk encryption it does not cross regions 因此,如果您的光盘将存储在多个区域,您将需要在每个区域都有一个单独的 Key Vault。