Gambaran umum kunci yang dikelola pelanggan

Azure Container Registry secara otomatis mengenkripsi gambar dan artefak lain yang Anda simpan. Secara default, Azure secara otomatis mengenkripsi konten registri saat tidak aktif dengan menggunakan kunci yang dikelola layanan. Dengan menggunakan kunci yang dikelola pelanggan, Anda dapat melengkapi enkripsi default dengan lapisan enkripsi tambahan.

Artikel ini adalah bagian pertama dalam seri tutorial empat bagian. Tutorial ini mencakup:

• Gambaran umum kunci yang dikelola pelanggan
• Mengaktifkan kunci yang dikelola pelanggan
• Memutar dan mencabut kunci yang dikelola pelanggan
• Mengatasi masalah terkait kunci yang dikelola pelanggan

Tentang kunci yang dikelola pelanggan

Kunci yang dikelola pelanggan memberi Anda kepemilikan untuk membawa kunci Anda sendiri di Azure Key Vault. Saat mengaktifkan kunci yang dikelola pelanggan, Anda dapat mengelola rotasinya, mengontrol akses dan izin untuk menggunakannya, dan mengaudit penggunaannya.

Fitur-fitur kunci mencakup:

• Kepatuhan terhadap peraturan: Azure secara otomatis mengenkripsi konten registri saat tidak aktif dengan kunci yang dikelola layanan, tetapi enkripsi kunci yang dikelola pelanggan membantu Anda memenuhi panduan kepatuhan terhadap peraturan.

• Integrasi dengan Azure Key Vault: Kunci yang dikelola pelanggan mendukung enkripsi sisi server melalui integrasi dengan Azure Key Vault. Dengan kunci yang dikelola pelanggan, Anda dapat membuat kunci enkripsi Anda sendiri dan menyimpannya di brankas kunci. Atau Anda dapat menggunakan AZURE Key Vault API untuk menghasilkan kunci.

• Manajemen siklus hidup utama: Mengintegrasikan kunci yang dikelola pelanggan dengan Azure Key Vault memberi Anda kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk rotasi dan manajemen.

Sebelum mengaktifkan kunci yang dikelola pelanggan

Sebelum Anda mengonfigurasi Azure Container Registry dengan kunci yang dikelola pelanggan, pertimbangkan informasi berikut:

• Fitur ini tersedia di tingkat layanan Premium untuk registri kontainer. Untuk mengetahui informasi selengkapnya, lihat Tingkat layanan Azure Container Registry.
• Saat ini, Anda dapat mengaktifkan kunci yang dikelola pelanggan hanya saat membuat registri.
• Anda tidak dapat menonaktifkan enkripsi setelah mengaktifkan kunci yang dikelola pelanggan pada registri.
• Anda harus mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk mengakses brankas kunci. Nantinya, jika diperlukan, Anda dapat mengaktifkan identitas terkelola yang ditetapkan sistem registri untuk akses brankas kunci.
• Azure Container Registry hanya mendukung kunci RSA atau RSA-HSM. Kunci kurva elips saat ini tidak didukung.
• Dalam registri yang dienkripsi dengan kunci yang dikelola pelanggan, Anda dapat menyimpan log untuk tugas Azure Container Registry hanya selama 24 jam. Untuk menyimpan log untuk jangka waktu yang lebih lama, lihat Menampilkan dan mengelola log eksekusi tugas.
• Kepercayaan konten saat ini tidak didukung dalam registri yang dienkripsi dengan kunci yang dikelola pelanggan.

Memperbarui versi kunci yang dikelola pelanggan

Azure Container Registry mendukung pemutaran otomatis kunci enkripsi registri saat versi kunci baru tersedia di Azure Key Vault.

Penting

Ini adalah pertimbangan keamanan penting untuk registri dengan enkripsi kunci yang dikelola pelanggan untuk sering memperbarui (memutar) versi kunci. Ikuti kebijakan kepatuhan organisasi Anda untuk memperbarui versi kunci secara teratur sambil menyimpan kunci yang dikelola pelanggan di Azure Key Vault.

• Memperbarui versi kunci secara otomatis: Saat registri dienkripsi dengan kunci non-versi, Azure Container Registry secara teratur memeriksa brankas kunci untuk versi kunci baru dan memperbarui kunci yang dikelola pelanggan dalam waktu satu jam. Kami menyarankan agar Anda menghilangkan versi kunci saat mengaktifkan enkripsi registri dengan kunci yang dikelola pelanggan. Azure Container Registry kemudian akan secara otomatis menggunakan dan memperbarui versi kunci terbaru.

• Memperbarui versi kunci secara manual: Saat registri dienkripsi dengan versi kunci tertentu, Azure Container Registry menggunakan versi tersebut untuk enkripsi hingga Anda memutar kunci yang dikelola pelanggan secara manual. Kami menyarankan agar Anda menentukan versi kunci saat mengaktifkan enkripsi registri dengan kunci yang dikelola pelanggan. Azure Container Registry kemudian akan menggunakan versi kunci tertentu untuk enkripsi registri.

Untuk detailnya, lihat Rotasi kunci dan Memperbarui versi kunci.

Langkah berikutnya

• Untuk mengaktifkan registri kontainer Anda dengan kunci yang dikelola pelanggan dengan menggunakan Azure CLI, portal Azure, atau templat Azure Resource Manager, lanjutkan ke artikel berikutnya: Mengaktifkan kunci yang dikelola pelanggan.
• Pelajari selengkapnya tentang enkripsi saat tidk aktif di Azure.
• Pelajari selengkapnya tentang kebijakan akses dan cara mengamankan akses ke brankas kunci.