Titkosítás konfigurálása ügyfél által felügyelt, az Azure Key Vault által felügyelt HSM-ben tárolt kulcsokkal
Az Azure Storage titkosítja egy inaktív tárfiók összes adatát. Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához kezelheti a saját kulcsait. Az ügyfél által felügyelt kulcsokat az Azure Key Vaultban vagy a Key Vault felügyelt hardveres biztonsági modellben (HSM) kell tárolni. Az Azure Key Vault által felügyelt HSM egy FIPS 140-2 3. szintű ellenőrzött HSM.
Ez a cikk bemutatja, hogyan konfigurálhatja a titkosítást felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal az Azure CLI használatával. Ha tudni szeretné, hogyan konfigurálhatja a titkosítást egy kulcstartóban tárolt ügyfél által felügyelt kulcsokkal, olvassa el a Titkosítás konfigurálása az Azure Key Vaultban tárolt ügyfél által felügyelt kulcsokkal című témakört.
Feljegyzés
Az Azure Key Vault és az Azure Key Vault felügyelt HSM ugyanazokat az API-kat és felügyeleti felületeket támogatja a konfigurációhoz.
Identitás hozzárendelése a tárfiókhoz
Először rendeljen hozzá egy rendszer által hozzárendelt felügyelt identitást a tárfiókhoz. Ezzel a felügyelt identitással biztosíthatja a tárfiók engedélyeit a felügyelt HSM eléréséhez. A rendszer által hozzárendelt felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.
Ha felügyelt identitást szeretne hozzárendelni az Azure CLI-vel, hívja meg az az storage account update-et. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
Szerepkör hozzárendelése a tárfiókhoz a felügyelt HSM-hez való hozzáféréshez
Ezután rendelje hozzá a felügyelt HSM titkosítási szolgáltatás titkosítási felhasználói szerepkörét a tárfiók felügyelt identitásához, hogy a tárfiók rendelkezik engedélyekkel a felügyelt HSM-hez. A Microsoft azt javasolja, hogy a szerepkör-hozzárendelést az egyéni kulcs szintjére terjedje ki, hogy a lehető legkevesebb jogosultságot biztosítsa a felügyelt identitásnak.
A tárfiók szerepkör-hozzárendelésének létrehozásához hívja meg az az key vault szerepkör-hozzárendelés létrehozását. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.
storage_account_principal = $(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault role assignment create \
--hsm-name <hsm-name> \
--role "Managed HSM Crypto Service Encryption User" \
--assignee $storage_account_principal \
--scope /keys/<key-name>
Titkosítás konfigurálása kulccsal a felügyelt HSM-ben
Végül konfigurálja az Azure Storage-titkosítást ügyfél által felügyelt kulcsokkal a felügyelt HSM-ben tárolt kulcs használatára. A támogatott kulcstípusok közé tartoznak a 2048-es, 3072-es és 4096-os RSA-HSM-kulcsok. Ha szeretné megtudni, hogyan hozhat létre kulcsot felügyelt HSM-ben, olvassa el a HSM-kulcsok létrehozását ismertető témakört.
Telepítse az Azure CLI 2.12.0-s vagy újabb verzióját a titkosítás konfigurálásához, hogy ügyfél által felügyelt kulcsot használjon egy felügyelt HSM-ben. További információ: Az Azure CLI telepítése.
Az ügyfél által felügyelt kulcs kulcsverziójának automatikus frissítéséhez hagyja ki a kulcsverziót, amikor a tárfiók ügyfél által felügyelt kulcsaival konfigurálja a titkosítást. Az automatikus kulcsváltás titkosításának konfigurálásáról további információt a kulcsverzió frissítése című témakörben talál.
Ezután hívja meg az az storage account update-et a tárfiók titkosítási beállításainak frissítéséhez, ahogyan az az alábbi példában látható. Adja meg és --encryption-key-source parameter állítsa be úgy, hogy Microsoft.Keyvault engedélyezze az ügyfél által felügyelt kulcsokat a fiókhoz. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.
hsmurl = $(az keyvault show \
--hsm-name <hsm-name> \
--query properties.hsmUri \
--output tsv)
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Az ügyfél által felügyelt kulcsok verziójának manuális frissítéséhez adja meg a kulcs verzióját a tárfiók titkosításának konfigurálásakor:
az storage account update
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-version $key_version \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Ha manuálisan frissíti a kulcsverziót, frissítenie kell a tárfiók titkosítási beállításait az új verzió használatához. Először a key vault URI-jának lekérdezéséhez hívja meg az az keyvault show-t, a kulcsverziót pedig az keyvault key list-versions meghívásával. Ezután hívja meg az az storage account update-et , hogy frissítse a tárfiók titkosítási beállításait a kulcs új verziójának használatához, ahogy az az előző példában is látható.