Přehled klíčů spravovaných zákazníkem

Azure Container Registry automaticky šifruje obrázky a další artefakty, které ukládáte. Ve výchozím nastavení Azure automaticky šifruje neaktivní uložený obsah registru pomocí klíčů spravovaných službou. Pomocí klíče spravovaného zákazníkem můžete doplnit výchozí šifrování o další šifrovací vrstvu.

Tento článek je první částí čtyřdílné série kurzů. Tento kurz se zabývá následujícími tématy:

  • Přehled klíčů spravovaných zákazníkem
  • Povolení klíče spravovaného zákazníkem
  • Obměna a odvolání klíče spravovaného zákazníkem
  • Řešení potíží s klíčem spravovaným zákazníkem

Informace o klíčích spravovaných zákazníkem

Klíč spravovaný zákazníkem vám dává vlastnictví k používání vlastního klíče v Azure Key Vault. Když povolíte klíč spravovaný zákazníkem, můžete spravovat jeho obměně, řídit přístup a oprávnění k jeho použití a auditovat jeho použití.

Mezi klíčové přínosy patří:

  • Dodržování právních předpisů: Azure automaticky šifruje neaktivní uložený obsah registru pomocí klíčů spravovaných službou, ale šifrování klíčů spravovaných zákazníkem pomáhá splňovat pokyny pro dodržování právních předpisů.

  • Integrace s Azure Key Vault: Klíče spravované zákazníkem podporují šifrování na straně serveru prostřednictvím integrace s Azure Key Vault. Pomocí klíčů spravovaných zákazníkem můžete vytvořit vlastní šifrovací klíče a uložit je do trezoru klíčů. Nebo můžete ke generování klíčů použít rozhraní API azure Key Vault.

  • Správa životního cyklu klíčů: Integrace klíčů spravovaných zákazníkem s Azure Key Vault vám dává plnou kontrolu a zodpovědnost za životní cyklus klíčů, včetně rotace a správy.

Před povolením klíče spravovaného zákazníkem

Než nakonfigurujete Azure Container Registry pomocí klíče spravovaného zákazníkem, zvažte následující informace:

  • Tato funkce je dostupná na úrovni služby Premium pro registr kontejnerů. Další informace najdete v článku Úrovně služby Azure Container Registry.
  • Klíč spravovaný zákazníkem můžete v současné době povolit pouze při vytváření registru.
  • Šifrování nemůžete zakázat po povolení klíče spravovaného zákazníkem v registru.
  • Pro přístup k trezoru klíčů musíte nakonfigurovat spravovanou identitu přiřazenou uživatelem . Později můžete v případě potřeby povolit spravovanou identitu přiřazenou systémem v registru pro přístup k trezoru klíčů.
  • Azure Container Registry podporuje pouze klíče RSA nebo RSA-HSM. Klávesy se třemi tečkami se v současné době nepodporují.
  • V registru, který je šifrovaný pomocí klíče spravovaného zákazníkem, můžete uchovávat protokoly pro úlohy Azure Container Registry pouze 24 hodin. Pokud chcete protokoly uchovávat delší dobu, přečtěte si téma Zobrazení a správa protokolů spuštění úloh.
  • Důvěryhodnost obsahu se v současné době nepodporuje v registru, který je šifrovaný pomocí klíče spravovaného zákazníkem.

Aktualizace verze klíče spravovaného zákazníkem

Azure Container Registry podporuje automatickou i ruční obměnu šifrovacích klíčů registru, když je v Azure Key Vault k dispozici nová verze klíče.

Důležité

Je důležité zvážit zabezpečení registru s šifrováním klíčů spravovaným zákazníkem, který umožňuje často aktualizovat (obměňovat) verze klíčů. Při ukládání klíče spravovaného zákazníkem v Azure Key Vault postupujte podle zásad dodržování předpisů vaší organizace a pravidelně aktualizujte verze klíčů.

  • Automatická aktualizace verze klíče: Pokud je registr zašifrovaný klíčem bez verzí, Azure Container Registry pravidelně kontroluje, jestli trezor klíčů nemá novou verzi klíče, a během jedné hodiny aktualizuje klíč spravovaný zákazníkem. Při povolení šifrování registru pomocí klíče spravovaného zákazníkem doporučujeme vynechat verzi klíče. Azure Container Registry pak automaticky použije a aktualizuje nejnovější verzi klíče.

  • Ruční aktualizace verze klíče: Pokud je registr zašifrovaný pomocí konkrétní verze klíče, Azure Container Registry tuto verzi použije k šifrování, dokud klíč spravovaný zákazníkem ručně nevyměníte. Při povolení šifrování registru pomocí klíče spravovaného zákazníkem doporučujeme zadat verzi klíče. Azure Container Registry pak k šifrování registru použije konkrétní verzi klíče.

Podrobnosti najdete v tématech Obměně klíčů a Aktualizace verze klíče.

Další kroky