Konfigurieren der automatischen Schlüsselrotation in verwaltetem HSM in Azure
Übersicht
Hinweis
Die automatische Schlüsselrotation erfordert mindestens die Azure CLI-Version 2.42.0.
Automatische Schlüsselrotation in verwaltetem HSM ermöglicht es Benutzern, das verwaltete HSM so zu konfigurieren, dass in einem festgelegten Intervall automatisch eine neue Schlüsselversion generiert wird. Sie können eine Rotationsrichtlinie festlegen, um die Rotation für jeden einzelnen Schlüssel festzulegen, und Sie können Schlüssel optional bei Bedarf rotieren. Es wird empfohlen, Verschlüsselungsschlüssel mindestens alle zwei Jahre zu rotieren, um bewährte kryptografische Methoden zu befolgen. Weitere Anleitungen und Empfehlungen finden Sie unter NIST SP 800-57 Teil 1.
Dieses Feature ermöglicht End-to-End-Rotation ohne Benutzereingriff für die Verschlüsselung ruhender Daten für Azure-Dienste mit kundenseitig verwalteten Schlüsseln (CMK), die im verwalteten HSM in Azure gespeichert ist. In der Dokumentation der jeweiligen Azure-Dienste finden Sie Informationen dazu, ob der betreffende Dienst End-to-End-Rotation ermöglicht.
Preise
Schlüsselrotation für verwaltetes HSM wird ohne zusätzliche Kosten angeboten. Weitere Informationen zu Preisen für verwaltetes HSM finden Sie auf der Seite Azure Key Vault-Preise.
Warnung
Verwaltetes HSM unterliegt einem Grenzwert von 100 Versionen pro Schlüssel. Schlüsselversionen, die als Teil der automatischen oder manuellen Rotation erstellt werden, werden auf diesen Grenzwert angerechnet.
Erforderliche Berechtigungen
Das Rotieren eines Schlüssels oder das Festlegen einer Richtlinie für Schlüsselrotation erfordert bestimmte Berechtigungen für die Schlüsselverwaltung. Sie können die Rolle „Managed HSM Crypto User“ (Kryptografiebenutzer für verwaltete HSMs) zuweisen, um ausreichende Berechtigungen zum Verwalten der Rotationsrichtlinie und der Rotation bei Bedarf zu erhalten.
Weitere Informationen zum Konfigurieren von lokalen RBAC-Berechtigungen für verwaltete HSMs finden Sie unter Rollenverwaltung für verwaltetes HSM.
Hinweis
Das Festlegen einer Rotationsrichtlinie erfordert die Berechtigung „Key Write“ (Schlüssel schreiben). Das Rotieren eines Schlüssels bei Bedarf erfordert „Rotation“-Berechtigungen. Beide sind in der integrierten Rolle „Managed HSM Crypto User“ enthalten.
Richtlinie für Schlüsselrotation
Mit der Richtlinie für Schlüsselrotation können Benutzer Rotationsintervalle konfigurieren und das Ablaufintervall für rotierte Schlüssel festlegen. Es muss festgelegt werden, bevor Schlüssel bei Bedarf gedreht werden können.
Hinweis
Verwaltetes HSM unterstützt keine Event Grid-Benachrichtigungen
Einstellungen der Richtlinie für Schlüsselrotation:
- Ablaufzeit: Schlüsselablaufintervall (mindestens 28 Tage). Es wird verwendet, um das Ablaufdatum für einen neu rotierten Schlüssel festzulegen (z. B. wird der Schlüssel nach der Rotation auf einen Ablauf in 30 Tagen festgelegt).
- Rotationsarten:
- Automatisch erneuern zu einer bestimmten Zeit nach der Erstellung
- Automatisch erneuern zu einer bestimmten Zeit vor dem Ablauf. „Ablaufdatum“ muss für den Schlüssel festgelegt sein, damit dieses Ereignis ausgelöst wird.
Warnung
Eine Richtlinie für automatische Schlüsselrotation kann nicht festlegen, dass neue Schlüsselversionen häufiger als einmal alle 28 Tage erstellt werden. Für erstellungsbasierte Rotationsrichtlinien bedeutet dies, dass der Mindestwert für timeAfterCreate
P28D
lautet. Für ablaufbasierte Rotationsrichtlinien hängt der maximale Wert von timeBeforeExpiry
von der expiryTime
ab. Wenn expiryTime
beispielsweise P56D
ist, kann timeBeforeExpiry
höchstens P28D
sein.
Konfigurieren einer Richtlinie für Schlüsselrotation
Azure CLI
Schreiben Sie eine Richtlinie für Schlüsselrotation, und speichern Sie sie in einer Datei. Verwenden Sie ISO8601-Dauerformate, um Zeitintervalle anzugeben. Einige Beispielrichtlinien werden im nächsten Abschnitt bereitgestellt. Verwenden Sie den folgenden Befehl, um die Regel auf einen Schlüssel anzuwenden.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Beispielrichtlinien
Den Schlüssel 18 Monate nach der Erstellung rotieren und den neuen Schlüssel auf einen Ablauf nach zwei Jahren festlegen.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Den Schlüssel 28 Tage vor dem Ablauf rotieren und den neuen Schlüssel auf einen Ablauf nach einem Jahr festlegen.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Entfernen der Richtlinie für Schlüsselrotation (wird durch Festlegen einer leeren Richtlinie bewirkt)
{
"lifetimeActions": [],
"attributes": {}
}
Rotation bei Bedarf
Sobald eine Richtlinie für Schlüsselrotation für den Schlüssel festgelegt ist, können Sie den Schlüssel auch bei Bedarf rotieren. Sie müssen zuerst eine Richtlinie für Schlüsselrotation festlegen.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>