Mengonfigurasi rotasi otomatis kunci kriptografi di Azure Key Vault

Dengan mengotomatiskan rotasi kunci kriptografi di Key Vault, Anda dapat mengatur Key Vault untuk membuat versi kunci baru secara otomatis pada frekuensi yang dipilih. Untuk menyiapkan rotasi, gunakan kebijakan rotasi kunci, yang dapat Anda tentukan untuk setiap kunci individual.

Untuk mengikuti praktik terbaik kriptografi, putar kunci enkripsi setidaknya setiap dua tahun.

Untuk informasi selengkapnya tentang cara versi objek Key Vault, lihat Key Vault objek, pengidentifikasi, dan versi. Untuk pemahaman komprehensif tentang konsep autorotasi di berbagai jenis aset dalam Azure Key Vault, lihat Pahami pengelompokan otomatis di Azure Key Vault.

Integrasi dengan layanan Azure

Fitur ini memungkinkan rotasi end-to-end tanpa sentuhan langsung untuk enkripsi saat data tidak aktif pada layanan Azure dengan kunci yang dikelola pelanggan (CMK) yang disimpan di Azure Key Vault. Periksa dokumentasi layanan Azure tertentu untuk melihat apakah layanan mendukung rotasi end-to-end.

Nota

Saat Anda memutar kunci yang dikelola pelanggan yang digunakan oleh layanan Azure, waktu yang diperlukan setiap layanan untuk mendeteksi dan menerapkan versi kunci baru bervariasi (dari satu jam hingga 24 jam atau lebih). Lihat dokumentasi layanan Azure tertentu untuk panduan tentang kapan Anda dapat menonaktifkan versi kunci lama dengan aman setelah rotasi.

Untuk informasi selengkapnya tentang enkripsi data di Azure, lihat:

• Azure Enkripsi saat Istirahat
• tabel dukungan enkripsi data layanan Azure

Harga

Ada biaya tambahan untuk setiap rotasi kunci terjadwal. Untuk informasi selengkapnya, lihat halaman harga Azure Key Vault.

Izin diperlukan

Fitur rotasi kunci Key Vault memerlukan izin manajemen kunci. Tetapkan peran Key Vault Crypto Officer untuk mengelola kebijakan rotasi dan rotasi sesuai permintaan.

Untuk informasi selengkapnya tentang cara menggunakan RBAC Azure untuk Key Vault dan menetapkan peran Azure, lihat Gunakan RBAC Azure untuk mengontrol akses ke kunci, sertifikat, dan rahasia.

Nota

Jika Anda menggunakan model izin kebijakan akses, atur izin kunci 'Putar', 'Atur Kebijakan Rotasi', dan 'Dapatkan Kebijakan Rotasi' untuk mengelola kebijakan rotasi pada kunci.

Kebijakan rotasi kunci

Kebijakan rotasi kunci memungkinkan Anda mengonfigurasi rotasi dan pemberitahuan Event Grid untuk pemberitahuan mendekati kedaluwarsa.

Pengaturan kebijakan rotasi kunci:

• Waktu kedaluwarsa: durasi kedaluwarsa kunci. Ini menetapkan tanggal kedaluwarsa pada kunci yang baru diputar. Ini tidak memengaruhi kunci saat ini.
• Diaktifkan/dinonaktifkan: penanda untuk mengaktifkan atau menonaktifkan rotasi kunci.
• Jenis rotasi:
  • Perpanjangan secara otomatis pada waktu tertentu setelah pembuatan (default).
  • Secara otomatis memperbarui pada waktu tertentu sebelum kedaluwarsa. Hal ini membutuhkan 'Waktu Kedaluwarsa' ditetapkan pada kebijakan rotasi dan 'Tanggal Kedaluwarsa' ditetapkan pada kunci.
• Waktu rotasi: interval rotasi kunci. Nilai minimum adalah tujuh hari dari pembuatan dan tujuh hari dari waktu kedaluwarsa.
• Waktu pemberitahuan: interval kejadian kunci yang hampir kedaluwarsa untuk pemberitahuan Event Grid. Hal ini membutuhkan 'Waktu Kedaluwarsa' ditetapkan pada kebijakan rotasi dan 'Tanggal Kedaluwarsa' ditetapkan pada kunci.

Penting

Rotasi kunci menghasilkan versi kunci baru dari kunci yang ada dengan materi kunci baru. Layanan target harus menggunakan URI kunci tanpa versi untuk secara otomatis me-refresh ke versi terbaru kunci. Pastikan solusi enkripsi data Anda menyimpan URI kunci versi dengan data untuk mengarahkan ke materi kunci yang sama untuk mendekripsi/membuka bungkus operasi untuk menghindari gangguan pada layanan Anda. Semua layanan Azure saat ini mengikuti pola tersebut untuk enkripsi data.

Rotasi kunci membungkus ulang kunci enkripsi data (DEK) dengan versi kunci baru — tidak mengenkripsi ulang data yang mendasar. Versi kunci lama dan baru harus tetap diaktifkan sampai pembungkusan ulang selesai, karena data yang ada tetap dienkripsi di bawah DEK yang dibungkus oleh versi kunci lama.

Mengonfigurasi kebijakan rotasi kunci

Konfigurasikan kebijakan rotasi kunci saat membuat kunci.

Konfigurasikan kebijakan rotasi pada kunci yang ada.

Azure CLI

Simpan kebijakan rotasi kunci ke file. Berikut adalah contoh kebijakan rotasi kunci:

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    },
    {
      "trigger": {
        "timeBeforeExpiry": "P30D"
      },
      "action": {
        "type": "Notify"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Atur kebijakan rotasi pada kunci berdasarkan file yang sudah disimpan sebelumnya menggunakan perintah Azure CLI az keyvault key rotation-policy update.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Atur kebijakan rotasi dengan menggunakan cmdlet Azure PowerShell Set-AzKeyVaultKeyRotationPolicy.

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

Rotasi sesuai permintaan

Anda dapat memanggil rotasi kunci secara manual.

Portal

Pilih Putar Sekarang untuk memulai proses rotasi.

Azure CLI

Gunakan perintah Azure CLI az keyvault key rotate untuk merotasi kunci.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Gunakan cmdlet Azure PowerShell Invoke-AzKeyVaultKeyRotation untuk memutar kunci.

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Konfigurasi peringatan kunci mendekati kedaluwarsa

Anda dapat mengonfigurasi pemberitahuan kedaluwarsa untuk kunci Event Grid di dekat peristiwa kedaluwarsa. Jika rotasi otomatis tidak dapat digunakan, seperti saat kunci diimpor dari HSM lokal, Anda dapat mengonfigurasi pemberitahuan mendekati kedaluwarsa sebagai pengingat untuk rotasi manual atau sebagai pemicu untuk rotasi otomatis kustom melalui integrasi dengan Event Grid. Anda dapat mengatur pemberitahuan untuk memicu peristiwa mendekati kedaluwarsa beberapa hari, bulan, atau tahun sebelum kunci benar-benar kedaluwarsa.

Untuk informasi selengkapnya tentang pemberitahuan Event Grid di Key Vault, lihat Azure Key Vault sebagai sumber Event Grid.

Mengonfigurasi rotasi kunci dengan menggunakan templat ARM

Anda dapat mengonfigurasi kebijakan rotasi kunci dengan menggunakan templat ARM.

Nota

Untuk menyebarkan kunci melalui sarana kontrol, Anda memerlukan peran Key Vault Kontributor pada Key Vault yang dikonfigurasi dengan Azure RBAC.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vaultName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key vault to be created."
            }
        },
        "keyName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key to be created."
            }
        },
        "rotationTimeAfterCreate": {
            "defaultValue": "P18M",
            "type": "String",
            "metadata": {
                "description": "Time duration to trigger key rotation, for example, P30D, P1M, P2Y."
            }
        },
        "expiryTime": {
            "defaultValue": "P2Y",
            "type": "String",
            "metadata": {
                "description": "The expiry time for new key version, for example, P90D, P2M, P3Y."
            }
        },
        "notifyTime": {
            "defaultValue": "P30D",
            "type": "String",
            "metadata": {
                "description": "Near expiry Event Grid notification, for example, P30D."
            }
        }

    },
    "resources": [
        {
            "type": "Microsoft.KeyVault/vaults/keys",
            "apiVersion": "2024-11-01",
            "name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
            "location": "[resourceGroup().location]",
            "properties": {
                "vaultName": "[parameters('vaultName')]",
                "kty": "RSA",
                "rotationPolicy": {
                    "lifetimeActions": [
                        {
                            "trigger": {
                                "timeAfterCreate": "[parameters('rotationTimeAfterCreate')]",
                                "timeBeforeExpiry": ""
                            },
                            "action": {
                                "type": "Rotate"
                            }
                        },
                        {
                            "trigger": {
                                "timeBeforeExpiry": "[parameters('notifyTime')]"
                            },
                            "action": {
                                "type": "Notify"
                            }
                        }

                    ],
                    "attributes": {
                        "expiryTime": "[parameters('expiryTime')]"
                    }
                }
            }
        }
    ]
}

Mengonfigurasi tata kelola kebijakan rotasi kunci

Dengan menggunakan layanan Azure Policy, Anda dapat mengatur siklus hidup kunci dan memastikan bahwa semua kunci dikonfigurasi untuk diputar dalam jumlah hari tertentu.

Membuat dan menetapkan definisi kebijakan

1. Buka sumber daya Kebijakan.
2. Pilih Assignments di bawah Authoring di sisi kiri halaman Azure Policy.
3. Pilih Tetapkan kebijakan di bagian atas halaman. Tombol ini membuka halaman Penetapan kebijakan.
4. Masukkan informasi berikut:
   • Tentukan cakupan kebijakan dengan memilih grup langganan dan sumber daya tempat kebijakan diberlakukan. Pilih dengan mengklik tombol tiga titik di bidang Cakupan .
   • Pilih nama definisi kebijakan: "Kunci harus memiliki kebijakan rotasi yang memastikan bahwa rotasinya dijadwalkan dalam jumlah hari yang ditentukan setelah pembuatan. "
   • Buka tab Parameter di bagian atas halaman.
     • Atur Hari maksimum untuk memutar parameter ke jumlah hari yang diinginkan misalnya, 730.
     • Tentukan efek kebijakan yang diinginkan (Audit, atau Dinonaktifkan).
5. Lengkapi bidang tambahan apa pun. Navigasikan tab dengan mengklik tombol Sebelumnya dan Berikutnya di bagian bawah halaman.
6. Pilih Tinjau + kreasikan.
7. Pilih Buat.

Setelah Anda menetapkan kebijakan bawaan, diperlukan waktu hingga 24 jam untuk menyelesaikan pemindaian. Setelah pemindaian selesai, Anda dapat melihat hasil kepatuhan seperti berikut ini.

Menggunakan AI untuk menyesuaikan kebijakan rotasi kunci

GitHub Copilot dapat membantu Anda membuat kebijakan rotasi kunci yang disesuaikan untuk persyaratan kepatuhan spesifik anda atau integrasi layanan Azure.

I need to configure a key rotation policy for my Azure Key Vault key that's used for Azure Storage encryption. Help me create the rotation policy with these requirements:
- Key vault name: my-storage-kv
- Key name: storage-encryption-key
- Rotate the key every 180 days
- Send a notification 30 days before expiry
- Set key expiration to 2 years
Provide both Azure CLI commands and a JSON policy file I can use with the Azure CLI.

GitHub Copilot didukung oleh AI, sehingga kejutan dan kesalahan dimungkinkan. Untuk informasi selengkapnya, lihat FAQ Copilot.

Sumber daya

• Memantau Key Vault dengan Azure Event Grid
• Mahami autorotasi dalam Azure Key Vault
• Gunakan RBAC Azure untuk mengontrol akses ke kunci, sertifikat, dan rahasia
• Azure Enkripsi Data Tidak Aktif
• Azure Storage Encryption
• Azure Disk Encryption
• Rotasi kunci otomatis untuk enkripsi data transparan