Kunci yang dikelola pelanggan (CMK) untuk Microsoft Foundry

Nota

Dokumen ini mengacu pada portal Microsoft Foundry (klasik ).

🔄 Beralih ke dokumentasi Microsoft Foundry (baru) jika Anda menggunakan portal baru.

Petunjuk / Saran

Artikel CMK yang berfokus pada hub alternatif tersedia: Kunci yang dikelola pelanggan untuk proyek hub.

Enkripsi kunci yang dikelola pelanggan (CMK) di Microsoft Foundry memberi Anda kontrol atas enkripsi data Anda. Gunakan CMK untuk menambahkan lapisan perlindungan tambahan dan membantu memenuhi persyaratan kepatuhan dengan integrasi Azure Key Vault.

Microsoft Foundry menyediakan kemampuan enkripsi yang kuat, termasuk kemampuan untuk menggunakan kunci yang dikelola pelanggan (CMK) yang disimpan di Azure Key Vault untuk mengamankan data sensitif Anda. Artikel ini menjelaskan konsep enkripsi dengan CMK dan menyediakan panduan langkah demi langkah untuk mengonfigurasi CMK menggunakan Azure Key Vault. Ini juga membahas model enkripsi dan metode kontrol akses seperti Azure Role-Based Access Control (RBAC) dan Kebijakan Akses Vault, memastikan kompatibilitas dengan identitas terkelola yang ditetapkan sistem. Dukungan untuk identitas terkelola yang ditetapkan pengguna (UAI) saat ini hanya tersedia melalui templat Bicep.

Mengapa menggunakan kunci yang dikelola pelanggan?

Dengan CMK, Anda mendapatkan kontrol penuh atas kunci enkripsi, memberikan perlindungan yang ditingkatkan untuk data sensitif dan membantu memenuhi persyaratan kepatuhan. Manfaat utama menggunakan CMK meliputi:

• Menggunakan kunci Anda sendiri untuk mengenkripsi data yang disimpan.

• Integrasi dengan kebijakan keamanan dan kepatuhan organisasi.

• Kemampuan untuk memutar atau mencabut kunci untuk kontrol yang ditingkatkan atas akses ke data terenkripsi.

Microsoft Foundry mendukung enkripsi dengan CMK Anda yang disimpan di Azure Key Vault, memanfaatkan fitur keamanan terdepan di industri.

Prasyarat

Untuk mengonfigurasi CMK untuk Microsoft Foundry, pastikan prasyarat berikut terpenuhi:

1. Langganan Azure:
   Anda memerlukan langganan Azure aktif untuk membuat dan mengelola sumber daya Azure.

2. Azure Key Vault:

   • Anda memerlukan Azure Key Vault yang sudah ada untuk menyimpan kunci Anda.
   • Anda harus menyebarkan Key Vault dan sumber daya Microsoft Foundry di wilayah Azure yang sama.
   • Ikuti panduan ini untuk membuat Key Vault: Mulai Cepat: Membuat Key Vault menggunakan portal Microsoft Azure.

3. Konfigurasi Identitas Terkelola:

   • Identitas terkelola yang ditetapkan sistem: Pastikan sumber daya Microsoft Foundry Anda telah mengaktifkan identitas terkelola yang ditetapkan sistem.
   • Identitas terkelola yang ditetapkan pengguna: Dukungan untuk UAI saat ini hanya tersedia melalui templat Bicep. Lihat contoh templat Bicep: Repositori GitHub: Kunci yang Dikelola Pelanggan dengan Identitas yang Ditugaskan Pengguna.

4. Perizinan Key Vault:

   • Jika Anda menggunakan Azure RBAC, tetapkan peran Pengguna Kripto Key Vault ke identitas terkelola.
   • Jika Anda menggunakan Kebijakan Akses Vault, berikan izin khusus kunci ke identitas terkelola, seperti buka bungkus kunci dan kunci bungkus.

Catatan ketersediaan regional (UAI untuk CMK)

Dukungan untuk Customer-Managed Keys (CMK) dengan User-Assigned Managed Identities (UAI) saat ini tersedia di semua wilayah Azure kecuali untuk wilayah berikut:

• Amerika Serikat:
  westus, centralus, southcentralus, westus2
• Eropa:
  westeurope, ukwest, switzerlandwest, germanywestcentral, francecentral, denmarkeast, polandcentral, swedencentral, norwayeast
• Asia-Pasifik:
  taiwan barat laut, australasia (australia timur, new zealand utara), asia tenggara, jepang timur, korea tengah, indonesia tengah, malaysia barat, india tengah
• Timur Tengah:
  israelcentral, qatarcentral
• Afrika:
  southafricanorth
• Kanada:
  kanada timur
• Amerika Latin:
  Meksiko Tengah
• Azure Tiongkok:
  Tiongkok Timur, Tiongkok Timur 2, Tiongkok Utara, Tiongkok Utara 2

• Azure Pemerintah AS:
  Pemerintah AS Virginia, Pemerintah AS Arizona, Pemerintah AS Texas, Pemerintah AS Iowa

Sebelum mengonfigurasi CMK dengan UAI, pastikan Anda menyebarkan sumber daya di wilayah yang didukung. Lihat ketersediaan fitur Microsoft Foundry di seluruh wilayah cloud untuk detail selengkapnya tentang dukungan regional untuk fitur Microsoft Foundry.

Langkah-langkah untuk Mengonfigurasi CMK

Langkah 1. Membuat atau Mengimpor Kunci di Azure Key Vault

Anda menyimpan Customer-Managed Keys (CMK) di Azure Key Vault. Anda dapat membuat kunci baru dalam Key Vault atau mengimpor kunci yang ada. Ikuti langkah-langkah di bagian berikut:

Membuat Kunci

1. Buka Azure Key Vault Anda di portal Microsoft Azure.

2. Di bagian Pengaturan, pilih Kunci.

3. Pilih + Hasilkan/Impor.

4. Masukkan nama kunci, pilih jenis kunci (seperti RSA atau yang didukung HSM), dan konfigurasikan ukuran kunci dan detail kedaluwarsa.

5. Pilih Buat untuk menyimpan kunci baru.

   Untuk informasi selengkapnya, lihat Membuat dan Mengelola Kunci di Azure Key Vault.

Mengimpor Kunci

1. Buka bagian Kunci di Key Vault Anda.
2. Pilih + Hasilkan/Impor dan pilih opsi Impor .
3. Unggah materi utama dan berikan detail konfigurasi utama yang diperlukan.
4. Ikuti perintah untuk menyelesaikan proses impor.

Langkah 2. Memberikan izin Key Vault ke identitas terkelola

Konfigurasikan izin yang sesuai untuk identitas yang dikelola yang ditetapkan oleh sistem atau yang ditetapkan oleh pengguna untuk mengakses Brankas Kunci.

Identitas terkelola yang ditetapkan sistem

1. Buka Key Vault di portal Microsoft Azure.
2. Pilih Kontrol Akses (IAM) .
3. Pilih + Tambahkan penetapan peran.
4. Tetapkan peran Pengguna Kripto Key Vault ke identitas terkelola yang ditetapkan sistem dari sumber daya Microsoft Foundry.

Identitas terkelola yang ditetapkan pengguna

Nota

Lihat Repositori GitHub: Customer-Managed Keys dengan Identitas yang Ditugaskan Pengguna.

1. Gunakan templat Bicep yang disediakan untuk menyebarkan identitas yang ditetapkan pengguna dan mengonfigurasi izin Key Vault.

2. Setelah penerapan, konfirmasikan identitas yang ditetapkan oleh pengguna memiliki peran yang sesuai (seperti Petugas Kripto Key Vault) atau hak akses pada Key Vault.

Langkah 3. Mengaktifkan CMK di Microsoft Foundry

1. Buka sumber daya Microsoft Foundry di portal Microsoft Azure.
2. Buka bagian Pengaturan Enkripsi .
3. Pilih Kunci yang Dikelola Pelanggan sebagai jenis enkripsi.
4. Masukkan URL Key Vault dan nama kunci.
5. Jika Anda menggunakan User-Assigned Managed Identity, pastikan penyebaran melalui template Bicep selesai, karena identitas dan izin terkait sudah dikonfigurasi.

Desain Akses Key Vault: Azure RBAC vs. Kebijakan Akses Vault

Azure Key Vault mendukung dua model untuk mengelola izin akses:

1. Azure RBAC (Disarankan):
   • Menyediakan pengelolaan akses terpusat menggunakan peran Azure AD.
   • Menyederhanakan manajemen izin untuk sumber daya di seluruh Azure.
   • Gunakan peran Pengguna Kripto Key Vault.
2. Kebijakan Akses Vault:
   • Memungkinkan kontrol akses terperinci khusus untuk sumber daya Key Vault.
   • Cocok untuk konfigurasi di mana pengaturan izin warisan atau terisolasi diperlukan.

Pilih model yang selaras dengan persyaratan organisasi Anda.

Memantau dan Memutar Kunci

Untuk menjaga keamanan dan kepatuhan yang optimal, terapkan praktik berikut:

1. Aktifkan Diagnostik Key Vault:
   Pantau penggunaan utama dan aktivitas akses dengan mengaktifkan pembuatan log diagnostik di Azure Monitor atau Analitik Log.
2. Ganti Kunci Secara Teratur
   Buat versi baru kunci Anda secara berkala di Azure Key Vault.
   Perbarui sumber daya Microsoft Foundry untuk mereferensikan versi kunci terbaru di Pengaturan Enkripsinya.

Konten terkait

• Dokumentasi Azure Key Vault
• Contoh GitHub Bicep: Kunci yang Dikelola Pelanggan dengan UAI
• Gambaran Umum Identitas Terkelola Azure