키 A로 암호화 된 비밀을 수신 중이고 키 B로 암호화 된 다른 곳으로 보내야합니다.Azure Key Vault에서 비밀을 번역 할 수 있습니까?
두 개의 키는 대칭 또는 비대칭 일 수 있습니다.하지만 금고 내부에서이를 수행하고 싶습니다. 1 등상) - (암호 해독을 피하고, 암호를 깨끗하게하고, 암호화합니다.)
Azure Key Vault에서 가능합니까? 그렇지 않은 경우 해결 방법은 무엇입니까?
감사합니다.
내가 알고있는 한, 현재 시점에서 현재 Key Vault API에서는 불가능합니다. 이 시점에서 Key Vault에 대해 생각하는 방식은 키, 비밀, 인증서 및 액세스 할 수있는 응용 프로그램과 사용자를 관리하고 액세스 할 수있는 맞춤형 서비스입니다 (위에 멋진 비트가있는 경우).
키 볼트 외부에서 해독하고 다시 암호화해야합니다.
당신이 Azure에 있다고해도 가능한 해결 방법은이 작업을 수행 할 Azure 함수를 만드는 것입니다. 적어도 변환 과정은 고립 된 함수 문맥 (Azure에서) 안에서 일어난다. Azure 함수를 사용하는 것의 장점은 최소한의 코드와 완전한 응용 프로그램없이이 작업을 수행 할 수 있다는 것입니다. 그러나 Function이 사용자에 의해서만 활용 될 수 있도록해야합니다.
가능한 워크 플로우가 될 수있다 : 키 볼트에없는
1) Key A 경우 업로드 할 수 있습니다.
2) Key B이 키 저장소에 없으면 업로드하십시오.
3) Key A, Key B 및 A(Secret)의 키 볼트 식별자에 대한 입력이있는 Azure 기능을 실행합니다. 변환을 수행 한 다음 기능에서 키 저장소 (또는 키 볼트에 액세스 할 수있는 경우 다른 키 저장소)에 B(Secret)을 저장할 수 있습니다.
또는 다른 암호화 된 암호를 출력 할 수도 있습니다.
C# 키 볼트 클라이언트 :
https://docs.microsoft.com/en-us/azure/key-vault/key-vault-use-from-web-application
참조 C#에서 푸른 함수와 키 볼트의 예 : http://www.rahulpnath.com/blog/azure-key-vault-from-azure-functions/
감사 요르단. 보안 관점에서 Azure 함수의 "격리"에 대한 언급이 있습니까? – Nik
이 경우 Azure에 함수 App을 만들면 격리가 제공됩니다. 그것은 기본적으로 당신을위한 응용 프로그램 컨테이너, 모든 코드 실행 내부에서 실행됩니다. SO : it.https : //stackoverflow.com/questions/44969082/azure-functions-static-isolation 또한 전용 App 서비스 계획을 사용하는 경우 : https://docs.microsoft.com/en-us/azure/app-service/azure-web-sites-web-hosting-plans-in-depth-overview – Jordan