Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Přehled
Automatizovaná obměně kryptografických klíčů ve službě Key Vault umožňuje uživatelům nakonfigurovat službu Key Vault tak, aby automaticky vygenerovala novou verzi klíče zadanou frekvencí. Pro konfiguraci obměny můžete použít politiku obměny klíčů, kterou lze definovat pro jednotlivé klíče.
V rámci osvědčených postupů z hlediska kryptografie doporučujeme obměňovat šifrovací klíče alespoň každé dva roky.
Další informace o způsobu správy verzí objektů ve službě Key Vault najdete v části Objekty, identifikátory a správa verzí ve službě Key Vault. Komplexní znalosti konceptů automatickéhorotování napříč různými typy prostředků ve službě Azure Key Vault najdete v tématu Vysvětlení automatickéhorotování ve službě Azure Key Vault.
Integrace se službami Azure
Tato funkce umožňuje bezdotykovou otočnou obměnu pro šifrování dat v klidu pro Azure služby s klíčem spravovaným zákazníkem (CMK) uloženým ve službě Azure Key Vault. Pokud chcete zjistit, jestli konkrétní služba Azure zajišťuje kompletní obměnu, projděte si dokumentaci k dané službě.
Další informace o šifrování dat v Azure najdete tady:
Stanovení cen
Za plánovanou obměnu klíčů se účtují další poplatky. Další informace najdete na stránce s cenami služby Azure Key Vault.
Požadována oprávnění
Funkce obměny klíčů key Vault vyžaduje oprávnění ke správě klíčů. Pro správu zásad obměny a obměny na vyžádání můžete přiřadit roli „kryptografického důstojníka Key Vault“.
Další informace o tom, jak používat model oprávnění RBAC služby Key Vault a přiřadit role Azure, najdete v tématu Použití Azure RBAC k řízení přístupu ke klíčům, certifikátům a tajným kódům.
Poznámka:
Pokud používáte model oprávnění zásad přístupu, je třeba nastavit oprávnění "Otočit", "Nastavit zásady rotace" a "Získat zásady rotace" pro správu zásad rotace u klíčů.
Zásady obměně klíčů
Zásady rotace klíčů umožňují uživatelům konfigurovat rotaci a oznámení Event Gridu při blížícím se vypršení platnosti.
Nastavení zásad rotace klíčů:
- Doba vypršení platnosti: interval vypršení platnosti klíče. Slouží k nastavení data vypršení platnosti u nově otočeného klíče. Nemá vliv na aktuální klíč.
- Povoleno/zakázáno: Příznak pro povolení nebo zakázání rotace pro klíč
- Typy otočení:
- Automatické prodlužování v daném okamžiku po vytvoření (výchozí)
- Automatické prodlužování v daném čase před vypršením platnosti. Vyžaduje nastavený čas vypršení platnosti v zásadách obměny a nastavení data vypršení platnosti na klíči.
- Čas rotace: interval otáčení klíčů, minimální hodnota je sedm dnů od času vytvoření a sedm dnů od času vypršení platnosti.
- Čas oznámení: Klíčový interval události, který se blíží vypršení platnosti, pro oznámení Event Gridu. Vyžaduje nastavený čas vypršení platnosti v zásadách obměny a nastavení data vypršení platnosti na klíči.
Důležité
Rotace klíčů generuje novou verzi existujícího klíče s novým materiálem. Cílové služby by měly používat identifikátor URI klíče bez verzí k automatické aktualizaci na nejnovější verzi klíče. Ujistěte se, že vaše řešení šifrování dat ukládá verzovaný URI klíče s daty tak, aby odkazoval na stejný materiál klíče pro dešifrování/rozbalení, který byl použit při operacích šifrování/obalení, aby nedošlo k přerušení služeb. Všechny služby Azure v současné době sledují tento model šifrování dat.
Konfigurace zásad obměně klíčů
Nakonfigurujte zásady obměně klíčů během vytváření klíče.
Nakonfigurujte zásady rotace u existujících klíčů.
Konfigurujte rotaci u existujícího klíče
Azure CLI (příkazový řádek nástroje Azure)
Uložte zásady obměně klíčů do souboru. Příklad zásad obměně klíčů:
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Pomocí příkazu Azure CLI az keyvault key rotation-policy update nastavte zásady rotace klíče s využitím předem uloženého souboru.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Nastavení zásad rotace pomocí rutiny Azure PowerShell Set-AzKeyVaultKeyRotationPolicy
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Rotace na vyžádání
Otočení klíče lze vyvolat ručně.
Portál
Kliknutím na Tlačítko Otočit nyní vyvoláte otočení.
Azure CLI (příkazový řádek nástroje Azure)
Klíč můžete otočit pomocí azure CLI az keyvault key rotate command.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Použijte rutinu Azure PowerShell Invoke-AzKeyVaultKeyRotation .
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Konfigurace oznámení o blížícím se vypršení platnosti klíče
Konfigurace oznámení o vypršení platnosti klíče Event Gridu poblíž události vypršení platnosti V případě, že automatizované obměně nelze použít, například když je klíč importován z místního HSM, můžete nakonfigurovat oznámení o blížícím se vypršení platnosti jako připomenutí pro ruční obměnu nebo jako trigger pro vlastní automatizované obměně prostřednictvím integrace se službou Event Grid. Můžete nakonfigurovat upozornění na dny, měsíce a roky před vypršením platnosti, abyste spustili událost blížícího se vypršení platnosti.
Další informace o oznámeních event Gridu ve službě Key Vault najdete ve službě Azure Key Vault jako zdroj služby Event Grid.
Konfigurovat rotaci klíčů pomocí šablony ARM
Zásady obměně klíčů je také možné nakonfigurovat pomocí šablon ARM.
Poznámka:
Vyžaduje roli 'Přispěvatel služby Key Vault' pro službu Key Vault nakonfigurovanou s Azure RBAC k nasazení klíče přes řídicí rovinu.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Konfigurace správy zásad obměny klíčů
Pomocí služby Azure Policy můžete řídit životní cyklus klíče a zajistit, aby se všechny klíče konfigurovaly tak, aby se obměňovaly během zadaného počtu dnů.
Vytvoření a přiřazení definice zásady
- Přejděte k prostředku zásad.
- Na levé straně stránky Azure Policy pod Vytvářením vyberte Přiřazení.
- V horní části stránky vyberte Přiřadit politiku. Toto tlačítko otevře stránku s přiřazením zásad.
- Zadejte následující informace:
- Definujte rozsah zásad tak, že zvolíte předplatné a skupinu prostředků, nad kterými budou zásady vynuceny. Vyberte kliknutím na tlačítko se třemi tečky v poli Obor .
- Vyberte název definice zásady: Klíče by měly mít zásadu obměny, která zajistí, že jejich rotace bude naplánována v zadaném počtu dnů po vytvoření.
- Přejděte na kartu Parametry v horní části stránky.
- Nastavte maximální počet dnů pro otočení parametru na požadovaný počet dní, například 730.
- Definujte požadovaný efekt zásady (Audit nebo Zakázáno).
- Vyplňte všechna další pole. Procházejte karty kliknutím na tlačítka Předchozí a Další v dolní části stránky.
- Vyberte Zkontrolovat a vytvořit.
- Vyberte Vytvořit
Jakmile je vestavěná politika přiřazena, může dokončení kontroly trvat až 24 hodin. Po dokončení kontroly uvidíte výsledky dodržování předpisů, jako je níže.
Prostředky
- monitorování služby Key Vault s využitím služby Azure Event Grid
- Pochopení automatické rotace ve službě Azure Key Vault
- Řízení přístupu ke klíčům, certifikátům a tajným klíčům pomocí Azure RBAC
- Šifrování neaktivních uložených dat Azure
- Šifrování služby Azure Storage
- Azure Disk Encryption
- Automatická obměně klíčů pro transparentní šifrování dat