Quick Answer
Azure Key Vault är Microsofts molntjänst för säker hantering av hemligheter, krypteringsnycklar och certifikat. Tjänsten samlar känsliga uppgifter på en central, åtkomstkontrollerad plats där nycklarna kan skyddas av HSM-moduler validerade enligt FIPS 140-2 eller FIPS 140-3. Key Vault är ett av grundverktygen för att uppfylla krav på kryptering, separation av plikter och spårbarhet i en Azure-miljö. Definition och omfattning Key Vault tillhandahåller tre typer av objekt. Secrets är lösenord, anslutningssträngar, API-nycklar och andra textbaserade hemligheter. Keys är kryptografiska nycklar för signering, verifiering och kryptering, exempelvis RSA- och EC-nycklar. Certificates är x.509-certifikat som kan skapas, importeras och förnyas automatiskt mot integrerade certifikatutfärdare. Tjänsten finns i två varianter. Standard Key Vault använder en mjukvarubaserad skyddsmodell, medan Managed HSM ger ett dedikerat HSM-kluster med single-tenant-isolering för organisationer som behöver starkare nyckelisolering, till exempel inom finansiell sektor eller offentlig förvaltning. För mer om plattformens uppbyggnad, se vår översikt om Azure .
Key Topics Covered
Azure Key Vault är Microsofts molntjänst för säker hantering av hemligheter, krypteringsnycklar och certifikat. Tjänsten samlar känsliga uppgifter på en central, åtkomstkontrollerad plats där nycklarna kan skyddas av HSM-moduler validerade enligt FIPS 140-2 eller FIPS 140-3. Key Vault är ett av grundverktygen för att uppfylla krav på kryptering, separation av plikter och spårbarhet i en Azure-miljö.
Definition och omfattning
Key Vault tillhandahåller tre typer av objekt. Secrets är lösenord, anslutningssträngar, API-nycklar och andra textbaserade hemligheter. Keys är kryptografiska nycklar för signering, verifiering och kryptering, exempelvis RSA- och EC-nycklar. Certificates är x.509-certifikat som kan skapas, importeras och förnyas automatiskt mot integrerade certifikatutfärdare.
Tjänsten finns i två varianter. Standard Key Vault använder en mjukvarubaserad skyddsmodell, medan Managed HSM ger ett dedikerat HSM-kluster med single-tenant-isolering för organisationer som behöver starkare nyckelisolering, till exempel inom finansiell sektor eller offentlig förvaltning. För mer om plattformens uppbyggnad, se vår översikt om Azure.
Centrala funktioner och skyddsmekanismer
- RBAC och åtkomstpolicyer. Åtkomst styrs antingen via Azure RBAC eller äldre vault access policies. RBAC rekommenderas för enhetlig behörighetsmodell över Azure-resurser.
- Managed identities. Applikationer i App Service, Functions, AKS och virtuella datorer kan hämta hemligheter utan att själva lagra inloggningsuppgifter.
- Soft delete och purge protection. Raderade objekt behålls i en återställningsperiod och kan skyddas mot permanent borttagning, vilket motverkar både misstag och illvilliga insiders.
- Loggning till Azure Monitor. Alla läs- och skrivoperationer kan skickas till Log Analytics eller en SIEM för revision.
- Privat åtkomst. Private Endpoint gör att trafiken stannar inom det virtuella nätverket och aldrig passerar publikt internet.
- Automatisk rotation. Hemligheter och certifikat kan roteras enligt schema eller via Event Grid-utlösta arbetsflöden.
Behöver ni hjälp med cloud?
Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.
Vanliga användningsmönster och fallgropar
Typiska mönster är att lagra databasanslutningar, signeringsnycklar för JWT, krypteringsnycklar för Storage Account och TLS-certifikat för Application Gateway eller Azure Front Door. Många team kombinerar Key Vault med Azure Policy för att kräva att alla nya lagringskonton använder kundhanterade nycklar (CMK). Andra vanliga mönster är att signera artefakter i en CI/CD-pipeline via signerings-API och att skydda lagringskonton, SQL-databaser och Service Bus med kundens egna nyckelringar.
De vanligaste fallgroparna är att ge för bred åtkomst via Contributor-rollen, att stänga av soft delete för att slippa namnkonflikter, samt att glömma planera för regional redundans. Key Vault är regional, och katastrofåterställning kräver replikering eller backup av nycklar till en sekundär region. Ett annat vanligt misstag är att låta applikationer cacha hemligheter länge utan invalidering, vilket gör att roterade värden inte slår igenom. Jämfört med AWS Secrets Manager och AWS KMS tillhandahåller Key Vault båda funktionerna i samma tjänst, vilket förenklar arkitekturen men gör det viktigare att begränsa rollerna noggrant. Notera att kostnaden styrs av antalet anrop, inte av lagringsvolym, vilket gör volymintensiva mönster som per-request-hemlighetshämtning relativt dyra om de inte cachas korrekt.
Så hjälper Opsio
Opsio designar och driver Key Vault-implementationer som en del av våra Managed Azure Services. Vi etablerar rollmodell, rotationsrutiner, övervakning och privata nätverksvägar enligt Microsofts säkerhetsbaslinje, och kopplar logghändelser till befintlig SOC eller SIEM. Kontakta oss via vårt kontaktformulär för en arkitekturgenomgång.
Vanliga frågor
Vad är skillnaden mellan Standard Key Vault och Managed HSM?
Standard använder en delad, mjukvarubaserad skyddsmodell medan Managed HSM ger ett dedikerat HSM-kluster i single-tenant-läge. Managed HSM passar regulatoriska krav där nyckelmaterialet aldrig får delas med andra kunder, till exempel inom finanssektor och försvarsindustri.
Hur ofta bör hemligheter roteras?
Det beror på risk och regelverk, men en bra utgångspunkt är 90 dagar för applikationshemligheter och 12 månader för signeringsnycklar. Certifikat bör förnyas i god tid innan utgång, gärna 30 dagar i förväg.
Kan jag använda Key Vault från lokala system utanför Azure?
Ja, via REST-API och Azure AD-autentisering. För hybridscenarier kan man använda tjänstprinciper eller federerad identitet. Trafiken kan begränsas till specifika IP-områden eller Private Link-anslutningar.
Räknas Key Vault in i Azures SLA?
Ja, Key Vault har en separat servicenivåförbindelse från Microsoft. För beräkning av total tillgänglighet, se vår guide om hur du beräknar SLA i Azure.
Hjälper Key Vault med GDPR och NIS2?
Tjänsten är ett tekniskt kontrollverktyg som stödjer kryptering, åtkomstkontroll och loggning, vilket är grundläggande krav i båda regelverken. Den ersätter dock inte processer, riskanalys eller dataskyddsrutiner som krävs för full efterlevnad.
Written By
Country Manager, Sweden at Opsio
Johan leads Opsio's Sweden operations, driving AI adoption, DevOps transformation, security strategy, and cloud solutioning for Nordic enterprises. With 12+ years in enterprise cloud infrastructure, he has delivered 200+ projects across AWS, Azure, and GCP — specialising in Well-Architected reviews, landing zone design, and multi-cloud strategy.
Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.