Kundenseitig verwaltete Schlüssel: Übersicht

Azure Container Registry verschlüsselt Images und andere Artefakte, die Sie speichern, automatisch. Standardmäßig verschlüsselt Azure den ruhenden Inhalt der Registrierung automatisch mit dienstseitig verwalteten Schlüsseln. Mithilfe eines kundenseitig verwalteten Schlüssels können Sie die Standardverschlüsselung durch eine zusätzliche Verschlüsselungsebene ergänzen.

Dieser Artikel ist der erste Teil einer vierteiligen Tutorialserie. In diesem Tutorial wird Folgendes behandelt:

• Kundenseitig verwaltete Schlüssel: Übersicht
• Aktivieren eines kundenseitig verwalteten Schlüssels
• Rotieren und Widerrufen eines kundenseitig verwalteten Schlüssels
• Problembehandlung für kundenseitig verwaltete Schlüssel

Informationen zu kundenseitig verwalteten Schlüsseln

Mit einem kundenseitig verwalteten Schlüssel haben Sie die Möglichkeit, Ihren eigenen Schlüssel in Azure Key Vault abzulegen. Wenn Sie einen kundenseitig verwalteten Schlüssel aktivieren, können Sie seine Rotation verwalten, den Zugriff und die Berechtigungen für seine Verwendung steuern sowie seine Verwendung überwachen.

Hauptfunktionen:

• Einhaltung gesetzlicher Vorschriften: Azure verschlüsselt ruhende Registrierungsinhalte automatisch mit dienstseitig verwalteten Schlüsseln, doch die Verschlüsselung mittels kundenseitig verwalteter Schlüssel hilft Ihnen dabei, Richtlinien für die Einhaltung gesetzlicher Vorschriften zu erfüllen.

• Integration in Azure Key Vault: Kundenseitig verwaltete Schlüssel unterstützen die serverseitige Verschlüsselung durch die Integration in Azure Key Vault. Mit kundenseitig verwalteten Schlüsseln können Sie Ihre eigenen Verschlüsselungsschlüssel erstellen und in einem Schlüsseltresor speichern. Oder Sie können Schlüssel mithilfe der Azure Key Vault-APIs generieren.

• Lebenszyklusverwaltung für Schlüssel: Durch die Integration von kundenseitig verwalteten Schlüsseln in Azure Key Vault erhalten Sie die volle Kontrolle über und Verantwortung für den Lebenszyklus der Schlüssel, einschließlich Rotation und Verwaltung.

Vor der Aktivierung eines kundenseitig verwalteten Schlüssels

Bevor Sie Azure Container Registry mit einem kundenseitig verwalteten Schlüssel konfigurieren, sollten Sie die folgenden Informationen berücksichtigen:

• Diese Funktion ist auf der Dienstebene Premium für eine Containerregistrierung verfügbar. Weitere Informationen finden Sie unter Azure Container Registry-Tarife.
• Sie können einen kundenseitig verwalteten Schlüssel derzeit nur beim Erstellen einer Registrierung aktivieren.
• Sie können die Verschlüsselung nicht mehr deaktivieren, nachdem Sie einen kundenseitig verwalteten Schlüssel in einer Registrierung aktiviert haben.
• Sie müssen eine benutzerseitig zugewiesene verwaltete Identität für den Zugriff auf den Schlüsseltresor konfigurieren. Später können Sie bei Bedarf die systemseitig zugewiesene verwaltete Identität der Registrierung für den Zugriff auf den Schlüsseltresor aktivieren.
• Azure Container Registry unterstützt nur RSA- oder RSA-HSM-Schlüssel. Elliptic Curve-Schlüssel werden derzeit nicht unterstützt.
• In einer Registrierung, die mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist, können Sie Protokolle für Azure Container Registry-Aufgaben nur 24 Stunden lang aufbewahren. Informationen zur Aufbewahrung von Protokollen für einen längeren Zeitraum finden Sie unter Anzeigen und Verwalten von Aufgabenausführungsprotokollen.
• Die Inhaltsvertrauensstellung wird derzeit nicht in einer Registrierung unterstützt, die mit einem kundenseitig verwalteten Schlüssel verschlüsselt ist.

Aktualisieren der Version des kundenseitig verwalteten Schlüssels

Azure Container Registry unterstützt sowohl die automatische als auch die manuelle Rotation von Verschlüsselungsschlüsseln der Registrierung, wenn eine neue Schlüsselversion in Azure Key Vault verfügbar ist.

Wichtig

Es ist ein wichtiger Sicherheitsaspekt für eine Registrierung mit kundenseitig verwalteter Schlüsselverschlüsselung, die Schlüsselversionen häufig zu aktualisieren (zu rotieren). Befolgen Sie die Konformitätsrichtlinien Ihres Unternehmens, um regelmäßig Schlüsselversionen zu aktualisieren, und speichern Sie dabei einen kundenseitig verwalteten Schlüssel in Azure Key Vault.

• Automatisches Aktualisieren der Schlüsselversion: Bei einer Registrierung, die mit einem nicht versionierten Schlüssel verschlüsselt ist, überprüft Azure Container Registry regelmäßig den Schlüsseltresor auf eine neue Schlüsselversion und aktualisiert den kundenseitig verwalteten Schlüssel innerhalb von einer Stunde. Daher empfehlen wir, dass Sie die Schlüsselversion auslassen, wenn Sie die Verschlüsselung der Registrierung mit einem kundenseitig verwalteten Schlüssel aktivieren. Azure Container Registry verwendet und aktualisiert dann automatisch auf die neueste Schlüsselversion.

• Manuelles Aktualisieren der Schlüsselversion: Wenn eine Registrierung mit einer bestimmten Schlüsselversion verschlüsselt ist, verwendet Azure Container Registry diese Version zur Verschlüsselung, bis Sie den kundenseitig verwalteten Schlüssel manuell rotieren. Daher empfehlen wir, dass Sie die Schlüsselversion angeben, wenn Sie die Verschlüsselung der Registrierung mit einem kundenseitig verwalteten Schlüssel aktivieren. Azure Container Registry verwendet dann eine bestimmte Version eines Schlüssels für die Registrierungsverschlüsselung.

Ausführliche Informationen finden Sie unter Schlüsselrotation und Aktualisieren der Schlüsselversion.

Nächste Schritte

• Um Ihre Containerregistrierung mit einem kundenseitig verwalteten Schlüssel über die Azure CLI, das Azure-Portal oder eine Azure Resource Manager-Vorlage zu aktivieren, wechseln Sie zum nächsten Artikel: Aktivieren eines kundenseitig verwalteten Schlüssels.
• Weitere Informationen zur Verschlüsselung ruhender Daten in Azure.
• Unter Sicherer Zugriff auf einen Schlüsseltresor erfahren Sie mehr über Zugriffsrichtlinien und das Sichern Ihres Schlüsseltresors.