Panoramica delle chiavi gestite dal cliente

Registro Azure Container crittografa automaticamente immagini e altri artefatti archiviati. Per impostazione predefinita, Azure crittografa automaticamente il contenuto del Registro di sistema usando chiavi gestite dal servizio. Usando una chiave gestita dal cliente, è possibile integrare la crittografia predefinita con un livello di crittografia aggiuntivo.

Questo articolo fa parte di una serie di esercitazioni in quattro parti. L'esercitazione illustra:

• Panoramica delle chiavi gestite dal cliente
• Abilitare una chiave gestita dal cliente
• Ruotare e revocare una chiave gestita dal cliente
• Risolvere i problemi relativi a una chiave gestita dal cliente

Informazioni sulle chiavi gestite dal cliente

Una chiave gestita dal cliente offre la proprietà per portare la propria chiave in Azure Key Vault. Quando si abilita una chiave gestita dal cliente, è possibile gestire le rotazioni, controllare l'accesso e le autorizzazioni per usarlo e controllarne l'uso.

Le funzionalità principali includono:

• Conformità alle normative: Azure crittografa automaticamente il contenuto del Registro di sistema inattivo con chiavi gestite dal servizio, ma la crittografia della chiave gestita dal cliente consente di soddisfare le linee guida per la conformità alle normative.

• Integrazione con Azure Key Vault: le chiavi gestite dal cliente supportano la crittografia lato server tramite l'integrazione con Azure Key Vault. Con le chiavi gestite dal cliente, è possibile creare chiavi di crittografia personalizzate e archiviarle in un insieme di credenziali delle chiavi. In alternativa, è possibile usare le API di Azure Key Vault per generare chiavi.

• Gestione del ciclo di vita delle chiavi: l'integrazione delle chiavi gestite dal cliente con Azure Key Vault offre il controllo completo e la responsabilità del ciclo di vita delle chiavi, inclusa la rotazione e la gestione.

Prima di abilitare una chiave gestita dal cliente

Prima di configurare Registro Azure Container con una chiave gestita dal cliente, prendere in considerazione le informazioni seguenti:

• Questa funzionalità è disponibile nel livello di servizio Premium per un registro contenitori. Per altre informazioni, vedere Livelli di servizio di Registro Azure Container.
• È attualmente possibile abilitare una chiave gestita dal cliente solo durante la creazione di un Registro di sistema.
• Non è possibile disabilitare la crittografia dopo aver abilitato una chiave gestita dal cliente in un Registro di sistema.
• È necessario configurare un'identità gestita assegnata dall'utente per accedere all'insieme di credenziali delle chiavi. In seguito, se necessario, è possibile abilitare l'identità gestita assegnata dal sistema del Registro di sistema per l'accesso all'insieme di credenziali delle chiavi.
• Registro Azure Container supporta solo chiavi RSA o RSA-HSM. Le chiavi a curva ellittica non sono attualmente supportate.
• In un Registro di sistema crittografato con una chiave gestita dal cliente è possibile conservare i log per le attività di Registro Azure Container solo per 24 ore. Per conservare i log per un periodo più lungo, vedere Visualizzare e gestire i log di esecuzione delle attività.
• L'attendibilità del contenuto non è attualmente supportata in un Registro di sistema crittografato con una chiave gestita dal cliente.

Aggiornare la versione della chiave gestita dal cliente

Registro Azure Container supporta sia la rotazione automatica che manuale delle chiavi di crittografia del Registro di sistema quando è disponibile una nuova versione della chiave in Azure Key Vault.

Importante

È una importante considerazione per la sicurezza per un Registro di sistema con la crittografia della chiave gestita dal cliente per aggiornare di frequente (ruotare) le versioni delle chiavi. Seguire i criteri di conformità dell'organizzazione per aggiornare regolarmente le versioni chiave durante l'archiviazione di una chiave gestita dal cliente in Azure Key Vault.

• Aggiornare automaticamente la versione della chiave: quando un Registro di sistema viene crittografato con una chiave non con versione, Registro Azure Container controlla regolarmente l'insieme di credenziali delle chiavi per una nuova versione della chiave e aggiorna la chiave gestita dal cliente entro un'ora. È consigliabile omettere la versione della chiave quando si abilita la crittografia del Registro di sistema con una chiave gestita dal cliente. Registro Azure Container userà automaticamente e aggiornerà automaticamente la versione più recente della chiave.

• Aggiornare manualmente la versione della chiave: quando un Registro di sistema viene crittografato con una versione chiave specifica, Registro Azure Container usa tale versione per la crittografia fino a quando non si ruota manualmente la chiave gestita dal cliente. È consigliabile specificare la versione della chiave quando si abilita la crittografia del Registro di sistema con una chiave gestita dal cliente. Registro Azure Container userà quindi una versione specifica di una chiave per la crittografia del Registro di sistema.

Per informazioni dettagliate, vedere Rotazione delle chiavi e Versione della chiave di aggiornamento.

Passaggi successivi

• Per abilitare il registro contenitori con una chiave gestita dal cliente usando l'interfaccia della riga di comando di Azure, la portale di Azure o un modello di Resource Manager di Azure, passare all'articolo successivo: Abilitare una chiave gestita dal cliente.
• Altre informazioni sulla crittografia dei dati inattivi in Azure.
• Altre informazioni sui criteri di accesso e su come proteggere l'accesso a un insieme di credenziali delle chiavi.