تكوين التدوير التلقائي لمفتاح التشفير في Azure Key Vault

نظرة عامة

يسمح التدوير الآلي لمفاتيح التشفير في Azure Key Vault للمستخدمين بتكوين Azure Key Vault لإنشاء إصدار مفتاح جديد تلقائياً بتردد محدد. لتكوين التدوير، يمكنك استخدام نهج تدوير المفتاح، والذي يمكن تعريفه على كل مفتاح فردي.

تتمثل توصيتنا في تدوير مفاتيح التشفير كل عامين على الأقل لتلبية أفضل ممارسات التشفير.

لمزيد من المعلومات حول كيفية إصدار الكائنات في Key Vault، راجع Key Vault الكائنات والمعرفات وتعيين الإصدار.

التكامل مع خدمات Azure

تتيح هذه الميزة الاستدارة الصفرية اللمسية الشاملة للتشفير في وضع السكون لخدمات Azure مع المفاتيح المُدارة بواسطة العميل (CMK) المخزنة في Azure Key Vault. يرجى الرجوع إلى وثائق خدمة Azure المحددة لمعرفة ما إذا كانت الخدمة تغطي التدوير الشامل.

لمزيد من المعلومات حول تشفير البيانات في Azure، راجع:

الأسعار

هناك تكلفة إضافية لكل دورة مفتاح مجدولة. لمزيدٍ من المعلومات، راجع صفحة أسعار Azure Key Vault

الأذونات المطلوبة

تتطلب ميزة تدوير المفاتيح في Key Vault أذونات إدارة المفاتيح. يمكنك تعيين دور "Key Vault Crypto Officer" لإدارة نهج التناوب عند الطلب.

لمزيد من المعلومات حول كيفية استخدام نموذج إذن Azure Key Vault RBAC وتعيين أدوار Azure، راجع: استخدام Azure RBAC للتحكم في الوصول إلى المفاتيح والشهادات والأسرار

ملاحظة

إذا كنت تستخدم نموذج أذونات نهج الوصول، يجب عليك تعيين أذونات المفاتيح "تدوير" و"تعيين نهج التدوير" و"الحصول على نهج التناوب" لإدارة نهج التدوير على المفاتيح.

نهج تدوير المفاتيح

تسمح نهج تدوير المفاتيح للمستخدمين بتكوين التدوير وإشعارات شبكة الأحداث بالقرب من إشعار انتهاء الصلاحية.

إعدادات نهج تدوير المفاتيح:

  • وقت انتهاء الصلاحية: الفاصل الزمني لانتهاء صلاحية المفتاح. يتم استخدامه لتعيين تاريخ انتهاء الصلاحية على المفتاح الذي تم تدويره حديثاً. لا يؤثر على المفتاح الحالي.
  • ممكَّن/معطل: وضع علامة لتمكين أو تعطيل التدوير للمفتاح
  • أنواع التدوير:
    • التجديد تلقائياً في وقت معين بعد الإنشاء (إعداد افتراضي)
    • التجديد تلقائياً في وقت معين قبل انتهاء الصلاحية. يتطلب تعيين "وقت انتهاء الصلاحية" على نهج التدوير و"تاريخ انتهاء الصلاحية" المعين على المفتاح.
  • وقت الدوران: فاصل دوران المفتاح، الحد الأدنى للقيمة هو سبعة أيام من الإنشاء وسبعة أيام من وقت انتهاء الصلاحية
  • وقت الإخطار: مفتاح قرب فاصل زمني لحدث انتهاء الصلاحية لخطوط شبكة الحدث. يتطلب تعيين "وقت انتهاء الصلاحية" على نهج التدوير و"تاريخ انتهاء الصلاحية" المعين على المفتاح.

هام

يُنشئ تدوير المفتاح إصداراً رئيسياً جديداً لمفتاح موجود مع مادة رئيسية جديدة. يجب أن تستخدم الخدمات الهدف عنوان uri للمفتاح بدون إصدار للتحديث تلقائيا إلى أحدث إصدار من المفتاح. تأكد من أن حل تشفير البيانات الخاص بك يخزن مفتاح Ui مع البيانات للإشارة إلى نفس المادة الأساسية لفك التشفير / فك التشفير كما تم استخدامه لعمليات التشفير / الالتفاف لتجنب تعطيل خدماتك. تتبع جميع خدمات Azure حالياً هذا النمط لتشفير البيانات.

تكوين نهج التدوير

تكوين نهج تدوير المفتاح

تكوين نهج تدوير المفاتيح أثناء إنشاء المفاتيح.

تكوين التدوير أثناء إنشاء مفتاح

تكوين نهج التدوير على المفاتيح الموجودة.

تكوين التدوير على مفتاح موجود

Azure CLI

حفظ نهج تدوير المفاتيح في ملف. مثال على نهج تدوير المفاتيح:

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    },
    {
      "trigger": {
        "timeBeforeExpiry": "P30D"
      },
      "action": {
        "type": "Notify"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

تعيين نهج التدوير على مفتاح يمرر ملفاً محفوظاً مسبقاً باستخدام الأمر Azure CLI azure CLI keyvault key rotation policy update.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

تعيين نهج التدوير باستخدام Azure Powershell ​​Set-AzKeyVaultKeyRotationPolicy cmdlet.

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

التدوير عند الطلب

يمكن استدعاء تدوير المفتاح يدوياً.

المدخل

انقر فوق "تدوير الآن" لاستدعاء التدوير.

التدوير عند الطلب

Azure CLI

استخدم الأمر Azure CLI az keyvault key rotate لتدوير المفتاح.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

استخدم الأمر Azure PowerShell ​​Invoke-AzKeyVaultKeyRotation.

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

تكوين المفتاح بالقرب من إعلام انتهاء الصلاحية

تكوين إشعار انتهاء الصلاحية لمفتاح Event Grid بالقرب من حدث انتهاء الصلاحية. في حالة تعذر استخدام التدوير التلقائي، مثل عند استيراد مفتاح من HSM المحلي، يمكنك تكوين إشعار انتهاء الصلاحية تقريبا كتذكير للتناوب اليدوي أو كمشغل للتناوب التلقائي المخصص من خلال التكامل مع Event Grid. يمكنك تكوين الإعلام بالأيام والأشهر والسنوات قبل انتهاء الصلاحية لتشغيل حدث انتهاء الصلاحية القريب.

تكوين الإعلام

لمزيد من المعلومات حول إشعارات شبكة الأحداث في Key Vault، راجع Azure Key Vault كمصدر لشبكة الأحداث

تكوين تدوير المفاتيح باستخدام قالب ARM

يمكن أيضاً تكوين نهج تدوير المفاتيح باستخدام قوالب ARM.

ملاحظة

يتطلب دور "مساهم Key Vault" على Key Vault الذي تم تكوينه باستخدام التحكم في الوصول استناداً إلى الدور في Azure لتوزيع المفتاح من خلال مستوى الإدارة.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vaultName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key vault to be created."
            }
        },
        "keyName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key to be created."
            }
        },
        "rotatationTimeAfterCreate": {
            "defaultValue": "P18M",
            "type": "String",
            "metadata": {
                "description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
            }
        },
        "expiryTime": {
            "defaultValue": "P2Y",
            "type": "String",
            "metadata": {
                "description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
            }
        },
        "notifyTime": {
            "defaultValue": "P30D",
            "type": "String",
            "metadata": {
                "description": "Near expiry Event Grid notification. i.e. P30D"
            }
        }

    },
    "resources": [
        {
            "type": "Microsoft.KeyVault/vaults/keys",
            "apiVersion": "2021-06-01-preview",
            "name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
            "location": "[resourceGroup().location]",
            "properties": {
                "vaultName": "[parameters('vaultName')]",
                "kty": "RSA",
                "rotationPolicy": {
                    "lifetimeActions": [
                        {
                            "trigger": {
                                "timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
                                "timeBeforeExpiry": ""
                            },
                            "action": {
                                "type": "Rotate"
                            }
                        },
                        {
                            "trigger": {
                                "timeBeforeExpiry": "[parameters('notifyTime')]"
                            },
                            "action": {
                                "type": "Notify"
                            }
                        }

                    ],
                    "attributes": {
                        "expiryTime": "[parameters('expiryTime')]"
                    }
                }
            }
        }
    ]
}

تكوين إدارة نهج تدوير المفاتيح

باستخدام خدمة Azure Policy، يمكنك التحكم في دورة حياة المفتاح والتأكد من تكوين جميع المفاتيح للتدوير في غضون عدد محدد من الأيام.

إنشاء تعريف النهج وتعيينه

  1. الانتقال إلى مورد النهج
  2. حدد Assignments ضمن Authoring على الجانب الأيسر من صفحة Azure Policy.
  3. حدد تعيين نهج في أعلى الصفحة. يفتح هذا الزر على صفحة تعيين النهج.
  4. أدخل المعلومات الآتية:
  5. املأ أي حقول إضافية. انتقل إلى علامات التبويب بالنقر فوق الزرين السابقوالتالي في أسفل الصفحة.
  6. حدد ⁧⁩Review + create⁧
  7. حدد ⁧⁩Create⁧

بمجرد تعيين النهج المضمن، قد يستغرق الأمر ما يصل إلى 24 ساعة لإكمال الفحص. بعد اكتمال الفحص، يمكنك الاطلاع على نتائج التوافق كما يلي.

لقطة شاشة لتوافق نهج تدوير المفاتيح.

الموارد