Azure keyvault Blob存储中存储秘密的缺点

我的当前客户的秘密存储在Blob存储中，我们建议他们迁移到KeyVault。我可以知道与Blob相比，将秘密存储到KeyVault有什么好处吗

---

当我阅读文档时，KeyVault使用HSM来保护密钥和机密，但Blob也使用同样安全的加密。那么其他的优势是什么呢

总的来说，它们看起来非常相似，但我认为两者之间最重要的区别是授权模型

对存储帐户的访问由两个可用连接字符串/密钥之一完成。对密钥库的访问可以直接分配给用户或组（来自AAD），对密钥库内资源的访问可以配置为更细粒度。其次，很容易限制azure中可能从KeyVault检索数据或不从KeyVault检索数据的资源类型，从而减少攻击服务

存储帐户确实有AAD集成，目前正在预览中，但我收集的信息是，它主要关注Azure文件共享功能（）

另一个很好的区别显然是在使用KeyVault时已经提供的集成（即直接从KeyVault检索Azure DevOps机密或自动检索VM的证书）

---

仅供参考，我绝对不是钥匙库专家，但那只是我的2美分：）

非常感谢。请详细说明这一点：“接下来，很容易限制azure中可能从密钥库检索数据或可能不从密钥库检索数据的资源类型，从而减少攻击服务。”？由于我不知道您在密钥库中存储的机密类型，我不确定什么对您有用，但是，如果您查看Azure门户中的“访问策略”部分（这也是您向用户分配权限的地方），您实际上必须为某些类型的操作启用对KeyVault的访问（即Azure资源管理器或VM部署是否可以访问它）。攻击服务还受到用户权限结构粒度的很大限制。我建议为秘密的不同用途制定用户/服务原则，保持其干净和清晰