Konfigurace klíčů spravovaných zákazníkem v trezoru klíčů Azure pro existující účet úložiště

Azure Storage šifruje všechna data v neaktivním účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Další kontrolu nad šifrovacími klíči můžete spravovat vlastní klíče. Klíče spravované zákazníkem musí být uložené v Azure Key Vault nebo Key Vault spravovaném modelu hardwarového zabezpečení (HSM).

Tento článek ukazuje, jak nakonfigurovat šifrování pomocí klíčů spravovaných zákazníkem pro existující účet úložiště. Klíče spravované zákazníkem se ukládají do trezoru klíčů.

Informace o konfiguraci klíčů spravovaných zákazníkem pro nový účet úložiště najdete v tématu Konfigurace klíčů spravovaných zákazníkem v trezoru klíčů Azure pro nový účet úložiště.

Informace o konfiguraci šifrování pomocí klíčů spravovaných zákazníkem uložených ve spravovaném HSM najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených v Azure Key Vault spravovaném HSM.

Poznámka

Azure Key Vault a Azure Key Vault Managed HSM podporují stejná rozhraní API a rozhraní pro správu pro konfiguraci.

Konfigurace trezoru klíčů

K ukládání klíčů spravovaných zákazníkem můžete použít nový nebo existující trezor klíčů. Účet úložiště a trezor klíčů můžou být v různých oblastech nebo předplatných ve stejném tenantovi. Další informace o azure Key Vault najdete v tématu Přehled azure Key Vault a co je Azure Key Vault?.

Použití klíčů spravovaných zákazníkem s šifrováním služby Azure Storage vyžaduje, aby pro trezor klíčů byla povolena ochrana obnovitelného odstranění i vymazání. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů a nedá se zakázat. Ochranu vymazání můžete povolit buď při vytváření trezoru klíčů, nebo po jeho vytvoření.

Informace o vytvoření trezoru klíčů pomocí Azure Portal najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí Azure Portal. Při vytváření trezoru klíčů vyberte Povolit ochranu vymazání, jak je znázorněno na následujícím obrázku.

Snímek obrazovky znázorňující povolení ochrany před vymazáním při vytváření trezoru klíčů

Pokud chcete u existujícího trezoru klíčů povolit ochranu před vymazáním, postupujte takto:

  1. Přejděte do trezoru klíčů v Azure Portal.
  2. V části Nastavení zvolte Vlastnosti.
  3. V části Ochrana před vymazáním zvolte Povolit ochranu vyprázdnění.

Přidání klíče

Dále přidejte klíč do trezoru klíčů.

Šifrování Azure Storage podporuje klíče RSA a RSA-HSM velikosti 2048, 3072 a 4096. Další informace o podporovaných typech klíčů najdete v tématu O klíčích.

Informace o přidání klíče pomocí Azure Portal najdete v tématu Rychlý start: Nastavení a načtení klíče z Azure Key Vault pomocí Azure Portal.

Volba spravované identity pro autorizaci přístupu k trezoru klíčů

Když povolíte klíče spravované zákazníkem pro existující účet úložiště, musíte zadat spravovanou identitu, která se použije k autorizaci přístupu k trezoru klíčů, který tento klíč obsahuje. Spravovaná identita musí mít oprávnění pro přístup k klíči v trezoru klíčů.

Spravovaná identita, která autorizuje přístup k trezoru klíčů, může být spravovaná identita přiřazená uživatelem nebo spravovaná identita přiřazená systémem. Další informace o spravovanýchidentitch

Použití spravované identity přiřazené uživatelem k autorizaci přístupu

Přiřazený uživatelem je samostatný prostředek Azure. Před konfigurací klíčů spravovaných zákazníkem musíte vytvořit identitu přiřazenou uživatelem. Informace o vytváření a správě spravované identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.

Když nakonfigurujete klíče spravované zákazníkem pomocí Azure Portal, můžete vybrat existující identitu přiřazenou uživatelem prostřednictvím uživatelského rozhraní portálu. Podrobnosti najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro existující účet.

Použití spravované identity přiřazené systémem k autorizaci přístupu

Spravovaná identita přiřazená systémem je přidružená k instanci služby Azure, v tomto případě účet služby Azure Storage. Abyste mohli použít spravovanou identitu přiřazenou systémem, musíte k účtu úložiště explicitně přiřadit spravovanou identitu přiřazenou systémem, abyste mohli autorizovat přístup k trezoru klíčů, který obsahuje klíč spravovaný zákazníkem.

K autorizaci přístupu k trezoru klíčů můžou použít pouze existující účty úložiště identitu přiřazenou systémem. Nové účty úložiště musí používat identitu přiřazenou uživatelem, pokud jsou klíče spravované zákazníkem nakonfigurované při vytváření účtu.

Když nakonfigurujete klíče spravované zákazníkem s Azure Portal spravovanou identitou přiřazenou systémem, přiřadí se spravovaná identita přiřazená systémem k účtu úložiště za vás v rámci krytů. Podrobnosti najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro existující účet.

Konfigurace zásad přístupu trezoru klíčů

Dalším krokem je konfigurace zásad přístupu trezoru klíčů. Zásada přístupu trezoru klíčů uděluje oprávnění spravované identitě, která se použije k autorizaci přístupu k trezoru klíčů. Další informace o zásadách přístupu ke službě Key Vault najdete v přehledu azure Key Vault a přehledu zabezpečení azure Key Vault.

Informace o konfiguraci zásad přístupu trezoru klíčů pomocí Azure Portal najdete v tématu Přiřazení zásad přístupu ke službě Azure Key Vault.

Konfigurace klíčů spravovaných zákazníkem pro existující účet

Když nakonfigurujete šifrování pomocí klíčů spravovaných zákazníkem pro existující účet úložiště, můžete zvolit automatickou aktualizaci verze klíče používané pro šifrování azure Storage při každém zpřístupnění nové verze v přidruženém trezoru klíčů. Případně můžete explicitně zadat verzi klíče, která se má použít k šifrování, dokud se verze klíče neaktualizuje ručně.

K autorizaci přístupu k trezoru klíčů můžete použít spravovanou identitu přiřazenou systémem nebo uživatelem, když nakonfigurujete klíče spravované zákazníkem pro existující účet úložiště.

Poznámka

Pokud chcete klíč otočit, vytvořte novou verzi klíče v Azure Key Vault. Azure Storage nezpracuje obměnu klíčů, takže budete muset spravovat obměnu klíče v trezoru klíčů. V Azure můžete nakonfigurovat automatické obměně klíčů Key Vault nebo klíč otočit ručně.

Konfigurace šifrování pro automatickou aktualizaci verzí klíčů

Azure Storage může automaticky aktualizovat klíč spravovaný zákazníkem, který se používá k šifrování, aby používal nejnovější verzi klíče z trezoru klíčů. Azure Storage každý den kontroluje trezor klíčů pro novou verzi klíče. Jakmile bude k dispozici nová verze, azure Storage automaticky začne používat nejnovější verzi klíče pro šifrování.

Důležité

Azure Storage kontroluje trezor klíčů pro novou verzi klíče jen jednou denně. Když klíč otočíte, před zakázáním starší verze počkejte 24 hodin.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro existující účet s automatickou aktualizací verze klíče v Azure Portal, postupujte takto:

  1. Přejděte na svůj účet úložiště.

  2. V okně Nastavení účtu úložiště vyberte Šifrování. Ve výchozím nastavení je správa klíčů nastavená na spravované klíče Microsoftu, jak je znázorněno na následujícím obrázku.

    Snímek obrazovky znázorňující možnosti šifrování v Azure Portal

  3. Vyberte možnost Klíče spravované zákazníkem .

  4. Zvolte možnost Vybrat z Key Vault.

  5. Vyberte trezor klíčů a klíč.

  6. Vyberte trezor klíčů obsahující klíč, který chcete použít. Můžete také vytvořit nový trezor klíčů.

  7. Vyberte klíč z trezoru klíčů. Můžete také vytvořit nový klíč.

    Snímek obrazovky znázorňující výběr trezoru klíčů a klíče v Azure Portal

  8. Vyberte typ identity, který se má použít k ověření přístupu k trezoru klíčů. Mezi možnosti patří přiřazení systému (výchozí) nebo přiřazené uživatelem. Další informace o jednotlivých typech spravované identity najdete v tématu Typy spravovaných identit.

    1. Pokud vyberete Přiřazený systém, spravovaná identita přiřazená systémem pro účet úložiště se vytvoří pod kryty, pokud ještě neexistuje.
    2. Pokud vyberete Uživatelem přiřazenou, musíte vybrat existující identitu přiřazenou uživatelem, která má oprávnění pro přístup k trezoru klíčů. Informace o vytvoření identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.

    Snímek obrazovky znázorňující, jak vybrat spravovanou identitu přiřazenou uživatelem pro ověřování trezoru klíčů

  9. Uložte provedené změny.

Po zadání klíče Azure Portal značí, že je povolená automatická aktualizace verze klíče a zobrazuje verzi klíče, která se aktuálně používá k šifrování. Portál také zobrazuje typ spravované identity sloužící k autorizaci přístupu k trezoru klíčů a ID objektu zabezpečení spravované identity.

Snímek obrazovky znázorňující automatickou aktualizaci povolené verze klíče

Konfigurace šifrování pro ruční aktualizaci verzí klíčů

Pokud dáváte přednost ruční aktualizaci verze klíče, explicitně zadejte verzi v době, kdy nakonfigurujete šifrování pomocí klíčů spravovaných zákazníkem. V takovém případě Azure Storage při vytvoření nové verze v trezoru klíčů automaticky neaktualizuje verzi klíče. Pokud chcete použít novou verzi klíče, musíte verzi použitou pro šifrování Azure Storage aktualizovat ručně.

Pokud chcete nakonfigurovat klíče spravované zákazníkem s ruční aktualizací verze klíče v Azure Portal, zadejte identifikátor URI klíče, včetně verze. Pokud chcete zadat klíč jako identifikátor URI, postupujte takto:

  1. Pokud chcete v Azure Portal najít identifikátor URI klíče, přejděte do trezoru klíčů a vyberte nastavení Klíče. Vyberte požadovaný klíč a pak ho vyberte, aby se zobrazily jeho verze. Výběrem verze klíče zobrazíte nastavení pro danou verzi.

  2. Zkopírujte hodnotu pole Identifikátor klíče , které poskytuje identifikátor URI.

    Snímek obrazovky s identifikátorem URI klíče trezoru klíčů v Azure Portal

  3. V nastavení šifrovacího klíče pro váš účet úložiště zvolte možnost Zadat identifikátor URI klíče .

  4. Vložte identifikátor URI, který jste zkopírovali do pole Identifikátor URI klíče . Vynecháte verzi klíče z identifikátoru URI, aby se povolila automatická aktualizace verze klíče.

    Snímek obrazovky znázorňující, jak zadat identifikátor URI klíče v Azure Portal

  5. Zadejte předplatné, které obsahuje trezor klíčů.

  6. Zadejte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem.

  7. Uložte provedené změny.

Změna klíče

Klíč, který používáte pro šifrování Azure Storage, můžete kdykoli změnit.

Pokud chcete změnit klíč pomocí Azure Portal, postupujte takto:

  1. Přejděte do svého účtu úložiště a zobrazte nastavení šifrování .
  2. Vyberte trezor klíčů a zvolte nový klíč.
  3. Uložte provedené změny.

Odvolání klíčů spravovaných zákazníkem

Odvolání klíče spravovaného zákazníkem odebere přidružení mezi účtem úložiště a trezorem klíčů.

Pokud chcete odvolat klíče spravované zákazníkem pomocí Azure Portal, zakažte klíč, jak je popsáno v části Zákaz klíčů spravovaných zákazníkem.

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, váš účet úložiště se znovu zašifruje pomocí klíčů spravovaných Microsoftem.

Pokud chcete v Azure Portal zakázat klíče spravované zákazníkem, postupujte takto:

  1. Přejděte do svého účtu úložiště a zobrazte nastavení šifrování .
  2. Zrušte zaškrtnutí políčka vedle nastavení Použít vlastní klíč .

Další kroky