Sdílet prostřednictvím

Konfigurace automatické obměny kryptografických klíčů ve službě Azure Key Vault

Přehled

Automatizovaná obměně kryptografických klíčů ve službě Key Vault umožňuje uživatelům nakonfigurovat službu Key Vault tak, aby automaticky vygenerovala novou verzi klíče zadanou frekvencí. Pro konfiguraci obměny můžete použít politiku obměny klíčů, kterou lze definovat pro jednotlivé klíče.

V rámci osvědčených postupů z hlediska kryptografie doporučujeme obměňovat šifrovací klíče alespoň každé dva roky.

Další informace o způsobu správy verzí objektů ve službě Key Vault najdete v části Objekty, identifikátory a správa verzí ve službě Key Vault. Komplexní znalosti konceptů automatickéhorotování napříč různými typy prostředků ve službě Azure Key Vault najdete v tématu Vysvětlení automatickéhorotování ve službě Azure Key Vault.

Integrace se službami Azure

Tato funkce umožňuje bezdotykovou otočnou obměnu pro šifrování dat v klidu pro Azure služby s klíčem spravovaným zákazníkem (CMK) uloženým ve službě Azure Key Vault. Pokud chcete zjistit, jestli konkrétní služba Azure zajišťuje kompletní obměnu, projděte si dokumentaci k dané službě.

Další informace o šifrování dat v Azure najdete tady:

Stanovení cen

Za plánovanou obměnu klíčů se účtují další poplatky. Další informace najdete na stránce s cenami služby Azure Key Vault.

Požadována oprávnění

Funkce obměny klíčů key Vault vyžaduje oprávnění ke správě klíčů. Pro správu zásad obměny a obměny na vyžádání můžete přiřadit roli „kryptografického důstojníka Key Vault“.

Další informace o tom, jak používat model oprávnění RBAC služby Key Vault a přiřadit role Azure, najdete v tématu Použití Azure RBAC k řízení přístupu ke klíčům, certifikátům a tajným kódům.

Poznámka:

Pokud používáte model oprávnění zásad přístupu, je třeba nastavit oprávnění "Otočit", "Nastavit zásady rotace" a "Získat zásady rotace" pro správu zásad rotace u klíčů.

Zásady obměně klíčů

Zásady rotace klíčů umožňují uživatelům konfigurovat rotaci a oznámení Event Gridu při blížícím se vypršení platnosti.

Nastavení zásad rotace klíčů:

  • Doba vypršení platnosti: interval vypršení platnosti klíče. Slouží k nastavení data vypršení platnosti u nově otočeného klíče. Nemá vliv na aktuální klíč.
  • Povoleno/zakázáno: Příznak pro povolení nebo zakázání rotace pro klíč
  • Typy otočení:
    • Automatické prodlužování v daném okamžiku po vytvoření (výchozí)
    • Automatické prodlužování v daném čase před vypršením platnosti. Vyžaduje nastavený čas vypršení platnosti v zásadách obměny a nastavení data vypršení platnosti na klíči.
  • Čas rotace: interval otáčení klíčů, minimální hodnota je sedm dnů od času vytvoření a sedm dnů od času vypršení platnosti.
  • Čas oznámení: Klíčový interval události, který se blíží vypršení platnosti, pro oznámení Event Gridu. Vyžaduje nastavený čas vypršení platnosti v zásadách obměny a nastavení data vypršení platnosti na klíči.

Důležité

Rotace klíčů generuje novou verzi existujícího klíče s novým materiálem. Cílové služby by měly používat identifikátor URI klíče bez verzí k automatické aktualizaci na nejnovější verzi klíče. Ujistěte se, že vaše řešení šifrování dat ukládá verzovaný URI klíče s daty tak, aby odkazoval na stejný materiál klíče pro dešifrování/rozbalení, který byl použit při operacích šifrování/obalení, aby nedošlo k přerušení služeb. Všechny služby Azure v současné době sledují tento model šifrování dat.

Konfigurace zásad rotace

Konfigurace zásad obměně klíčů

Nakonfigurujte zásady obměně klíčů během vytváření klíče.

Konfigurace rotace během vytváření klíče

Nakonfigurujte zásady rotace u existujících klíčů.

Konfigurujte rotaci u existujícího klíče

Azure CLI (příkazový řádek nástroje Azure)

Uložte zásady obměně klíčů do souboru. Příklad zásad obměně klíčů:

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    },
    {
      "trigger": {
        "timeBeforeExpiry": "P30D"
      },
      "action": {
        "type": "Notify"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Pomocí příkazu Azure CLI az keyvault key rotation-policy update nastavte zásady rotace klíče s využitím předem uloženého souboru.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Nastavení zásad rotace pomocí rutiny Azure PowerShell Set-AzKeyVaultKeyRotationPolicy

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

Rotace na vyžádání

Otočení klíče lze vyvolat ručně.

Portál

Kliknutím na Tlačítko Otočit nyní vyvoláte otočení.

Rotace na vyžádání

Azure CLI (příkazový řádek nástroje Azure)

Klíč můžete otočit pomocí azure CLI az keyvault key rotate command.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Použijte rutinu Azure PowerShell Invoke-AzKeyVaultKeyRotation .

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Konfigurace oznámení o blížícím se vypršení platnosti klíče

Konfigurace oznámení o vypršení platnosti klíče Event Gridu poblíž události vypršení platnosti V případě, že automatizované obměně nelze použít, například když je klíč importován z místního HSM, můžete nakonfigurovat oznámení o blížícím se vypršení platnosti jako připomenutí pro ruční obměnu nebo jako trigger pro vlastní automatizované obměně prostřednictvím integrace se službou Event Grid. Můžete nakonfigurovat upozornění na dny, měsíce a roky před vypršením platnosti, abyste spustili událost blížícího se vypršení platnosti.

Konfigurace oznámení

Další informace o oznámeních event Gridu ve službě Key Vault najdete ve službě Azure Key Vault jako zdroj služby Event Grid.

Konfigurovat rotaci klíčů pomocí šablony ARM

Zásady obměně klíčů je také možné nakonfigurovat pomocí šablon ARM.

Poznámka:

Vyžaduje roli 'Přispěvatel služby Key Vault' pro službu Key Vault nakonfigurovanou s Azure RBAC k nasazení klíče přes řídicí rovinu.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vaultName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key vault to be created."
            }
        },
        "keyName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key to be created."
            }
        },
        "rotatationTimeAfterCreate": {
            "defaultValue": "P18M",
            "type": "String",
            "metadata": {
                "description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
            }
        },
        "expiryTime": {
            "defaultValue": "P2Y",
            "type": "String",
            "metadata": {
                "description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
            }
        },
        "notifyTime": {
            "defaultValue": "P30D",
            "type": "String",
            "metadata": {
                "description": "Near expiry Event Grid notification. i.e. P30D"
            }
        }

    },
    "resources": [
        {
            "type": "Microsoft.KeyVault/vaults/keys",
            "apiVersion": "2021-06-01-preview",
            "name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
            "location": "[resourceGroup().location]",
            "properties": {
                "vaultName": "[parameters('vaultName')]",
                "kty": "RSA",
                "rotationPolicy": {
                    "lifetimeActions": [
                        {
                            "trigger": {
                                "timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
                                "timeBeforeExpiry": ""
                            },
                            "action": {
                                "type": "Rotate"
                            }
                        },
                        {
                            "trigger": {
                                "timeBeforeExpiry": "[parameters('notifyTime')]"
                            },
                            "action": {
                                "type": "Notify"
                            }
                        }

                    ],
                    "attributes": {
                        "expiryTime": "[parameters('expiryTime')]"
                    }
                }
            }
        }
    ]
}

Konfigurace správy zásad obměny klíčů

Pomocí služby Azure Policy můžete řídit životní cyklus klíče a zajistit, aby se všechny klíče konfigurovaly tak, aby se obměňovaly během zadaného počtu dnů.

Vytvoření a přiřazení definice zásady

  1. Přejděte k prostředku zásad.
  2. Na levé straně stránky Azure Policy pod Vytvářením vyberte Přiřazení.
  3. V horní části stránky vyberte Přiřadit politiku. Toto tlačítko otevře stránku s přiřazením zásad.
  4. Zadejte následující informace:
  5. Vyplňte všechna další pole. Procházejte karty kliknutím na tlačítka Předchozí a Další v dolní části stránky.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit

Jakmile je vestavěná politika přiřazena, může dokončení kontroly trvat až 24 hodin. Po dokončení kontroly uvidíte výsledky dodržování předpisů, jako je níže.

Snímek obrazovky dodržování zásady rotace klíčů

Prostředky