Mengonfigurasi kunci yang dikelola pelanggan di brankas kunci Azure untuk akun penyimpanan yang sudah ada

Azure Storage mengenkripsi semua data dalam akun penyimpanan saat tidak aktif. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda dapat mengelola kunci Anda sendiri. Kunci yang dikelola pelanggan harus disimpan di Azure Key Vault atau Key Vault Managed Hardware Security Model (HSM).

Artikel ini memperlihatkan cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada. Kunci yang dikelola pelanggan disimpan di brankas kunci.

Untuk mempelajari cara mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru, lihat Mengonfigurasi kunci yang dikelola pelanggan di vault kunci Azure untuk akun penyimpanan baru.

Untuk mempelajari cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di HSM terkelola, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM.

Catatan

Azure Key Vault dan Azure Key Vault Managed HSM mendukung API dan antarmuka manajemen yang sama untuk konfigurasi.

Mengonfigurasi brankas kunci

Anda dapat menggunakan brankas kunci baru atau yang ada untuk menyimpan kunci yang dikelola pelanggan. Akun penyimpanan dan key vault mungkin berada di kawasan atau langganan yang berbeda di penyewa yang sama. Untuk mempelajari Azure Key Vault lebih lanjut, lihat Ringkasan Azure Key Vault dan Apa yang dimaksud dengan Azure Key Vault?.

Menggunakan kunci yang dikelola pelanggan dengan enkripsi Azure Storage mengharuskan penghapusan sementara dan perlindungan hapus menyeluruh diaktifkan untuk brankas kunci. Penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru dan tidak dapat dinonaktifkan. Anda dapat mengaktifkan perlindungan hapus menyeluruh baik saat membuat brankas kunci atau setelah dibuat.

Untuk mempelajari cara membuat brankas kunci dengan portal Microsoft Azure, lihat Mulai cepat: Membuat Azure Key Vault menggunakan portal Microsoft Azure. Saat Anda membuat brankas kunci, pilih Aktifkan perlindungan hapus menyeluruh, seperti yang ditunjukkan pada gambar berikut.

Cuplikan layar menunjukkan cara mengaktifkan perlindungan hapus menyeluruh saat membuat brankas kunci.

Untuk mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada, ikuti langkah-langkah berikut:

  1. Navigasi ke brankas kunci Anda di portal Microsoft Azure.
  2. Di bawah Pengaturan, pilih Properti.
  3. Di bagian Perlindungan hapus menyeluruh, pilih Aktifkan perlindungan hapus menyeluruh.

Menambahkan kunci

Selanjutnya, tambahkan kunci ke brankas kunci.

Enkripsi Azure Storage mendukung kunci RSA dan RSA-HSM dengan ukuran 2048, 3072, dan 4096. Untuk informasi selengkapnya mengenai jenis kunci yang didukung, lihat Tentang kunci.

Untuk mempelajari cara menambahkan kunci dengan portal Microsoft Azure, lihat Mulai cepat: Mengatur dan mengambil kunci dari Azure Key Vault menggunakan portal Microsoft Azure.

Pilih identitas terkelola untuk mengotorisasi akses ke brankas kunci

Saat mengaktifkan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada, Anda harus menentukan identitas terkelola yang akan digunakan untuk mengotorisasi akses ke brankas kunci yang berisi kunci. Identitas terkelola harus memiliki izin untuk mengakses kunci dalam brankas kunci.

Identitas terkelola yang mengotorisasi akses ke brankas kunci dapat berupa identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna. Untuk mempelajari lebih lanjut identitas terkelola yang ditetapkan sistem versus identitas terkelola yang ditetapkan pengguna, lihat Jenis identitas terkelola.

Menggunakan identitas terkelola yang ditetapkan pengguna untuk mengotorisasi akses

Identitas terkelola yang ditetapkan pengguna adalah sumber daya Azure mandiri. Anda harus membuat identitas yang ditetapkan pengguna sebelum Anda mengonfigurasi kunci yang dikelola pelanggan. Untuk mempelajari cara membuat dan mengelola identitas terkelola yang ditetapkan pengguna, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

Saat mengonfigurasi kunci yang dikelola pelanggan dengan portal Azure, Anda dapat memilih identitas yang ditetapkan pengguna yang sudah ada melalui antarmuka pengguna portal. Untuk detailnya, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk akun yang sudah ada.

Menggunakan identitas terkelola yang ditetapkan sistem untuk mengotorisasi akses

Identitas terkelola yang ditetapkan sistem dikaitkan dengan instans layanan Azure, dalam hal ini adalah akun Azure Storage. Anda harus secara eksplisit menetapkan identitas terkelola yang ditetapkan sistem ke akun penyimpanan sebelum Anda dapat menggunakan identitas terkelola yang ditetapkan sistem untuk mengotorisasi akses ke brankas kunci yang berisi kunci yang dikelola pelanggan.

Hanya akun penyimpanan yang sudah ada yang dapat menggunakan identitas yang ditetapkan sistem untuk mengotorisasi akses ke brankas kunci. Akun penyimpanan baru harus menggunakan identitas yang ditetapkan pengguna, jika kunci yang dikelola pelanggan dikonfigurasi pada pembuatan akun.

Saat Anda mengonfigurasi kunci yang dikelola pelanggan dengan portal Azure menggunakan identitas terkelola yang ditetapkan sistem, identitas terkelola yang ditetapkan sistem ditetapkan ke akun penyimpanan untuk Anda secara rahasia. Untuk detailnya, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk akun yang sudah ada.

Mengonfigurasi kebijakan akses brankas kunci

Langkah berikutnya adalah mengonfigurasi kebijakan akses brankas kunci. Kebijakan akses brankas kunci memberikan izin untuk identitas terkelola yang akan digunakan untuk mengotorisasi akses ke brankas kunci. Untuk mempelajari lebih lanjut kebijakan akses brankas kunci, lihat Ringkasan Azure Key Vault dan Ringkasan keamanan Azure Key Vault.

Untuk mempelajari cara mengonfigurasi kebijakan akses brankas kunci dengan portal Azure, lihat Menetapkan kebijakan akses Azure Key Vault.

Mengonfigurasi kunci yang dikelola pelanggan untuk akun yang sudah ada

Saat mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada, Anda dapat memilih untuk memperbarui secara otomatis versi kunci yang digunakan untuk enkripsi Azure Storage setiap kali versi baru tersedia di brankas kunci terkait. Secara bergantian, Anda dapat secara eksplisit menentukan versi kunci yang akan digunakan untuk enkripsi hingga versi kunci diperbarui secara manual.

Anda dapat menggunakan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna untuk mengotorisasi akses ke brankas kunci saat mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada.

Catatan

Untuk memutar kunci, buat versi baru kunci di Azure Key Vault. Azure Storage tidak menangani rotasi kunci, jadi Anda harus mengelola rotasi kunci di brankas kunci. Anda dapat mengonfigurasi rotasi otomatis kunci di Azure Key Vault atau memutar kunci Anda secara manual.

Mengonfigurasi enkripsi untuk pembaruan otomatis versi kunci

Azure Storage dapat memperbarui secara otomatis kunci yang dikelola pelanggan yang digunakan untuk enkripsi agar menggunakan versi kunci terbaru dari brankas kunci. Azure Storage memeriksa brankas kunci setiap hari untuk versi baru kunci. Ketika versi baru tersedia, Azure Storage secara otomatis mulai menggunakan versi terbaru kunci untuk enkripsi.

Penting

Azure Storage memeriksa brankas kunci untuk versi kunci baru hanya sekali setiap hari. Saat Anda memutar kunci, pastikan untuk menunggu 24 jam sebelum menonaktifkan versi yang lebih lama.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk akun yang sudah ada dengan pembaruan otomatis versi kunci di portal Azure, ikuti langkah-langkah ini:

  1. Navigasi ke akun penyimpanan Anda.

  2. Pada bilah Pengaturan untuk akun penyimpanan, pilih Enkripsi. Secara default, manajemen kunci diatur ke Kunci yang Dikelola Microsoft, seperti yang ditunjukkan pada gambar berikut.

    Cuplikan layar yang menampilkan pilihan enkripsi di portal Azure.

  3. Pilih opsi Kunci yang Dikelola Pelanggan.

  4. Pilih opsi Pilih dari Key Vault.

  5. Pilih Pilih brankas kunci dan kunci.

  6. Pilih brankas kunci yang berisi kunci yang ingin Anda gunakan. Anda juga dapat membuat brankas kunci baru.

  7. Pilih kunci dari brankas kunci. Anda juga dapat membuat kunci baru.

    Cuplikan layar yang menampilkan cara memilih brankas kunci dan kunci di portal Azure.

  8. Pilih jenis identitas yang akan digunakan untuk mengautentikasi akses ke brankas kunci. Opsinya mencakup Ditetapkan sistem (default) atau Ditetapkan pengguna. Untuk mempelajari selengkapnya tentang setiap jenis identitas terkelola, lihat Jenis identitas terkelola.

    1. Jika Anda memilih Ditetapkan sistem, identitas terkelola yang ditetapkan sistem untuk akun penyimpanan dibuat di bawah cakupan, jika belum ada.
    2. Jika Anda memilih Ditetapkan pengguna, Anda harus memilih identitas yang ditetapkan pengguna yang memiliki izin untuk mengakses brankas kunci. Untuk mempelajari cara membuat identitas yang ditetapkan pengguna, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

    Cuplikan layar yang menampilkan cara memilih identitas terkelola yang ditetapkan pengguna untuk autentifikasi brankas kunci.

  9. Simpan perubahan Anda.

Setelah Anda menentukan kunci, portal Microsoft Azure menunjukkan bahwa pembaruan otomatis versi kunci diaktifkan dan menampilkan versi kunci yang saat ini digunakan untuk enkripsi. Portal juga menampilkan jenis identitas terkelola yang digunakan untuk mengotorisasi akses ke brankas kunci dan ID prinsipal untuk identitas terkelola.

Cuplikan layar yang menampilkan pembaruan otomatis versi kunci yang diaktifkan.

Mengonfigurasi enkripsi untuk pembaruan manual versi kunci

Jika Anda lebih suka memperbarui versi kunci secara manual, maka secara eksplisit tentukan versi pada saat Anda mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan. Dalam hal ini, Azure Storage tidak akan memperbarui secara otomatis versi kunci ketika versi baru dibuat di brankas kunci. Untuk menggunakan versi kunci baru, Anda harus memperbarui secara manual versi yang digunakan untuk enkripsi Azure Storage.

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci di portal Microsoft Azure, tentukan URI kunci, termasuk versinya. Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

  1. Untuk menemukan URI kunci di portal Azure, navigasi ke brankas kunci Anda, dan pilih pengaturan Kunci. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

  2. Salin nilai bidang Pengidentifikasi Kunci yang memberikan URI.

    Cuplikan layar yang menampilkan URI kunci brankas kunci di portal Azure.

  3. Di pengaturan Kunci enkripsi untuk akun penyimpanan Anda, pilih opsi Masukkan URI kunci.

  4. Tempel URI yang Anda salin ke bidang URI Kunci. Abaikan versi kunci dari URI untuk mengaktifkan pembaruan otomatis versi kunci.

    Cuplikan layar yang menampilkan cara memasukkan URI kunci di portal Azure.

  5. Tentukan langganan yang berisi brankas kunci.

  6. Tentukan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna.

  7. Simpan perubahan Anda.

Mengubah kunci

Anda dapat mengubah kunci yang Anda gunakan untuk enkripsi Azure Storage kapan saja.

Untuk mengubah kunci dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
  2. Pilih brankas kunci dan pilih kunci baru.
  3. Simpan perubahan Anda.

Mencabut kunci yang dikelola pelanggan

Mencabut kunci yang dikelola pelanggan akan menghapus asosiasi antara akun penyimpanan dan brankas kunci.

Untuk mencabut kunci yang dikelola pelanggan dengan portal Microsoft Azure, nonaktifkan kunci seperti yang dijelaskan di Menonaktifkan kunci yang dikelola pelanggan.

Menonaktifkan kunci yang dikelola pelanggan

Saat Anda menonaktifkan kunci yang dikelola pelanggan, akun penyimpanan Anda sekali lagi dienkripsi dengan kunci yang dikelola Microsoft.

Untuk menonaktifkan kunci yang dikelola pelanggan di portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
  2. Batal pilih kotak centang di samping pengaturan Gunakan kunci Anda sendiri.

Langkah berikutnya