La rotation Azure Storage sample code de la clé illustre l'utilisation de plusieurs secrets nommés de manière unique. Cependant, dans KeyVault, il est maintenant possible de créer plusieurs versions d'un seul secret. Je ne vois aucune raison pour laquelle la rotation des clés ne peut pas être obtenue en utilisant des versions et il semble à première vue que ce serait plus facile à gérer.Rotation de la clé Azure KeyVault
Quelqu'un peut-il donner des conseils sur la raison pour laquelle vous choisiriez plusieurs Secrets plutôt que des versions d'un seul Secret pour soutenir la rotation des clés? Et potentiellement toute orientation générale sur ce à quoi sont destinées les versions si ce n'est pas cela?
Merci!
Je ne suis pas un expert, mais en regardant l'API, il semble que chaque secret sans identificateur de version par défaut à la dernière version, et c'est l'approche prévue. Donc, la plupart du temps, il semble que les API (REST, .NET, etc.) ne construisent pas vraiment de modèles de code pour prendre en charge l'utilisation des versions comme vous le souhaitez. –
Par exemple, il semble que la méthode ResolverKeyAsync ne vous permette pas de fournir une valeur de version pour sélectionner différentes versions d'une clé. Peut-être que lorsque les API auront mûri pour cette nouvelle fonctionnalité, ce modèle aura plus de sens. Encore une fois, pas un expert, grain de sel, etc –
Merci @ kyle-hale. En réponse à votre point "[..] regardant l'API, il semble que chaque secret sans un identificateur de version par défaut à la dernière version" - correct. Mais je ne pense pas que cela compte (en fait, je pense que c'est souhaitable). Étant donné que chaque version de la clé peut être adressée uniquement, tant que la version est stockée, les données chiffrées avec une version précédente peuvent être déchiffrées et la dernière version utilisée pour le chiffrement –