Mengonfigurasi kunci yang dikelola pelanggan di penyewa yang sama untuk akun penyimpanan yang ada

Azure Storage mengenkripsi semua data di akun penyimpanan ketika tidak aktif. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol lebih lanjut atas kunci enkripsi, Anda dapat mengelola kunci Anda sendiri. Kunci yang dikelola pelanggan harus disimpan di Azure Key Vault atau Key Vault Managed Hardware Security Model (HSM).

Artikel ini menunjukkan cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang ada saat akun penyimpanan dan brankas kunci berada di penyewa yang sama. Kunci yang dikelola pelanggan disimpan di brankas kunci.

Untuk mempelajari cara mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru, lihat Mengonfigurasi kunci yang dikelola pelanggan di vault kunci Azure untuk akun penyimpanan baru.

Untuk mempelajari cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di HSM terkelola, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM.

Catatan

Azure Key Vault dan Azure Key Vault Managed HSM mendukung API dan antarmuka manajemen yang sama untuk konfigurasi kunci yang dikelola pelanggan. Tindakan apa pun yang didukung untuk Azure Key Vault juga didukung untuk Azure Key Vault Managed HSM.

Mengonfigurasi brankas kunci

Anda dapat menggunakan brankas kunci baru atau yang ada untuk menyimpan kunci yang dikelola pelanggan. Akun penyimpanan dan key vault mungkin berada di kawasan atau langganan yang berbeda di penyewa yang sama. Untuk mempelajari Azure Key Vault lebih lanjut, lihat Ringkasan Azure Key Vault dan Apa yang dimaksud dengan Azure Key Vault?.

Menggunakan kunci yang dikelola pelanggan dengan enkripsi Azure Storage mengharuskan penghapusan sementara dan perlindungan hapus menyeluruh diaktifkan untuk brankas kunci. Penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru dan tidak dapat dinonaktifkan. Anda dapat mengaktifkan perlindungan hapus menyeluruh baik saat membuat brankas kunci atau setelah dibuat.

Azure Key Vault mendukung otorisasi dengan Azure RBAC melalui model izin Azure RBAC. Microsoft merekomendasikan penggunaan model izin Azure RBAC melalui kebijakan akses brankas kunci. Untuk informasi selengkapnya, lihat Memberikan izin ke aplikasi untuk mengakses brankas kunci Azure menggunakan Azure RBAC.

Untuk mempelajari cara membuat brankas kunci dengan portal Microsoft Azure, lihat Mulai cepat: Membuat Azure Key Vault menggunakan portal Microsoft Azure. Saat Anda membuat brankas kunci, pilih Aktifkan perlindungan hapus menyeluruh, seperti yang ditunjukkan pada gambar berikut.

Screenshot showing how to enable purge protection when creating a key vault.

Untuk mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada, ikuti langkah-langkah berikut:

  1. Navigasi ke brankas kunci Anda di portal Microsoft Azure.
  2. Di bawah Pengaturan, pilih Properti.
  3. Di bagian Perlindungan hapus menyeluruh, pilih Aktifkan perlindungan hapus menyeluruh.

Menambahkan kunci

Selanjutnya, tambahkan kunci ke brankas kunci. Sebelum Anda menambahkan kunci, pastikan Anda telah menetapkan sendiri peran Petugas Kripto Key Vault.

Enkripsi Azure Storage mendukung kunci RSA dan RSA-HSM dengan ukuran 2048, 3072, dan 4096. Untuk informasi selengkapnya mengenai jenis kunci yang didukung, lihat Tentang kunci.

Untuk mempelajari cara menambahkan kunci dengan portal Microsoft Azure, lihat Mulai cepat: Mengatur dan mengambil kunci dari Azure Key Vault menggunakan portal Microsoft Azure.

Pilih identitas terkelola untuk mengotorisasi akses ke brankas kunci

Saat mengaktifkan kunci yang dikelola pelanggan untuk akun penyimpanan yang ada, Anda harus menentukan identitas terkelola yang akan digunakan untuk mengotorisasi akses ke brankas kunci yang berisi kunci. Identitas terkelola harus memiliki izin untuk mengakses kunci dalam brankas kunci.

Identitas terkelola yang mengotorisasi akses ke brankas kunci dapat berupa identitas terkelola yang ditetapkan pengguna atau yang ditetapkan sistem. Untuk mempelajari lebih lanjut identitas terkelola yang ditetapkan sistem versus identitas terkelola yang ditetapkan pengguna, lihat Jenis identitas terkelola.

Menggunakan identitas terkelola yang ditetapkan pengguna untuk mengotorisasi akses

Saat mengaktifkan kunci yang dikelola pelanggan untuk akun penyimpanan baru, Anda harus menentukan identitas terkelola yang ditetapkan pengguna. Akun penyimpanan yang ada mendukung penggunaan identitas terkelola yang ditetapkan pengguna atau identitas terkelola yang ditetapkan sistem untuk mengonfigurasi kunci yang dikelola pelanggan.

Saat Anda mengonfigurasi kunci yang dikelola pelanggan dengan identitas terkelola yang ditetapkan pengguna, identitas terkelola yang ditetapkan pengguna digunakan untuk mengotorisasi akses ke brankas kunci yang berisi kunci. Anda harus membuat identitas yang ditetapkan pengguna sebelum Anda mengonfigurasi kunci yang dikelola pelanggan.

Identitas terkelola yang ditetapkan pengguna adalah sumber daya Azure mandiri. Untuk mempelajari lebih lanjut identitas terkelola yang ditetapkan pengguna, lihat Jenis identitas terkelola. Untuk mempelajari cara membuat dan mengelola identitas terkelola yang ditetapkan pengguna, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

Identitas terkelola yang ditetapkan pengguna harus memiliki izin yang sesuai untuk mengakses kunci di brankas kunci. Tetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke identitas terkelola yang ditetapkan pengguna dengan cakupan brankas kunci untuk memberikan izin ini.

Sebelum Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan identitas terkelola yang ditetapkan pengguna, Anda harus menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke identitas terkelola yang ditetapkan pengguna, yang dilingkupkan ke brankas kunci. Peran ini memberikan izin identitas terkelola yang ditetapkan pengguna untuk mengakses kunci di brankas kunci. Untuk informasi selengkapnya tentang menetapkan peran Azure RBAC dengan portal Azure, lihat Menetapkan peran Azure menggunakan portal Azure.

Saat mengonfigurasi kunci yang dikelola pelanggan dengan portal Azure, Anda dapat memilih identitas yang ditetapkan pengguna yang sudah ada melalui antarmuka pengguna portal.

Menggunakan identitas terkelola yang ditetapkan sistem untuk mengotorisasi akses

Identitas terkelola yang ditetapkan sistem dikaitkan dengan instans layanan Azure, dalam hal ini adalah akun Azure Storage. Anda harus secara eksplisit menetapkan identitas terkelola yang ditetapkan sistem ke akun penyimpanan sebelum Anda dapat menggunakan identitas terkelola yang ditetapkan sistem untuk mengotorisasi akses ke brankas kunci yang berisi kunci yang dikelola pelanggan.

Hanya akun penyimpanan yang sudah ada yang dapat menggunakan identitas yang ditetapkan sistem untuk mengotorisasi akses ke brankas kunci. Akun penyimpanan baru harus menggunakan identitas yang ditetapkan pengguna, jika kunci yang dikelola pelanggan dikonfigurasi pada pembuatan akun.

Identitas terkelola yang ditetapkan sistem harus memiliki izin untuk mengakses kunci di brankas kunci. Tetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke identitas terkelola yang ditetapkan sistem dengan cakupan brankas kunci untuk memberikan izin ini.

Sebelum Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan identitas terkelola yang ditetapkan sistem, Anda harus menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke identitas terkelola yang ditetapkan sistem, yang dilingkupkan ke brankas kunci. Peran ini memberikan izin identitas terkelola yang ditetapkan sistem untuk mengakses kunci di brankas kunci. Untuk informasi selengkapnya tentang menetapkan peran Azure RBAC dengan portal Azure, lihat Menetapkan peran Azure menggunakan portal Azure.

Saat Anda mengonfigurasi kunci yang dikelola pelanggan dengan portal Azure menggunakan identitas terkelola yang ditetapkan sistem, identitas terkelola yang ditetapkan sistem ditetapkan ke akun penyimpanan untuk Anda secara rahasia.

Mengonfigurasi kunci yang dikelola pelanggan untuk akun yang sudah ada

Saat mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada, Anda dapat memilih untuk memperbarui secara otomatis versi kunci yang digunakan untuk enkripsi Azure Storage setiap kali versi baru tersedia di brankas kunci terkait. Secara bergantian, Anda dapat secara eksplisit menentukan versi kunci yang akan digunakan untuk enkripsi hingga versi kunci diperbarui secara manual.

Saat versi kunci diubah, baik secara otomatis atau manual, perlindungan kunci enkripsi akar berubah, tetapi data di akun Azure Storage Anda tetap dienkripsi setiap saat. Tidak ada tindakan lebih lanjut yang diperlukan pada bagian Anda untuk memastikan bahwa data Anda dilindungi. Memutar versi kunci tidak memengaruhi performa. Tidak ada waktu henti yang terkait dengan memutar versi kunci.

Anda dapat menggunakan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna untuk mengotorisasi akses ke brankas kunci saat mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada.

Catatan

Untuk memutar kunci, buat versi baru kunci di Azure Key Vault. Azure Storage tidak menangani rotasi kunci, jadi Anda harus mengelola rotasi kunci di brankas kunci. Anda dapat mengonfigurasi rotasi otomatis kunci di Azure Key Vault atau memutar kunci Anda secara manual.

Mengonfigurasi enkripsi untuk pembaruan otomatis versi kunci

Azure Storage dapat memperbarui secara otomatis kunci yang dikelola pelanggan yang digunakan untuk enkripsi agar menggunakan versi kunci terbaru dari brankas kunci. Azure Storage memeriksa brankas kunci setiap hari untuk versi baru kunci. Ketika versi baru tersedia, Azure Storage secara otomatis mulai menggunakan versi terbaru kunci untuk enkripsi.

Penting

Azure Storage memeriksa brankas kunci untuk versi kunci baru hanya sekali setiap hari. Saat Anda memutar kunci, pastikan untuk menunggu 24 jam sebelum menonaktifkan versi yang lebih lama.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk akun yang ada dengan pembaruan otomatis versi kunci di portal Azure, ikuti langkah-langkah di bawah ini:

  1. Navigasi ke akun penyimpanan Anda.

  2. Di bawah Keamanan + jaringan, pilih Enkripsi. Secara default, manajemen kunci diatur ke Kunci yang Dikelola Microsoft seperti yang ditunjukkan pada gambar di bawah ini:

    Screenshot showing encryption options in Azure portal.

  3. Pilih opsi Kunci yang Dikelola Pelanggan. Jika akun sebelumnya dikonfigurasi untuk Kunci yang Dikelola Pelanggan dengan pembaruan manual versi kunci, pilih Ubah kunci di dekat bagian bawah halaman.

  4. Pilih opsi Pilih dari Key Vault.

  5. Pilih Pilih brankas kunci dan kunci.

  6. Pilih brankas kunci yang berisi kunci yang ingin Anda gunakan. Anda juga dapat membuat brankas kunci baru.

  7. Pilih kunci dari brankas kunci. Anda juga dapat membuat kunci baru.

    Screenshot showing how to select key vault and key in Azure portal.

  8. Pilih jenis identitas yang akan digunakan untuk mengautentikasi akses ke brankas kunci. Opsinya mencakup Ditetapkan sistem (default) atau Ditetapkan pengguna. Untuk mempelajari selengkapnya tentang setiap jenis identitas terkelola, lihat Jenis identitas terkelola.

    1. Jika Anda memilih Ditetapkan sistem, identitas terkelola yang ditetapkan sistem untuk akun penyimpanan dibuat di bawah cakupan, jika belum ada.
    2. Jika Anda memilih Ditetapkan pengguna, Anda harus memilih identitas yang ditetapkan pengguna yang memiliki izin untuk mengakses brankas kunci. Untuk mempelajari cara membuat identitas yang ditetapkan pengguna, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

    Screenshot showing how to select a user-assigned managed identity for key vault authentication.

  9. Simpan perubahan.

Setelah Anda menentukan kunci, portal Azure menunjukkan bahwa pembaruan otomatis versi kunci diaktifkan dan menampilkan versi kunci yang saat ini digunakan untuk enkripsi. Portal juga menampilkan jenis identitas terkelola yang digunakan untuk mengotorisasi akses ke brankas kunci dan ID prinsipal untuk identitas terkelola.

Screenshot showing automatic updating of the key version enabled.

Mengonfigurasi enkripsi untuk pembaruan manual versi kunci

Jika Anda lebih suka memperbarui versi kunci secara manual, maka secara eksplisit tentukan versi pada saat Anda mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan. Dalam hal ini, Azure Storage tidak akan memperbarui secara otomatis versi kunci ketika versi baru dibuat di brankas kunci. Untuk menggunakan versi kunci baru, Anda harus memperbarui secara manual versi yang digunakan untuk enkripsi Azure Storage.

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci di portal Microsoft Azure, tentukan URI kunci, termasuk versinya. Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

  1. Untuk menemukan URI kunci di portal Azure, navigasi ke brankas kunci Anda, dan pilih pengaturan Kunci. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

  2. Salin nilai bidang Pengidentifikasi Kunci yang memberikan URI.

    Screenshot showing key vault key URI in Azure portal.

  3. Di pengaturan Kunci enkripsi untuk akun penyimpanan Anda, pilih opsi Masukkan URI kunci.

  4. Tempel URI yang Anda salin ke bidang URI Kunci. Abaikan versi kunci dari URI untuk mengaktifkan pembaruan otomatis versi kunci.

    Screenshot showing how to enter key URI in Azure portal.

  5. Tentukan langganan yang berisi brankas kunci.

  6. Tentukan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna.

  7. Simpan perubahan.

Mengubah kunci

Anda dapat mengubah kunci yang Anda gunakan untuk enkripsi Azure Storage kapan saja.

Catatan

Saat Anda mengubah kunci atau versi kunci, perlindungan kunci enkripsi akar berubah, tetapi data di akun Azure Storage Anda tetap dienkripsi setiap saat. Tidak ada tindakan tambahan yang diperlukan di bagian Anda untuk memastikan bahwa data Anda dilindungi. Mengubah kunci atau memutar versi kunci tidak memengaruhi performa. Tidak ada waktu henti yang terkait dengan mengubah kunci atau memutar versi kunci.

Untuk mengubah kunci dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
  2. Pilih brankas kunci dan pilih kunci baru.
  3. Simpan perubahan.

Jika kunci baru berada di brankas kunci yang berbeda, Anda harus memberikan akses identitas terkelola ke kunci di vault baru. Jika Anda memilih untuk memperbarui versi kunci secara manual, Anda juga perlu memperbarui URI brankas kunci.

Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan

Untuk mencabut akses untuk sementara ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan, nonaktifkan kunci yang saat ini digunakan di brankas kunci. Tidak ada dampak performa atau waktu henti yang terkait dengan menonaktifkan dan mengaktifkan kembali kunci.

Setelah kunci dinonaktifkan, klien tidak dapat memanggil operasi yang membaca dari atau menulis ke blob atau metadatanya. Untuk informasi tentang operasi mana yang akan gagal, lihat Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan.

Perhatian

Saat Anda menonaktifkan kunci di brankas kunci, data di akun Azure Storage Anda tetap dienkripsi, tetapi menjadi tidak dapat diakses sampai Anda mengaktifkan kembali kunci.

Untuk menonaktifkan kunci yang dikelola pelanggan dengan portal Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke brankas kunci yang berisi kunci.

  2. Di bawah Objek, pilih Kunci.

  3. Klik kanan kunci dan pilih Nonaktifkan.

    Screenshot showing how to disable a customer-managed key in the key vault.

Beralih kembali ke kunci yang dikelola Microsoft

Anda dapat beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft kapan saja, menggunakan portal Azure, PowerShell, atau Azure CLI.

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft di portal Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda.

  2. Di bawah Keamanan + jaringan, pilih Enkripsi.

  3. Ubah jenis Enkripsi ke kunci yang dikelola Microsoft.

    Screenshot showing how to switch to Microsoft-managed keys for a storage account.

Langkah berikutnya