Přehled klíčů spravovaných zákazníkem
Azure Container Registry automaticky šifruje obrázky a další artefakty, které ukládáte. Ve výchozím nastavení Azure automaticky šifruje neaktivní uložený obsah registru pomocí klíčů spravovaných službou. Pomocí klíče spravovaného zákazníkem můžete doplnit výchozí šifrování o další šifrovací vrstvu.
Tento článek je první částí čtyřdílné série kurzů. Tento kurz se zabývá následujícími tématy:
- Přehled klíčů spravovaných zákazníkem
- Povolení klíče spravovaného zákazníkem
- Obměna a odvolání klíče spravovaného zákazníkem
- Řešení potíží s klíčem spravovaným zákazníkem
Informace o klíčích spravovaných zákazníkem
Klíč spravovaný zákazníkem vám dává vlastnictví k používání vlastního klíče v Azure Key Vault. Když povolíte klíč spravovaný zákazníkem, můžete spravovat jeho obměně, řídit přístup a oprávnění k jeho použití a auditovat jeho použití.
Mezi klíčové přínosy patří:
Dodržování právních předpisů: Azure automaticky šifruje neaktivní uložený obsah registru pomocí klíčů spravovaných službou, ale šifrování klíčů spravovaných zákazníkem pomáhá splňovat pokyny pro dodržování právních předpisů.
Integrace s Azure Key Vault: Klíče spravované zákazníkem podporují šifrování na straně serveru prostřednictvím integrace s Azure Key Vault. Pomocí klíčů spravovaných zákazníkem můžete vytvořit vlastní šifrovací klíče a uložit je do trezoru klíčů. Nebo můžete ke generování klíčů použít rozhraní API azure Key Vault.
Správa životního cyklu klíčů: Integrace klíčů spravovaných zákazníkem s Azure Key Vault vám dává plnou kontrolu a zodpovědnost za životní cyklus klíčů, včetně rotace a správy.
Před povolením klíče spravovaného zákazníkem
Než nakonfigurujete Azure Container Registry pomocí klíče spravovaného zákazníkem, zvažte následující informace:
- Tato funkce je dostupná na úrovni služby Premium pro registr kontejnerů. Další informace najdete v článku Úrovně služby Azure Container Registry.
- Klíč spravovaný zákazníkem můžete v současné době povolit pouze při vytváření registru.
- Šifrování nemůžete zakázat po povolení klíče spravovaného zákazníkem v registru.
- Pro přístup k trezoru klíčů musíte nakonfigurovat spravovanou identitu přiřazenou uživatelem . Později můžete v případě potřeby povolit spravovanou identitu přiřazenou systémem v registru pro přístup k trezoru klíčů.
- Azure Container Registry podporuje pouze klíče RSA nebo RSA-HSM. Klávesy se třemi tečkami se v současné době nepodporují.
- V registru, který je šifrovaný pomocí klíče spravovaného zákazníkem, můžete uchovávat protokoly pro úlohy Azure Container Registry pouze 24 hodin. Pokud chcete protokoly uchovávat delší dobu, přečtěte si téma Zobrazení a správa protokolů spuštění úloh.
- Důvěryhodnost obsahu se v současné době nepodporuje v registru, který je šifrovaný pomocí klíče spravovaného zákazníkem.
Aktualizace verze klíče spravovaného zákazníkem
Azure Container Registry podporuje automatickou i ruční obměnu šifrovacích klíčů registru, když je v Azure Key Vault k dispozici nová verze klíče.
Důležité
Je důležité zvážit zabezpečení registru s šifrováním klíčů spravovaným zákazníkem, který umožňuje často aktualizovat (obměňovat) verze klíčů. Při ukládání klíče spravovaného zákazníkem v Azure Key Vault postupujte podle zásad dodržování předpisů vaší organizace a pravidelně aktualizujte verze klíčů.
Automatická aktualizace verze klíče: Pokud je registr zašifrovaný klíčem bez verzí, Azure Container Registry pravidelně kontroluje, jestli trezor klíčů nemá novou verzi klíče, a během jedné hodiny aktualizuje klíč spravovaný zákazníkem. Při povolení šifrování registru pomocí klíče spravovaného zákazníkem doporučujeme vynechat verzi klíče. Azure Container Registry pak automaticky použije a aktualizuje nejnovější verzi klíče.
Ruční aktualizace verze klíče: Pokud je registr zašifrovaný pomocí konkrétní verze klíče, Azure Container Registry tuto verzi použije k šifrování, dokud klíč spravovaný zákazníkem ručně nevyměníte. Při povolení šifrování registru pomocí klíče spravovaného zákazníkem doporučujeme zadat verzi klíče. Azure Container Registry pak k šifrování registru použije konkrétní verzi klíče.
Podrobnosti najdete v tématech Obměně klíčů a Aktualizace verze klíče.
Další kroky
- Pokud chcete povolit registr kontejneru s klíčem spravovaným zákazníkem pomocí Azure CLI, Azure Portal nebo šablony Azure Resource Manager, přejděte k dalšímu článku: Povolení klíče spravovaného zákazníkem.
- Přečtěte si další informace o šifrování neaktivních uložených dat v Azure.
- Přečtěte si další informace o zásadách přístupu a o tom, jak zabezpečit přístup k trezoru klíčů.