Panoramica delle chiavi gestite dal cliente
Registro Azure Container crittografa automaticamente le immagini e gli altri artefatti archiviati. Per impostazione predefinita, Azure crittografa automaticamente il contenuto del registro inattivo usando le chiavi gestite dal servizio. Usando una chiave gestita dal cliente, è possibile integrare la crittografia predefinita con un livello di crittografia aggiuntivo.
Questo articolo è la prima parte di una serie di esercitazioni in quattro parti. Contenuto dell'esercitazione:
- Panoramica delle chiavi gestite dal cliente
- Abilitare una chiave gestita dal cliente
- Ruotare e revocare una chiave gestita dal cliente
- Risolvere i problemi relativi a una chiave gestita dal cliente
Informazioni sulle chiavi gestite dal cliente
Una chiave gestita dal cliente offre la possibilità di usare una chiave proprietaria personalizzata in Azure Key Vault. Quando si abilita una chiave gestita dal cliente, è possibile gestire le rotazioni, controllare l'accesso e le autorizzazioni per il suo controllo e uso.
Le funzionalità principali includono:
Conformità alle normative: Azure crittografa automaticamente il contenuto del registro di inattivo con le chiavi gestite dal servizio, ma la crittografia delle chiavi gestite dal cliente consente di soddisfare le linee guida per la conformità alle normative.
Integrazione con Azure Key Vault: le chiavi gestite dal cliente supportano la crittografia sul lato server tramite l'integrazione con Azure Key Vault. Con le chiavi gestite dal cliente è possibile creare chiavi di crittografia personalizzate e archiviarle in un insieme di credenziali delle chiavi. In alternativa, è possibile usare le API di Azure Key Vault per generare le chiavi.
Gestione del ciclo di vita delle chiavi: l'integrazione di chiavi gestite dal cliente con Azure Key Vault offre il controllo e la responsabilità completi per il ciclo di vita delle chiavi, inclusa la rotazione e la gestione.
Prima di abilitare una chiave gestita dal cliente
Prima di configurare Registro Azure Container con una chiave gestita dal cliente, prendere in considerazione le informazioni seguenti:
- Questa funzionalità è disponibile per il livello di servizio Premium del registro contenitori. Per altre informazioni, vedere Livelli di servizio di Registro Azure Container.
- Attualmente è possibile abilitare una chiave gestita dal cliente solo quando si crea un registro.
- Non è possibile disabilitare la crittografia dopo aver abilitato una chiave gestita dal cliente in un registro.
- È necessario configurare un'identità gestita assegnata dall'utente per accedere all'insieme di credenziali delle chiavi. In un secondo momento, se necessario, è possibile abilitare l'identità gestita assegnata dal sistema per l'accesso all'insieme di credenziali delle chiavi.
- Registro Azure Container supporta solo chiavi RSA o RSA-HSM. Le chiavi a curva ellittica non sono attualmente supportate.
- In un registro crittografato con una chiave gestita dal cliente, è possibile conservare i log per le attività del Registro Azure Container solo per 24 ore. Per conservare i log per un periodo più lungo, vedere Visualizzare e gestire i log di esecuzione delle attività.
- L'attendibilità del contenuto non è attualmente supportata in un registro crittografato con una chiave gestita dal cliente.
Aggiornare la versione della chiave gestita dal cliente
Registro Azure Container supporta sia la rotazione automatica che manuale delle chiavi di crittografia del registro quando è disponibile una nuova versione della chiave in Azure Key Vault.
Importante
È una considerazione importante per la sicurezza per un registro con crittografia basata su chiavi gestite dal cliente per aggiornare frequentemente (ruotare) le versioni delle chiavi. Seguire i criteri di conformità dell'organizzazione per aggiornare regolarmente le versioni delle chiavi archiviando una chiave gestita dal cliente in Azure Key Vault.
Aggiornare automaticamente la versione della chiave: quando un registro viene crittografato con una chiave senza versione, Registro Azure Container cerca regolarmente una nuova versione della chiave nell'insieme di credenziali delle chiavi e aggiorna la chiave gestita dal cliente entro un'ora. È consigliabile omettere la versione della chiave quando si abilita la crittografia del registro con una chiave gestita dal cliente. Registro Azure Container userà e aggiornerà automaticamente la chiave alla versione più recente.
Aggiornare manualmente la versione della chiave: quando un registro viene crittografato con una versione di chiave specifica, Registro Azure Container usa tale versione per la crittografia fino a quando non si ruota manualmente la chiave gestita dal cliente. È consigliabile specificare la versione della chiave quando si abilita la crittografia del registro con una chiave gestita dal cliente. Registro Azure Container userà quindi una versione specifica di una chiave per la crittografia del registro.
Per informazioni dettagliate, vedere Rotazione delle chiavi e Aggiornare la versione della chiave.
Passaggi successivi
- Per abilitare il registro contenitori con una chiave gestita dal cliente tramite l'interfaccia della riga di comando di Azure, il portale di Azure o un modello di Azure Resource Manager, passare all'articolo successivo: Abilitare una chiave gestita dal cliente.
- Altre informazioni sulla crittografia dei dati inattivi in Azure.
- Altre informazioni sui criteri di accesso e su come proteggere l'accesso a un insieme di credenziali delle chiavi.