Configurare la crittografia con chiavi gestite dal cliente archiviate nel modulo di protezione hardware gestito di Azure Key Vault
Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile usare chiavi gestite dal cliente. Le chiavi gestite dal cliente devono essere archiviate in Azure Key Vault o nel modello di sicurezza hardware gestito di Key Vault.Customer-managed keys must be stored in Azure Key Vault or Key Vault Managed Hardware Security Model (HSM). Un modulo di protezione hardware gestito di Azure Key Vault è un modulo di protezione hardware convalidato FIPS 140-2 livello 3.
Questo articolo illustra come configurare la crittografia con chiavi gestite dal cliente archiviate in un modulo di protezione hardware gestito tramite l'interfaccia della riga di comando di Azure. Per informazioni su come configurare la crittografia con chiavi gestite dal cliente archiviate in un insieme di credenziali delle chiavi, vedere Configurare la crittografia con le chiavi gestite dal cliente archiviate in Azure Key Vault.
Nota
Azure Key Vault e Il modulo di protezione hardware gestito di Azure Key Vault supportano le stesse API e le stesse interfacce di gestione per la configurazione.
Assegnare un'identità all'account di archiviazione
Assegnare prima di tutto un'identità gestita assegnata dal sistema all'account di archiviazione. Si userà questa identità gestita per concedere all'account di archiviazione le autorizzazioni per accedere al modulo di protezione hardware gestito. Per altre informazioni sulle identità gestite assegnate dal sistema, vedere Informazioni sulle identità gestite per le risorse di Azure.
Per assegnare un'identità gestita usando l'interfaccia della riga di comando di Azure, chiamare az storage account update. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
Assegnare un ruolo all'account di archiviazione per l'accesso al modulo di protezione hardware gestito
Assegnare quindi il ruolo utente crittografia del servizio di crittografia del servizio di protezione hardware gestito all'identità gestita dell'account di archiviazione in modo che l'account di archiviazione disponga delle autorizzazioni per il modulo di protezione hardware gestito. Microsoft consiglia di definire l'ambito dell'assegnazione di ruolo al livello della singola chiave per concedere il minor numero possibile di privilegi all'identità gestita.
Per creare l'assegnazione di ruolo per l'account di archiviazione, chiamare az key vault role assignment create. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.
storage_account_principal = $(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault role assignment create \
--hsm-name <hsm-name> \
--role "Managed HSM Crypto Service Encryption User" \
--assignee $storage_account_principal \
--scope /keys/<key-name>
Configurare la crittografia con una chiave nel modulo di protezione hardware gestito
Configurare infine Archiviazione di Azure crittografia con chiavi gestite dal cliente per usare una chiave archiviata nel modulo di protezione hardware gestito. I tipi di chiave supportati includono chiavi RSA-HSM di dimensioni 2048, 3072 e 4096. Per informazioni su come creare una chiave in un modulo di protezione hardware gestito, vedere Creare una chiave HSM.
Installare l'interfaccia della riga di comando di Azure 2.12.0 o versione successiva per configurare la crittografia per l'uso di una chiave gestita dal cliente in un modulo di protezione hardware gestito. Per altre informazioni, vedere Installare l'interfaccia della riga di comando di Azure.
Per aggiornare automaticamente la versione della chiave per una chiave gestita dal cliente, omettere la versione della chiave quando si configura la crittografia con chiavi gestite dal cliente per l'account di archiviazione. Per altre informazioni sulla configurazione della crittografia per la rotazione automatica delle chiavi, vedere Aggiornare la versione della chiave.
Chiamare quindi az storage account update per aggiornare le impostazioni di crittografia dell'account di archiviazione, come illustrato nell'esempio seguente. --encryption-key-source parameter
Includere e impostarlo su Microsoft.Keyvault
per abilitare le chiavi gestite dal cliente per l'account. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.
hsmurl = $(az keyvault show \
--hsm-name <hsm-name> \
--query properties.hsmUri \
--output tsv)
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Per aggiornare manualmente la versione per una chiave gestita dal cliente, includere la versione della chiave quando si configura la crittografia per l'account di archiviazione:
az storage account update
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-version $key_version \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Quando si aggiorna manualmente la versione della chiave, è necessario aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione. Prima di tutto, eseguire una query per l'URI dell'insieme di credenziali delle chiavi chiamando az keyvault show e per la versione della chiave chiamando az keyvault key list-versions. Chiamare quindi az storage account update per aggiornare le impostazioni di crittografia dell'account di archiviazione per usare la nuova versione della chiave, come illustrato nell'esempio precedente.