Titkosítás konfigurálása az Azure Key Vault Felügyelt HSM-ben tárolt, ügyfél által felügyelt kulcsokkal
Az Azure Storage titkosítja egy inaktív tárfiók összes adatát. Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához saját kulcsokat is kezelhet. Az ügyfél által felügyelt kulcsokat az Azure Key Vault vagy Key Vault felügyelt hardveres biztonsági modellben (HSM) kell tárolni. Az Azure Key Vault managed HSM egy FIPS 140-2 3. szintű ellenőrzött HSM.
Ez a cikk bemutatja, hogyan konfigurálhatja a titkosítást a felügyelt HSM-ben tárolt ügyfél által felügyelt kulcsokkal az Azure CLI használatával. Ha meg szeretné tudni, hogyan konfigurálhatja a titkosítást egy kulcstartóban tárolt, ügyfél által felügyelt kulcsokkal, tekintse meg a Titkosítás konfigurálása az Azure Key Vault-ban tárolt ügyfél által kezelt kulcsokkal című cikket.
Megjegyzés
Az Azure Key Vault és az Azure Key Vault managed HSM ugyanazokat az API-kat és felügyeleti felületeket támogatja a konfigurációhoz.
Identitás hozzárendelése a tárfiókhoz
Először rendeljen hozzá egy rendszer által hozzárendelt felügyelt identitást a tárfiókhoz. Ezzel a felügyelt identitással adhat engedélyeket a tárfióknak a felügyelt HSM eléréséhez. A rendszer által hozzárendelt felügyelt identitásokkal kapcsolatos további információkért lásd: Mik azok az Azure-erőforrások felügyelt identitásai?
Ha felügyelt identitást szeretne hozzárendelni az Azure CLI-vel, hívja meg az az storage account update parancsot. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
Szerepkör hozzárendelése a tárfiókhoz a felügyelt HSM-hez való hozzáféréshez
Ezután rendelje hozzá a felügyelt HSM titkosítási szolgáltatás titkosítási felhasználói szerepkörét a tárfiók felügyelt identitásához, hogy a tárfiók rendelkezik engedélyekkel a felügyelt HSM-hez. A Microsoft azt javasolja, hogy a szerepkör-hozzárendelést az egyes kulcs szintjére kell korlátozni, hogy a lehető legkevesebb jogosultságot biztosítsa a felügyelt identitásnak.
A tárfiók szerepkör-hozzárendelésének létrehozásához hívja meg az az key vault role assignment create parancsot. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire.
storage_account_principal = $(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault role assignment create \
--hsm-name <hsm-name> \
--role "Managed HSM Crypto Service Encryption User" \
--assignee $storage_account_principal \
--scope /keys/<key-name>
Titkosítás konfigurálása kulccsal a felügyelt HSM-ben
Végül konfigurálja az Azure Storage-titkosítást ügyfél által felügyelt kulcsokkal a felügyelt HSM-ben tárolt kulcs használatára. A támogatott kulcstípusok közé tartoznak a 2048-es, 3072-es és 4096-os RSA-HSM-kulcsok. A kulcsok felügyelt HSM-ben való létrehozásáról a HSM-kulcs létrehozása című témakörben olvashat.
Telepítse az Azure CLI 2.12.0-s vagy újabb verzióját a titkosítás konfigurálásához, hogy ügyfél által felügyelt kulcsot használjon egy felügyelt HSM-ben. További információ: Az Azure CLI telepítése.
Az ügyfél által felügyelt kulcs kulcsverziójának automatikus frissítéséhez hagyja ki a kulcsverziót, amikor ügyfél által felügyelt kulccsal konfigurálja a titkosítást a tárfiókhoz. Az automatikus kulcsrotálás titkosításának konfigurálásáról további információt a Kulcsverzió frissítése című témakörben talál.
Ezután hívja meg az az storage account update parancsot a tárfiók titkosítási beállításainak frissítéséhez az alábbi példában látható módon. Adja meg a --encryption-key-source parameter
elemet, és állítsa be úgy, hogy Microsoft.Keyvault
engedélyezze az ügyfél által felügyelt kulcsokat a fiókhoz. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire.
hsmurl = $(az keyvault show \
--hsm-name <hsm-name> \
--query properties.hsmUri \
--output tsv)
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Az ügyfél által felügyelt kulcs verziójának manuális frissítéséhez adja meg a kulcs verzióját a tárfiók titkosításának konfigurálásakor:
az storage account update
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-version $key_version \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Ha manuálisan frissíti a kulcsverziót, frissítenie kell a tárfiók titkosítási beállításait az új verzió használatához. Először kérdezze le a key vault URI-ját az az keyvault show meghívásával, a kulcsverziót pedig az az keyvault key list-versions meghívásával. Ezután hívja meg az az storage account update parancsot, hogy frissítse a tárfiók titkosítási beállításait a kulcs új verziójának használatához, ahogy az előző példában is látható.