Ügyfél által felügyelt kulcsok kezelése az Azure Elastic SAN-hoz

A rugalmas SAN-kötetre írt összes adat automatikusan titkosítva lesz egy adattitkosítási kulccsal (DEK). Az Azure DEK-k mindig platform által felügyeltek (a Microsoft felügyeli). Az Azure borítéktitkosítást, más néven burkolást használ, amely egy kulcstitkosítási kulcs (KEK) használatával titkosítja a DEK-t. Alapértelmezés szerint a KEK platform által felügyelt, de létrehozhatja és kezelheti a saját KEK-ét. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlés kezeléséhez, és segíthetnek megfelelni a szervezet biztonsági és megfelelőségi követelményeinek.

A kulcstitkosítási kulcsok minden aspektusát szabályozhatja, beleértve a következőket:

• Melyik kulcsot használja a rendszer?
• A kulcsok tárolási helye
• A kulcsok elforgatása
• Váltás az ügyfél által felügyelt és a platform által felügyelt kulcsok között

Ez a cikk az ügyfél által felügyelt KEK-k kezelését ismerteti.

Feljegyzés

A borítéktitkosítással anélkül módosíthatja a kulcskonfigurációt, hogy az hatással lenne a rugalmas SAN-kötetekre. A módosításkor az Elastic SAN szolgáltatás újra titkosítja az adattitkosítási kulcsokat az új kulcsokkal. Az adattitkosítási kulcs védelme megváltozik, de a rugalmas SAN-kötetekben lévő adatok mindig titkosítva maradnak. Az adatok védelmének biztosításához nincs szükség további műveletre. A kulcskonfiguráció módosítása nem befolyásolja a teljesítményt, és nincs ilyen változáshoz kapcsolódó állásidő.

Korlátozások

Az alábbi lista tartalmazza azokat a régiókat, amelyekben az Elastic SAN jelenleg elérhető, és mely régiók támogatják a zónaredundáns tárolást (ZRS) és a helyileg redundáns tárolást (LRS), vagy csak az LRS-t:

• Dél-Afrika észak - LRS
• Kelet-Ázsia – LRS
• Délkelet-Ázsia - LRS
• Dél-Brazília – LRS
• Kanada középső régiója – LRS
• Franciaország középső régiója – LRS & ZRS
• Németország nyugati középső régiója – LRS
• Kelet-Ausztrália – LRS
• Észak-Európa - LRS > ZRS
• Nyugat-Európa - LRS > ZRS
• Egyesült Királyság déli régiója – LRS
• Kelet-Japán – LRS
• Korea középső régiója – LRS
• Az USA középső régiója
• USA keleti régiója – LRS
• USA déli középső régiója – LRS
• USA 2. keleti régiója – LRS
• USA 2. nyugati régiója – LRS & ZRS
• USA 3. nyugati régiója – LRS
• Svédország középső régiója – LRS
• Észak-Svájc - LRS

A kulcs módosítása

Az Azure Elastic SAN-titkosításhoz használt kulcsot bármikor módosíthatja.

PowerShell

A kulcs PowerShell-lel való módosításához hívja meg az Update-AzElasticSanVolumeGroup csoportot , és adja meg az új kulcs nevét és verzióját. Ha az új kulcs egy másik kulcstartóban található, akkor frissítenie kell a kulcstartó URI-t is.

Azure CLI

Ha módosítani szeretné a kulcsot az Azure CLI-vel, hívja meg az elastic-san kötetcsoport frissítését , és adja meg az új kulcs nevét és verzióját. Ha az új kulcs egy másik kulcstartóban található, akkor frissítenie kell a kulcstartó URI-t is.

Ha az új kulcs egy másik kulcstartóban található, hozzáférést kell adnia a felügyelt identitásnak az új tárolóban lévő kulcshoz. Ha a kulcsverzió manuális frissítését választja, a kulcstartó URI-ját is frissítenie kell.

A kulcsverzió frissítése

A titkosítási ajánlott eljárások követése azt jelenti, hogy a rugalmas SAN-kötetcsoportot védő kulcs elforgatása rendszeres ütemezés szerint történik, általában legalább kétévente. Az Azure Elastic SAN soha nem módosítja a kulcsot a kulcstartóban, de konfigurálhat egy kulcsforgatási szabályzatot, hogy a megfelelőségi követelményeknek megfelelően forgassa el a kulcsot. További információ: Titkosítási kulcs automatikus elforgatásának konfigurálása az Azure Key Vaultban.

A kulcs kulcstartóban való elforgatása után az rugalmas SAN-kötetcsoport ügyfél által felügyelt KEK-konfigurációját frissíteni kell az új kulcsverzió használatához. Az ügyfél által kezelt kulcsok támogatják a KEK-verzió automatikus és manuális frissítését is. Az ügyfél által felügyelt kulcsok kezdeti konfigurálásakor vagy a konfiguráció frissítésekor eldöntheti, hogy melyik módszert szeretné használni.

A kulcs vagy a kulcsverzió módosításakor a gyökértitkosítási kulcs védelme megváltozik, de az Azure Elastic SAN-kötetcsoportban lévő adatok mindig titkosítva maradnak. Nincs szükség további műveletre az adatok védelmének biztosításához. A kulcsverzió elforgatása nem befolyásolja a teljesítményt, és nincs a kulcsverzió elforgatásával járó állásidő.

Fontos

Kulcs elforgatásához hozzon létre egy új verziót a kulcstartóban a megfelelőségi követelményeknek megfelelően. Az Azure Elastic SAN nem kezeli a kulcsforgatást, ezért a kulcs elforgatását a kulcstartóban kell kezelnie.

Az ügyfél által felügyelt kulcsokhoz használt kulcs elforgatásakor a rendszer jelenleg nem naplózza a műveletet az Azure Elastic SAN Azure Monitor-naplóiba.

A kulcsverzió automatikus frissítése

Ha egy ügyfél által felügyelt kulcsot szeretne automatikusan frissíteni, amikor új verzió érhető el, hagyja ki a kulcsverziót, amikor engedélyezi a titkosítást az elastic SAN-kötetcsoport ügyfél által felügyelt kulcsaival. Ha a kulcsverzió nincs megadva, az Azure Elastic SAN naponta ellenőrzi a kulcstartót egy ügyfél által felügyelt kulcs új verziójáért. Ha új kulcsverzió érhető el, akkor az Azure Elastic SAN automatikusan a kulcs legújabb verzióját használja.

Az Azure Elastic SAN naponta csak egyszer ellenőrzi a kulcstartót egy új kulcsverzióhoz. A kulcs elforgatásakor mindenképpen várjon 24 órát, mielőtt letiltja a régebbi verziót.

Ha az Elastic SAN kötetcsoport korábban a kulcsverzió manuális frissítésére lett konfigurálva, és automatikus frissítésre szeretné módosítani, előfordulhat, hogy explicit módon módosítania kell a kulcsverziót egy üres sztringre. Ennek módjáról további információt a Manuális kulcsverzió-rotáció című témakörben talál.

A kulcsverzió manuális frissítése

Az Azure Elastic SAN-titkosításhoz használt kulcs adott verziójának használatához adja meg ezt a kulcsverziót, ha engedélyezi a titkosítást az ügyfél által felügyelt kulcsokkal az Elastic SAN-kötetcsoporthoz. Ha megadja a kulcsverziót, az Azure Elastic SAN ezt a verziót használja a titkosításhoz, amíg manuálisan nem frissíti a kulcsverziót.

Ha a kulcsverzió explicit módon van megadva, manuálisan kell frissítenie az Elastic SAN kötetcsoportot az új kulcsverzió URI-jának használatához egy új verzió létrehozásakor. Ha tudni szeretné, hogyan frissítheti az Elastic SAN-kötetcsoportot a kulcs új verziójának használatára, olvassa el a Titkosítás konfigurálása az Azure Key Vaultban tárolt ügyfél által felügyelt kulcsokkal című témakört.

Ügyfél által felügyelt kulcsokat használó kötetcsoporthoz való hozzáférés visszavonása

Az ügyfél által felügyelt kulcsokat használó rugalmas SAN-kötetcsoporthoz való hozzáférés ideiglenes visszavonásához tiltsa le a kulcstartóban jelenleg használt kulcsot. A kulcs letiltásával és újbóli letiltásával nincs hatással a teljesítményre vagy az állásidőre.

Miután a kulcs le lett tiltva, az ügyfelek nem hívhatják meg a kötetcsoport köteteibe vagy metaadataikba olvasási vagy írási műveleteket.

Figyelem

Ha letiltja a kulcsot a kulcstartóban, az Azure Elastic SAN-kötetcsoportban lévő adatok titkosítva maradnak, de nem lesznek elérhetők, amíg újra nem érhetővé nem teszi a kulcsot.

PowerShell

Ha vissza szeretne vonni egy ügyfél által felügyelt kulcsot a PowerShell használatával, hívja meg az Update-AzKeyVaultKey parancsot az alábbi példában látható módon. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire a változók definiálásához, vagy használja az előző példákban definiált változókat.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Azure CLI

Ha vissza szeretne vonni egy ügyfél által felügyelt kulcsot az Azure CLI-vel, hívja meg az az keyvault key set-attributes parancsot az alábbi példában látható módon. Ne felejtse el lecserélni a helyőrző értékeket a saját értékeire a változók definiálásához, vagy használja az előző példákban definiált változókat.

KvName="key-vault-name"
KeyName="key-name"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $KvName \
    --name $KeyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $KvName \
    --name $KeyName \
    --enabled $enabled

Visszaváltás platform által felügyelt kulcsra

Az azure PowerShell-modul vagy az Azure CLI használatával bármikor válthat az ügyfél által felügyelt kulcsról a platform által felügyelt kulcsra.

PowerShell

Ha az ügyfél által felügyelt kulcsokról a PowerShell használatával szeretne visszaállni a platform által felügyelt kulcsokra, hívja meg az Update-AzElasticSanVolumeGroup parancsot a -Encryption lehetőséggel, ahogyan az az alábbi példában is látható. Ne felejtse el lecserélni a helyőrző értékeket a saját értékeire, és használja az előző példákban definiált változókat.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey 

Azure CLI

Ha az Azure CLI-vel vissza szeretne váltani az ügyfél által felügyelt kulcsról a platform által felügyelt kulcsra, hívja meg az elastic-san kötetcsoport frissítését , és állítsa a --encryption paramétert EncryptionAtRestWithPlatformKeya következő példában látható módon. Cserélje le az összes helyőrző szöveget a saját értékeire, majd futtassa a parancsot:

az elastic-san volume-group update \
    --elastic-san-name <ElasticSanName> \
    --name <ElasticSanVolumeGroupName> \
    --resource-group <ResourceGroupName> \
    --encryption EncryptionAtRestWithPlatformKey

Lásd még

• Ügyfél által felügyelt kulcsok konfigurálása Azure Elastic SAN-hoz az Azure Key Vault használatával