ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
نظرة عامة
يتيح التناوب الآلي للمفاتيح في HSM المُدار للمستخدمين تكوين HSM المُدار لإنشاء إصدار مفتاح جديد تلقائياً بتردد محدد. يمكنك تعيين نهج تناوب لتكوين التدوير لكل مفتاح فردي وتناوب المفاتيح اختيارياً عند الطلب. تتمثل توصيتنا في تدوير مفاتيح التشفير كل عامين على الأقل لتلبية أفضل ممارسات التشفير. للحصول على إرشادات وتوصيات إضافية، راجع NIST SP 800-57 الجزء 1.
تتيح هذه الميزة الاستدارة الصفرية اللمسية من طرف إلى طرف للتشفير في وضع الراحة لخدمات Azure مع المفاتيح المُدارة بواسطة العميل (CMK) المخزنة في Azure Managed HSM. يرجى الرجوع إلى وثائق خدمة Azure المحددة لمعرفة ما إذا كانت الخدمة تغطي التدوير الشامل.
التسعير
يتم تقديم تناوب مفتاح HSM المُدار بدون تكلفة إضافية. لمزيد من المعلومات حول أسعار HSM المُدار، راجع صفحة أسعار Azure Key Vault
تحذير
يبلغ الحد الأقصى المسموح به لـ HSM المُدار 100 إصدار لكل مفتاح. يتم احتساب الإصدارات الأساسية التي تم إنشاؤها كجزء من التدوير التلقائي أو اليدوي ضمن هذا الحد.
الأذونات المطلوبة
يتطلب تدوير مفتاح أو تعيين نهج تدوير المفتاح أذونات إدارة مفاتيح محددة. يمكنك تعيين دور "مستخدم تشفير HSM المُدار" للحصول على أذونات كافية لإدارة نهج التناوب والتناوب عند الطلب.
لمزيد من المعلومات حول كيفية تكوين أذونات RBAC المحلية في HSM المُدار، راجع: إدارة أدوار HSM المُدارة
إشعار
يتطلب إعداد نهج تناوب الحصول على إذن "كتابة المفتاح". يتطلب تدوير مفتاح عند الطلب أذونات "تناوب". يتم تضمين كلاهما في الدور المضمن "مستخدم تشفير HSM المُدار"
نهج تدوير المفاتيح
تسمح نهج تدوير المفاتيح للمستخدمين بتكوين فترات التناوب وتعيين الفاصل الزمني لانتهاء الصلاحية للمفاتيح التي تم تدويرها. يجب ضبطه قبل التمكن من تدوير المفاتيح عند الطلب.
إشعار
لا يدعم HSM المُدار إشعارات شبكة الأحداث
إعدادات نهج تدوير المفاتيح:
- وقت انتهاء الصلاحية: فترة انتهاء صلاحية المفتاح (28 يوماً على الأقل). يتم استخدامه لتعيين تاريخ انتهاء الصلاحية على مفتاح تم تدويره حديثاً (على سبيل المثال، بعد التدوير، يتم تعيين المفتاح الجديد بحيث تنتهي صلاحيته في غضون 30 يوماً).
- أنواع الاستدارة:
- التجديد تلقائياً في وقت معين بعد الإنشاء
- التجديد تلقائيًا في وقت معين قبل انتهاء الصلاحية. يجب تعيين "تاريخ انتهاء الصلاحية" على المفتاح لتنشيط هذا الحدث.
تحذير
لا يمكن لنهج التدوير التلقائي أن تفرض إنشاء إصدارات رئيسية جديدة بشكل متكرر أكثر من مرة كل 28 يوماً. بالنسبة لنُهج التدوير القائمة على الإنشاء، فهذا يعني أن الحد الأدنى لقيمة timeAfterCreate هو P28D. بالنسبة لنُهج التناوب المستندة إلى انتهاء الصلاحية، تعتمد القيمة القصوى لـ timeBeforeExpiry على expiryTime. على سبيل المثال، إذا كانت expiryTime هي P56D، فيمكن أن يكون timeBeforeExpiry على الأكثر P28D.
تكوين نهج تدوير المفتاح
Azure CLI
اكتب نهج تدوير المفاتيح واحفظها في ملف. استخدم تنسيقات المدة ISO8601 لتحديد فواصل زمنية. يتم توفير بعض الأمثلة على النُهج في القسم التالي. استخدم الأمر التالي لتطبيق النهج على مفتاح.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
نُهج المثال
قم بتدوير المفتاح بعد 18 شهراً من الإنشاء واضبط المفتاح الجديد بحيث تنتهي صلاحيته بعد عامين.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
قم بتدوير المفتاح قبل 28 يوماً من انتهاء الصلاحية وقم بتعيين المفتاح الجديد بحيث تنتهي صلاحيته بعد عام واحد.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
قم بإزالة نهج تدوير المفتاح (يتم ذلك عن طريق تعيين نهج فارغة)
{
"lifetimeActions": [],
"attributes": {}
}
التناوب عند الطلب
بمجرد تعيين نهج تناوب للمفتاح، يمكنك أيضاً تدوير المفتاح عند الطلب. يجب عليك تعيين نهج تدوير المفتاح أولاً.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>