我当前的客户有存储在Blob存储中的秘密,我们希望建议他们迁移到KeyVault。我想知道与Blob相比,KeyVault的好处或存储秘密是什么?
当我阅读文档时,KeyVault使用HSM来保护密钥和密钥,但Blob也使用也是安全的加密。那么其他优势是什么?
我会说,一般来说它们看起来非常相似,但我要说两者之间最重要的区别就是授权模型。
存储帐户的访问权限由两个可用的连接字符串/键之一完成。可以直接向用户或组(来自AAD)分配对KeyVault的访问,并且可以更精细地配置对Key Vault中的资源的访问。接下来,很容易从azure中限制资源类型,这可能会也可能不会从KeyVault检索数据,从而减少了攻击服务。
存储帐户目前正在预览AAD集成,但我收集的是主要关注Azure文件共享功能(https://docs.microsoft.com/en-us/azure/storage/files/storage-files-active-directory-overview)。
另一个很好的区别是使用KeyVault时已经可用的集成(即直接从KeyVault检索Azure DevOps机密或自动检索VM的证书)
仅供参考,我绝不是KeyVault专家,但这只是我的2美分:)