Klíče spravované zákazníkem (CMK) pro Microsoft Foundry

Poznámka:

Tento dokument se týká portálu Microsoft Foundry (Classic).

🔄 Pokud používáte nový portál, přepněte na dokumentaci Microsoft Foundry (nová).

Návod

K dispozici je alternativní článek CMK zaměřený na centrum: Klíče spravované zákazníkem pro projekty centra.

Šifrování klíče spravovaného zákazníkem (CMK) v Microsoft Foundry vám dává kontrolu nad šifrováním vašich dat. Pomocí cmk můžete přidat další vrstvu ochrany a usnadnit splnění požadavků na dodržování předpisů s integrací služby Azure Key Vault.

Microsoft Foundry poskytuje robustní možnosti šifrování, včetně možnosti používat klíče spravované zákazníkem (CMK) uložené ve službě Azure Key Vault k zabezpečení citlivých dat. Tento článek vysvětluje koncept šifrování pomocí sad CMK a obsahuje podrobné pokyny ke konfiguraci CMK pomocí služby Azure Key Vault. Popisuje také modely šifrování a metody řízení přístupu, jako jsou Azure Role-Based Access Control (RBAC) a Zásady přístupu k trezoru, a zajišťuje kompatibilitu se systémem přiřazenými spravovanými identitami. Podpora spravovaných identit přiřazených uživatelem (UAI) je aktuálně dostupná pouze prostřednictvím šablon Bicep.

Proč používat klíče spravované zákazníkem?

S CMK získáte úplnou kontrolu nad šifrovacími klíči, která poskytuje vylepšenou ochranu citlivých dat a pomáhá splňovat požadavky na dodržování předpisů. Mezi klíčové výhody používání CMK patří:

• K šifrování neaktivních uložených dat použijte vlastní klíče.

• Integrace se zásadami zabezpečení a dodržování předpisů organizace

• Možnost obměňovat nebo odvolat klíče pro lepší kontrolu nad přístupem k šifrovaným datům.

Microsoft Foundry podporuje šifrování pomocí klíčů CMK uložených ve službě Azure Key Vault a využívá špičkové funkce zabezpečení.

Požadavky

Pokud chcete nakonfigurovat CMK pro Microsoft Foundry, ujistěte se, že jsou splněny následující požadavky:

1. Předplatné Azure:
   K vytváření a správě prostředků Azure potřebujete aktivní předplatné Azure.

2. Azure Key Vault:

   • K uložení klíčů potřebujete existující službu Azure Key Vault.
   • Musíte nasadit službu Key Vault a prostředek Microsoft Foundry ve stejné oblasti Azure.
   • Postupujte podle tohoto průvodce vytvořením služby Key Vault: Rychlý start: Vytvoření služby Key Vault pomocí webu Azure Portal.

3. Konfigurace spravované identity:

   • Spravovaná identita přiřazená systémem: Ujistěte se, že váš prostředek Microsoft Foundry povolil spravovanou identitu přiřazenou systémem.
   • Spravovaná identita přiřazená uživatelem: Podpora rozhraní UAI je aktuálně dostupná pouze prostřednictvím šablon Bicep. Projděte si příklad šablony Bicep: Úložiště GitHub: klíče spravované zákazníkem s uživatelem přiřazenou identitou.

4. Oprávnění služby Key Vault:

   • Pokud používáte Azure RBAC, přiřaďte spravované identitě role, jako je kryptografický důstojník služby Key Vault nebo Přispěvatel služby Key Vault.
   • Pokud používáte zásady přístupu k trezoru, udělte spravované identitě oprávnění k operacím s klíčem, jako jsou dešifrování klíče a šifrování klíče.

Poznámka k regionální dostupnosti (UAI pro CMK)

Podpora Customer-Managed Keys (CMK) s User-Assigned Managed Identities (UAI) je aktuálně dostupná ve všech oblastech Azure s výjimkou těchto regionů:

• Spojené státy:
  westus, centralus, southcentralus, westus2
• Evropa:
  westeurope, ukwest, switzerlandwest, germanywestcentral, francecentral, dánsko-východ, polsko-střed, švédsko-střed, norsko-východ
• Asie a Tichomoří:
  taiwansevrozápad, australásie (východní Austrálie, severní Nový Zéland), jihovýchodní Asie, východní Japonsko, centrální Korea, centrální Indonésie, západní Malajsie, centrální Indie
• Střední východ:
  israelcentral, katarcentral
• Afrika:
  Jižní Afrika – sever
• Kanada:
  východní Kanada
• Latinská Amerika:
  Střední Mexiko
• Azure China:
  Čína – východ, Čína – východ 2, Čína – sever, Čína – sever 2

• Azure US Government:
  americká vláda Virginia, americká vláda Arizona, americká vláda Texas, americká vláda Iowa

Před konfigurací CMK pomocí UAI se ujistěte, že nasazujete prostředky v podporované oblasti. Další podrobnosti o regionální podpoře funkcí Microsoft Foundry najdete v sekci Dostupnost funkcí Microsoft Foundry v jednotlivých cloudových oblastech.

Postup konfigurace cmk

Krok 1. Vytvoření nebo import klíče ve službě Azure Key Vault

Ukládáte klíče spravované zákazníkem (CMK) ve službě Azure Key Vault. Můžete buď vygenerovat nový klíč ve službě Key Vault, nebo importovat existující klíč. Postupujte podle kroků v následujících částech:

Vygenerování klíče

1. Na webu Azure Portal přejděte do služby Azure Key Vault.

2. V části Nastavení vyberte Klíče.

3. Vyberte + Generovat/Importovat.

4. Zadejte název klíče, zvolte typ klíče (například RSA nebo HSM) a nakonfigurujte velikost klíče a podrobnosti o vypršení platnosti.

5. Výběrem Vytvořit uložte nový klíč.

   Další informace najdete v tématu Vytvoření a správa klíčů ve službě Azure Key Vault.

Import klíče

1. Přejděte do části Klíče ve službě Key Vault.
2. Vyberte + Generovat/Importovat a zvolte možnost Importovat .
3. Nahrajte klíčový materiál a zadejte potřebné podrobnosti o konfiguraci klíče.
4. Podle pokynů dokončete proces importu.

Krok 2. Udělení oprávnění služby Key Vault spravovaným identitám

Nakonfigurujte příslušná oprávnění pro spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem pro přístup ke službě Key Vault.

Spravovaná identita přiřazená systémem

1. Přejděte do služby Key Vault na webu Azure Portal.
2. Vyberte Řízení přístupu (IAM).
3. Vyberte + Přidat přiřazení role.
4. Přiřaďte kryptografického důstojníka služby Key Vault, přispěvatele služby Key Vault nebo podobnou roli spravované identitě, kterou systém přiřadil prostředku Microsoft Foundry.

Spravovaná identita přiřazená uživatelem

Poznámka:

Odkazujte na úložiště GitHub: klíče spravované zákazníkem s uživatelsky přiřazenou identitou.

1. Pomocí poskytnutých šablon Bicep nasaďte identitu přiřazenou uživatelem a nakonfigurujte oprávnění služby Key Vault.

2. Po nasazení ověřte, že identita přiřazená uživatelem má odpovídající role (například kryptografický důstojník služby Key Vault) nebo oprávnění ke službě Key Vault.

Krok 3. Povolení CMK v Microsoft Foundry

1. Na webu Azure Portal otevřete prostředek Microsoft Foundry.
2. Přejděte do části Nastavení šifrování .
3. Jako typ šifrování vyberte Customer-Managed Keys.
4. Zadejte adresu URL služby Key Vault a název klíče.
5. Pokud používáte uživatelem přiřazenou spravovanou identitu, ujistěte se, že je nasazení prostřednictvím šablon Bicep dokončené, protože identita a přidružená oprávnění jsou již nakonfigurovaná.

Návrh přístupu ke službě Key Vault: Azure RBAC a zásady přístupu k trezoru

Azure Key Vault podporuje dva modely pro správu přístupových oprávnění:

1. Azure RBAC (doporučeno):
   • Poskytuje centralizované řízení přístupu pomocí rolí Azure AD.
   • Zjednodušuje správu oprávnění pro prostředky v Azure.
   • Mezi doporučené role patří kryptografický důstojník služby Key Vault nebo Přispěvatel služby Key Vault.
2. Zásady přístupu trezoru:
   • Umožňuje podrobné řízení přístupu specifické pro prostředky služby Key Vault.
   • Vhodné pro konfigurace, ve kterých jsou potřebná starší nebo izolovaná nastavení oprávnění.

Zvolte model, který odpovídá požadavkům vaší organizace.

Monitorování a rotace klíčů

Abyste zachovali optimální zabezpečení a dodržování předpisů, implementujte následující postupy:

1. Povolení diagnostiky služby Key Vault:
   Monitorování používání klíčů a aktivit přístupu povolením protokolování diagnostiky ve službě Azure Monitor nebo Log Analytics
2. Pravidelně otáčet klávesy:
   Pravidelně vytváříte novou verzi klíče ve službě Azure Key Vault.
   Aktualizujte prostředek Microsoft Foundry tak, aby odkazovala na nejnovější verzi klíče v nastavení šifrování.

Související obsah

• Dokumentace ke službě Azure Key Vault
• Příklad GitHub Bicep: Klíče spravované zákazníkem pomocí UAI
• Přehled spravovaných identit Azure