Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Gambaran Umum
Rotasi kunci kriptografi otomatis di Key Vault memungkinkan pengguna mengonfigurasi Key Vault untuk menghasilkan versi kunci baru secara otomatis pada frekuensi yang ditentukan. Untuk mengonfigurasi rotasi, Anda dapat menggunakan kebijakan rotasi kunci, yang dapat ditentukan pada masing-masing kunci.
Sebaiknya Anda merotasi kunci enkripsi setidaknya setiap dua tahun untuk memenuhi praktik terbaik kriptografi.
Untuk mengetahui informasi selengkapnya mengenai bagaimana objek dalam Key Vault diberi nomor versi, lihat Objek, pengidentifikasi, dan penerapan versi Key Vault. Untuk pemahaman komprehensif tentang konsep autorotasi di berbagai jenis aset di Azure Key Vault, lihat Memahami autorotasi di Azure Key Vault.
Integrasi dengan layanan Azure
Fitur ini memungkinkan rotasi tanpa sentuhan ujung ke ujung untuk enkripsi saat tidak aktif untuk layanan Azure dengan kunci yang dikelola pelanggan (CMK) yang disimpan di Azure Key Vault. Lihat dokumentasi layanan Azure tertentu untuk mengetahui apakah layanan mencakup rotasi ujung ke ujung.
Untuk informasi selengkapnya tentang enkripsi data di Azure, lihat:
Harga
Terdapat biaya tambahan untuk setiap rotasi kunci yang dijadwalkan. Untuk informasi selengkapnya, lihat halaman harga Azure Key Vault
Izin diperlukan
Fitur rotasi kunci Key Vault memerlukan izin pengelolaan kunci. Anda dapat menetapkan peran "Petugas Kripto Key Vault" untuk mengelola kebijakan rotasi dan rotasi sesuai permintaan.
Untuk informasi selengkapnya tentang cara menggunakan model izin RBAC Key Vault dan menetapkan peran Azure, lihat Menggunakan Azure RBAC untuk mengontrol akses ke kunci, sertifikat, dan rahasia
Nota
Jika Anda menggunakan model izin kebijakan akses, Anda harus mengatur izin kunci 'Putar', 'Atur Kebijakan Rotasi', dan 'Dapatkan Kebijakan Rotasi' untuk mengelola kebijakan rotasi pada kunci.
Kebijakan rotasi kunci
Kebijakan rotasi kunci memungkinkan pengguna untuk mengonfigurasi rotasi dan menerima pemberitahuan Event Grid saat mendekati kedaluwarsa.
Pengaturan kebijakan rotasi kunci:
- Waktu kedaluwarsa: durasi kedaluwarsa kunci. Hal ini digunakan untuk mengatur tanggal kedaluwarsa pada kunci yang baru diputar. Hal ini tidak memengaruhi kunci saat ini.
- Diaktifkan/dinonaktifkan: tandai untuk mengaktifkan atau menonaktifkan rotasi kunci
- Jenis rotasi:
- Secara otomatis memperbarui pada waktu tertentu setelah pembuatan (default)
- Secara otomatis memperbarui pada waktu tertentu sebelum kedaluwarsa. Hal ini membutuhkan 'Waktu Kedaluwarsa' ditetapkan pada kebijakan rotasi dan 'Tanggal Kedaluwarsa' ditetapkan pada kunci.
- Waktu rotasi: interval rotasi kunci, nilai minimumnya adalah tujuh hari sejak pembuatan dan tujuh hari dari waktu kedaluwarsa
- Waktu pemberitahuan: interval kejadian kunci yang hampir kedaluwarsa untuk pemberitahuan Event Grid. Hal ini membutuhkan 'Waktu Kedaluwarsa' ditetapkan pada kebijakan rotasi dan 'Tanggal Kedaluwarsa' ditetapkan pada kunci.
Penting
Rotasi kunci menghasilkan versi kunci baru dari kunci yang ada dengan materi kunci baru. Layanan target harus menggunakan URI kunci tanpa versi untuk memperbarui secara otomatis ke versi kunci terbaru. Pastikan bahwa solusi enkripsi data Anda menyimpan uri kunci berversi dengan data yang mengarahkan ke materi kunci yang sama untuk membungkus/membongkar seperti yang digunakan untuk operasi enkripsi/membungkus guna menghindari gangguan pada layanan Anda. Semua layanan Azure saat ini mengikuti pola tersebut untuk enkripsi data.
Mengonfigurasi kebijakan rotasi kunci
Konfigurasikan kebijakan rotasi kunci selama pembuatan kunci.
Konfigurasikan kebijakan rotasi pada kunci yang ada.
Azure CLI (antarmuka baris perintah)
Simpan kebijakan rotasi kunci ke file. Contoh kebijakan rotasi kunci:
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Atur kebijakan rotasi pada kunci yang meneruskan file yang disimpan sebelumnya menggunakan perintah az keyvault key rotation-policy update Azure CLI.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Atur kebijakan rotasi menggunakan cmdlet Azure Powershell Set-AzKeyVaultKeyRotationPolicy .
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Rotasi sesuai permintaan
Rotasi kunci dapat dipanggil secara manual.
Portal
Klik 'Putar Sekarang' untuk meminta rotasi.
Azure CLI (antarmuka baris perintah)
Gunakan perintah Azure CLI az keyvault key rotate untuk memutar kunci.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Gunakan cmdlet Azure PowerShell Invoke-AzKeyVaultKeyRotation.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Konfigurasi peringatan kunci mendekati kedaluwarsa
Konfigurasi pemberitahuan kedaluwarsa untuk kunci Event Grid yang hampir kedaluwarsa. Jika rotasi otomatis tidak dapat digunakan, seperti ketika kunci diimpor dari HSM lokal, Anda dapat mengonfigurasi pemberitahuan mendekati kedaluwarsa sebagai pengingat untuk rotasi manual atau sebagai pemicu untuk rotasi otomatis kustom melalui integrasi dengan Event Grid. Anda dapat mengonfigurasi pemberitahuan dengan hari, bulan, dan tahun sebelum kedaluwarsa untuk memicu peristiwa yang hampir kedaluwarsa.
Untuk informasi selengkapnya tentang pemberitahuan Event Grid di Key Vault, lihat Azure Key Vault sebagai sumber Event Grid
Mengonfigurasi rotasi kunci dengan templat ARM
Kebijakan rotasi kunci juga dapat dikonfigurasi menggunakan templat ARM.
Nota
Ini memerlukan peran 'Kontributor Key Vault' di Key Vault yang dikonfigurasikan dengan Azure RBAC untuk mengelola kunci melalui control plane.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Mengonfigurasi tata kelola kebijakan rotasi kunci
Dengan menggunakan layanan Azure Policy, Anda dapat mengatur siklus hidup utama dan memastikan bahwa semua kunci dikonfigurasi untuk diputar dalam jumlah hari tertentu.
Membuat dan menetapkan definisi kebijakan
- Arahkan ke Sumber daya kebijakan
- Pilih Penugasan di bawah Penulisan di sisi kiri halaman Azure Policy.
- Pilih Tetapkan kebijakan di bagian atas halaman. Tombol ini membuka halaman Penetapan kebijakan.
- Masukkan informasi berikut:
- Tentukan cakupan kebijakan dengan memilih grup langganan dan sumber daya tempat kebijakan akan diberlakukan. Pilih dengan mengklik tombol tiga titik di bidang Cakupan .
- Pilih nama definisi kebijakan: "Kunci harus memiliki kebijakan rotasi yang memastikan bahwa rotasinya dijadwalkan dalam jumlah hari yang ditentukan setelah pembuatan. "
- Buka tab Parameter di bagian atas halaman.
- Atur Hari maksimum untuk memutar parameter ke jumlah hari yang diinginkan misalnya, 730.
- Tentukan efek kebijakan yang diinginkan (Audit, atau Dinonaktifkan).
- Lengkapi bidang tambahan apa pun. Navigasikan tab dengan mengklik tombol Sebelumnya dan Berikutnya di bagian bawah halaman.
- Pilih Tinjau + buat
- Pilih Buat
Setelah kebijakan bawaan ditetapkan, diperlukan waktu hingga 24 jam untuk menyelesaikan pemindaian. Setelah pemindaian selesai, Anda dapat melihat hasil kepatuhan seperti di bawah ini.
Sumber daya
- Memantau Key Vault dengan Azure Event Grid
- Memahami mekanisme rotasi otomatis di Azure Key Vault
- Menggunakan Azure RBAC untuk mengontrol akses ke kunci, sertifikat, dan rahasia
- Enkripsi Data Azure Saat Tidak Aktif
- Enkripsi Azure Storage
- Azure Disk Encryption
- Rotasi kunci otomatis untuk enkripsi data transparan