Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault Managed HSM

Azure Storage šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud potřebujete další kontrolu nad šifrovacími klíči, můžete spravovat vlastní klíče. Klíče spravované zákazníkem musí být uložené v Azure Key Vault nebo Key Vault modelu hardwarového zabezpečení (HSM). Spravovaný HSM azure Key Vault je ověřený HSM úrovně 140–2 FIPS.

Tento článek ukazuje, jak nakonfigurovat šifrování pomocí klíčů spravovaných zákazníkem uložených ve spravovaném HSM pomocí Azure CLI. Informace o konfiguraci šifrování pomocí klíčů spravovaných zákazníkem uložených v trezoru klíčů najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených v Azure Key Vault.

Poznámka

Azure Key Vault a Azure Key Vault Managed HSM podporují stejná rozhraní API a rozhraní pro správu pro konfiguraci.

Přiřazení identity k účtu úložiště

Nejprve přiřaďte spravovanou identitu přiřazenou systémem k účtu úložiště. Tuto spravovanou identitu použijete k udělení oprávnění účtu úložiště pro přístup ke spravovanému HSM. Další informace o spravovaných identitách přiřazených systémem najdete v tématu Co jsou spravované identity pro prostředky Azure?

Pokud chcete přiřadit spravovanou identitu pomocí Azure CLI, zavolejte az storage account update. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Přiřazení role k účtu úložiště pro přístup ke spravovanému HSM

Dále přiřaďte roli uživatele šifrování kryptografických služeb Spravované HSM spravované identitě účtu úložiště, aby účet úložiště má oprávnění ke spravovanému HSM. Společnost Microsoft doporučuje určit rozsah přiřazení role na úroveň jednotlivého klíče, aby se udělovala co nejmenší možná oprávnění spravované identitě.

Pokud chcete vytvořit přiřazení role pro účet úložiště, zavolejte příkaz az key vault role assignment create. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption User" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Konfigurace šifrování pomocí klíče ve spravovaném HSM

Nakonec nakonfigurujte šifrování Azure Storage pomocí klíčů spravovaných zákazníkem tak, aby používal klíč uložený ve spravovaném HSM. Podporované typy klíčů zahrnují klíče RSA-HSM velikosti 2048, 3072 a 4096. Informace o vytvoření klíče ve spravovaném HSM najdete v tématu Vytvoření klíče HSM.

Nainstalujte Azure CLI 2.12.0 nebo novější a nakonfigurujte šifrování pro použití klíče spravovaného zákazníkem ve spravovaném HSM. Další informace najdete v tématu Instalace Azure CLI.

Pokud chcete pro klíč spravovaný zákazníkem automaticky aktualizovat verzi klíče, při konfiguraci šifrování pomocí klíčů spravovaných zákazníkem pro účet úložiště vynecháte verzi klíče. Další informace o konfiguraci šifrování pro automatickou obměně klíčů najdete v tématu Aktualizace verze klíče.

Dále zavolejte az storage account update a aktualizujte nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu. Zahrňte klíč --encryption-key-source parameter spravovaný zákazníkem a nastavte Microsoft.Keyvault ho na povolení klíčů spravovaných zákazníkem pro účet. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Pokud chcete verzi klíče spravovaného zákazníkem aktualizovat ručně, při konfiguraci šifrování účtu úložiště zahrňte verzi klíče:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Když ručně aktualizujete verzi klíče, budete muset aktualizovat nastavení šifrování účtu úložiště tak, aby používala novou verzi. Nejprve se dotazujte na identifikátor URI trezoru klíčů voláním příkazu az keyvault show a verze klíče voláním příkazu az keyvault key list-versions. Potom voláním příkazu az storage account update aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozím příkladu.

Další kroky