Share via

Konfigurieren der automatischen Schlüsselrotation in verwaltetem HSM in Azure

  • Artikel

Übersicht

Hinweis

Die automatische Schlüsselrotation erfordert mindestens die Azure CLI-Version 2.42.0.

Automatische Schlüsselrotation in verwaltetem HSM ermöglicht es Benutzern, das verwaltete HSM so zu konfigurieren, dass in einem festgelegten Intervall automatisch eine neue Schlüsselversion generiert wird. Sie können eine Rotationsrichtlinie festlegen, um die Rotation für jeden einzelnen Schlüssel festzulegen, und Sie können Schlüssel optional bei Bedarf rotieren. Es wird empfohlen, Verschlüsselungsschlüssel mindestens alle zwei Jahre zu rotieren, um bewährte kryptografische Methoden zu befolgen. Weitere Anleitungen und Empfehlungen finden Sie unter NIST SP 800-57 Teil 1.

Dieses Feature ermöglicht End-to-End-Rotation ohne Benutzereingriff für die Verschlüsselung ruhender Daten für Azure-Dienste mit kundenseitig verwalteten Schlüsseln (CMK), die im verwalteten HSM in Azure gespeichert ist. In der Dokumentation der jeweiligen Azure-Dienste finden Sie Informationen dazu, ob der betreffende Dienst End-to-End-Rotation ermöglicht.

Preise

Schlüsselrotation für verwaltetes HSM wird ohne zusätzliche Kosten angeboten. Weitere Informationen zu Preisen für verwaltetes HSM finden Sie auf der Seite Azure Key Vault-Preise.

Warnung

Verwaltetes HSM unterliegt einem Grenzwert von 100 Versionen pro Schlüssel. Schlüsselversionen, die als Teil der automatischen oder manuellen Rotation erstellt werden, werden auf diesen Grenzwert angerechnet.

Erforderliche Berechtigungen

Das Rotieren eines Schlüssels oder das Festlegen einer Richtlinie für Schlüsselrotation erfordert bestimmte Berechtigungen für die Schlüsselverwaltung. Sie können die Rolle „Managed HSM Crypto User“ (Kryptografiebenutzer für verwaltete HSMs) zuweisen, um ausreichende Berechtigungen zum Verwalten der Rotationsrichtlinie und der Rotation bei Bedarf zu erhalten.

Weitere Informationen zum Konfigurieren von lokalen RBAC-Berechtigungen für verwaltete HSMs finden Sie unter Rollenverwaltung für verwaltetes HSM.

Hinweis

Das Festlegen einer Rotationsrichtlinie erfordert die Berechtigung „Key Write“ (Schlüssel schreiben). Das Rotieren eines Schlüssels bei Bedarf erfordert „Rotation“-Berechtigungen. Beide sind in der integrierten Rolle „Managed HSM Crypto User“ enthalten.

Richtlinie für Schlüsselrotation

Mit der Richtlinie für Schlüsselrotation können Benutzer Rotationsintervalle konfigurieren und das Ablaufintervall für rotierte Schlüssel festlegen. Es muss festgelegt werden, bevor Schlüssel bei Bedarf gedreht werden können.

Hinweis

Verwaltetes HSM unterstützt keine Event Grid-Benachrichtigungen

Einstellungen der Richtlinie für Schlüsselrotation:

  • Ablaufzeit: Schlüsselablaufintervall (mindestens 28 Tage). Es wird verwendet, um das Ablaufdatum für einen neu rotierten Schlüssel festzulegen (z. B. wird der Schlüssel nach der Rotation auf einen Ablauf in 30 Tagen festgelegt).
  • Rotationstypen:
    • Automatisch erneuern zu einer bestimmten Zeit nach der Erstellung
    • Automatisch erneuern zu einer bestimmten Zeit vor dem Ablauf. „Ablaufdatum“ muss für den Schlüssel festgelegt sein, damit dieses Ereignis ausgelöst wird.

Warnung

Eine Richtlinie für automatische Schlüsselrotation kann nicht festlegen, dass neue Schlüsselversionen häufiger als einmal alle 28 Tage erstellt werden. Für erstellungsbasierte Rotationsrichtlinien bedeutet dies, dass der Mindestwert für timeAfterCreateP28D lautet. Für ablaufbasierte Rotationsrichtlinien hängt der maximale Wert von timeBeforeExpiry von der expiryTime ab. Wenn expiryTime beispielsweise P56D ist, kann timeBeforeExpiry höchstens P28D sein.

Konfigurieren einer Richtlinie für Schlüsselrotation

Azure CLI

Schreiben Sie eine Richtlinie für Schlüsselrotation, und speichern Sie sie in einer Datei. Verwenden Sie ISO8601-Dauerformate, um Zeitintervalle anzugeben. Einige Beispielrichtlinien werden im nächsten Abschnitt bereitgestellt. Verwenden Sie den folgenden Befehl, um die Regel auf einen Schlüssel anzuwenden.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Beispielrichtlinien

Den Schlüssel 18 Monate nach der Erstellung rotieren und den neuen Schlüssel auf einen Ablauf nach zwei Jahren festlegen.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Den Schlüssel 28 Tage vor dem Ablauf rotieren und den neuen Schlüssel auf einen Ablauf nach einem Jahr festlegen.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Entfernen der Richtlinie für Schlüsselrotation (wird durch Festlegen einer leeren Richtlinie bewirkt)

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotation bei Bedarf

Sobald eine Richtlinie für Schlüsselrotation für den Schlüssel festgelegt ist, können Sie den Schlüssel auch bei Bedarf rotieren. Sie müssen zuerst eine Richtlinie für Schlüsselrotation festlegen.

Azure CLI

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Ressourcen