Konfigurace šifrování s využitím klíčů spravovaných zákazníkem uložených ve spravovaném modulu HSM Azure Key Vault
Azure Storage šifruje všechna uložená data v neaktivním účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete získat další kontrolu nad šifrovacími klíči, můžete spravovat vlastní klíče. Klíče spravované zákazníkem musí být uložené v Azure Key Vault nebo Key Vault spravovaném modelu hardwarového zabezpečení (HSM). Spravovaný modul HSM Azure Key Vault je modul HSM ověřený standardem FIPS 140-2 úrovně 3.
Tento článek popisuje, jak nakonfigurovat šifrování pomocí klíčů spravovaných zákazníkem uložených ve spravovaném HSM pomocí Azure CLI. Informace o konfiguraci šifrování pomocí klíčů spravovaných zákazníkem uložených v trezoru klíčů najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených v Azure Key Vault.
Poznámka
Azure Key Vault a Azure Key Vault Managed HSM podporují pro konfiguraci stejná rozhraní API a rozhraní pro správu.
Přiřazení identity k účtu úložiště
Nejprve účtu úložiště přiřaďte spravovanou identitu přiřazenou systémem. Tuto spravovanou identitu použijete k udělení oprávnění účtu úložiště pro přístup ke spravovanému modulu HSM. Další informace o spravovaných identitách přiřazených systémem najdete v tématu Co jsou spravované identity pro prostředky Azure?
Pokud chcete přiřadit spravovanou identitu pomocí Azure CLI, zavolejte az storage account update. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
Přiřazení role účtu úložiště pro přístup ke spravovanému modulu HSM
Dále přiřaďte roli spravovaného uživatele šifrování kryptografické služby HSM spravované identitě účtu úložiště, aby účet úložiště získal oprávnění ke spravovanému modulu HSM. Microsoft doporučuje omezit přiřazení role na úroveň individuálního klíče, abyste spravované identitě udělili co nejmenší možná oprávnění.
Pokud chcete vytvořit přiřazení role pro účet úložiště, zavolejte az key vault role assignment create. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami.
storage_account_principal = $(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault role assignment create \
--hsm-name <hsm-name> \
--role "Managed HSM Crypto Service Encryption User" \
--assignee $storage_account_principal \
--scope /keys/<key-name>
Konfigurace šifrování pomocí klíče ve spravovaném HSM
Nakonec nakonfigurujte šifrování služby Azure Storage pomocí klíčů spravovaných zákazníkem tak, aby používalo klíč uložený ve spravovaném HSM. Mezi podporované typy klíčů patří klíče RSA-HSM velikosti 2048, 3072 a 4096. Informace o vytvoření klíče ve spravovaném HSM najdete v tématu Vytvoření klíče HSM.
Nainstalujte Azure CLI 2.12.0 nebo novější a nakonfigurujte šifrování tak, aby ve spravovaném HSM používalo klíč spravovaný zákazníkem. Další informace najdete v tématu Instalace Azure CLI.
Pokud chcete automaticky aktualizovat verzi klíče klíče spravovaného zákazníkem, při konfiguraci šifrování pomocí klíčů spravovaných zákazníkem pro účet úložiště vyněžte verzi klíče. Další informace o konfiguraci šifrování pro automatickou obměnu klíčů najdete v tématu Aktualizace verze klíče.
Dále voláním příkazu az storage account update aktualizujte nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu. Zahrňte --encryption-key-source parameter a nastavte ho na Microsoft.Keyvault , aby se pro účet povolily klíče spravované zákazníkem. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami.
hsmurl = $(az keyvault show \
--hsm-name <hsm-name> \
--query properties.hsmUri \
--output tsv)
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Pokud chcete ručně aktualizovat verzi klíče spravovaného zákazníkem, při konfiguraci šifrování pro účet úložiště zahrňte verzi klíče:
az storage account update
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-version $key_version \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Když verzi klíče aktualizujete ručně, budete muset aktualizovat nastavení šifrování účtu úložiště, aby používalo novou verzi. Nejprve se dotazujte na identifikátor URI trezoru klíčů voláním příkazu az keyvault show a pro verzi klíče voláním příkazu az keyvault key list-versions. Potom voláním příkazu az storage account update aktualizujte nastavení šifrování účtu úložiště tak, aby používalo novou verzi klíče, jak je znázorněno v předchozím příkladu.