Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure

È possibile usare la propria chiave di crittografia per proteggere i dati nell'account di archiviazione. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso.

È necessario usare uno degli archivi chiavi di Azure seguenti per archiviare le chiavi gestite dal cliente:

È possibile creare chiavi personalizzate e archiviarle nell'insieme di credenziali delle chiavi o nel modulo di protezione hardware gestito oppure usare le API di Azure Key Vault per generare chiavi. L'account di archiviazione e l'insieme di credenziali delle chiavi o il modulo di protezione hardware gestito possono essere tenant, aree e sottoscrizioni diversi di Azure Active Directory (Azure AD).

Nota

Azure Key Vault e Azure Key Vault Managed HSM supportano le stesse API e interfacce di gestione per la configurazione.

Informazioni sulle chiavi gestite dal cliente

Il diagramma seguente illustra come Archiviazione di Azure usa Azure AD e un insieme di credenziali delle chiavi o un modulo di protezione hardware gestito per effettuare richieste usando la chiave gestita dal cliente:

Diagramma che mostra il funzionamento delle chiavi gestite dal cliente in Archiviazione di Azure

Nell'elenco seguente vengono illustrati i passaggi numerati nel diagramma:

  1. Un amministratore di Azure Key Vault concede le autorizzazioni per le chiavi di crittografia a un'identità gestita. L'identità gestita può essere un'identità gestita assegnata dall'utente creata e gestita o un'identità gestita assegnata dal sistema associata all'account di archiviazione.
  2. Un amministratore di Archiviazione di Azure configura la crittografia con una chiave gestita dal cliente per l'account di archiviazione.
  3. Archiviazione di Azure usa l'identità gestita a cui l'amministratore di Azure Key Vault ha concesso le autorizzazioni nel passaggio 1 per autenticare l'accesso ad Azure Key Vault tramite Azure AD.
  4. Archiviazione di Azure esegue il wrapping della chiave di crittografia dell'account con la chiave gestita dal cliente in Azure Key Vault.
  5. Per le operazioni di lettura/scrittura, Archiviazione di Azure invia richieste ad Azure Key Vault per annullare ilrap della chiave di crittografia dell'account per eseguire operazioni di crittografia e decrittografia.

L'identità gestita associata all'account di archiviazione deve avere queste autorizzazioni almeno per accedere a una chiave gestita dal cliente in Azure Key Vault:

  • wrappingkey
  • unwrapkey
  • get

Per altre informazioni sulle autorizzazioni chiave, vedere Tipi di chiavi, algoritmi e operazioni.

Criteri di Azure fornisce criteri predefiniti per richiedere che gli account di archiviazione usino chiavi gestite dal cliente per l'archiviazione BLOB e i carichi di lavoro File di Azure. Per altre informazioni, vedere la sezione Archiviazione in Criteri di Azure definizioni di criteri predefinite.

Chiavi gestite dal cliente per code e tabelle

I dati archiviati nella coda e nell'archiviazione tabelle non vengono protetti automaticamente da una chiave gestita dal cliente quando le chiavi gestite dal cliente sono abilitate per l'account di archiviazione. Facoltativamente, è possibile configurare questi servizi da includere in questa protezione al momento della creazione dell'account di archiviazione.

Per altre informazioni su come creare un account di archiviazione che supporta chiavi gestite dal cliente per code e tabelle, vedere Creare un account che supporta chiavi gestite dal cliente per tabelle e code.

I dati nell'archiviazione BLOB e File di Azure sono sempre protetti dalle chiavi gestite dal cliente quando vengono configurate chiavi gestite dal cliente per l'account di archiviazione.

Abilitare le chiavi gestite dal cliente per un account di archiviazione

Quando si configura una chiave gestita dal cliente, Archiviazione di Azure esegue il wrapping della chiave di crittografia dei dati radice per l'account con la chiave gestita dal cliente nell'insieme di credenziali delle chiavi associato o nel modulo di protezione hardware gestito. L'abilitazione delle chiavi gestite dal cliente non influisce sulle prestazioni e si verifica immediatamente.

È possibile configurare chiavi gestite dal cliente con l'insieme di credenziali delle chiavi e l'account di archiviazione nello stesso tenant o in tenant di Azure AD diversi. Per informazioni su come configurare la crittografia di Archiviazione di Azure con chiavi gestite dal cliente quando l'insieme di credenziali delle chiavi e l'account di archiviazione si trovano nello stesso tenant, vedere uno degli articoli seguenti:

Per informazioni su come configurare la crittografia di Archiviazione di Azure con chiavi gestite dal cliente quando l'insieme di credenziali delle chiavi e l'account di archiviazione sono in tenant di Azure AD diversi, vedere uno degli articoli seguenti:

Quando si abilitano o disabilitano le chiavi gestite dal cliente o quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure non devono essere ricrittografati.

È possibile abilitare le chiavi gestite dal cliente in account di archiviazione nuovi e esistenti. Quando si abilitano le chiavi gestite dal cliente, è necessario specificare un'identità gestita da usare per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. L'identità gestita può essere un'identità gestita assegnata dall'utente o assegnata dal sistema:

  • Quando si configurano chiavi gestite dal cliente al momento della creazione di un account di archiviazione, è necessario usare un'identità gestita assegnata dall'utente.
  • Quando si configurano chiavi gestite dal cliente in un account di archiviazione esistente, è possibile usare un'identità gestita assegnata dall'utente o un'identità gestita assegnata dal sistema.

Per altre informazioni sulle identità gestite assegnate dal sistema rispetto alle identità gestite assegnate dall'utente, vedere Identità gestite per le risorse di Azure.

È possibile passare tra chiavi gestite dal cliente e chiavi gestite da Microsoft in qualsiasi momento. Per altre informazioni sulle chiavi gestite da Microsoft, vedere Informazioni sulla gestione delle chiavi di crittografia.

Importante

Le chiavi gestite dal cliente si basano sulle identità gestite per le risorse di Azure, una funzionalità di Azure AD. Le identità gestite non supportano attualmente scenari tra tenant. Quando si configurano chiavi gestite dal cliente nella portale di Azure, un'identità gestita viene assegnata automaticamente all'account di archiviazione sotto le copertine. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o l'account di archiviazione da un tenant di Azure AD a un altro, l'identità gestita associata all'account di archiviazione non viene trasferita al nuovo tenant, in modo che le chiavi gestite dal cliente non funzionino più. Per altre informazioni, vedere Trasferimento di una sottoscrizione tra directory di Azure AD in domande frequenti e problemi noti relativi alle identità gestite per le risorse di Azure.

La crittografia di archiviazione di Azure supporta chiavi RSA e RSA-HSM di dimensioni 2048, 3072 e 4096. Per altre informazioni sulle chiavi, vedere Informazioni sulle chiavi.

L'uso di un insieme di credenziali delle chiavi o del modulo di protezione hardware gestito ha associato costi. Per altre informazioni, vedere prezzi Key Vault.

Aggiornare la versione della chiave

Quando si configura la crittografia con chiavi gestite dal cliente, sono disponibili due opzioni per aggiornare la versione della chiave:

  • Aggiornare automaticamente la versione della chiave: Per aggiornare automaticamente una chiave gestita dal cliente quando è disponibile una nuova versione, omettere la versione della chiave quando si abilita la crittografia con chiavi gestite dal cliente per l'account di archiviazione. Se la versione della chiave viene omessa, Archiviazione di Azure controlla ogni giorno l'insieme di credenziali delle chiavi o il modulo di protezione hardware gestito dal cliente per una nuova versione di una chiave gestita dal cliente. Se è disponibile una nuova versione della chiave, Archiviazione di Azure usa automaticamente la versione più recente della chiave.

    Archiviazione di Azure controlla l'insieme di credenziali delle chiavi solo una volta al giorno. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.

  • Aggiornare manualmente la versione della chiave: Per usare una versione specifica di una chiave per la crittografia di Archiviazione di Azure, specificare la versione della chiave quando si abilita la crittografia con chiavi gestite dal cliente per l'account di archiviazione. Se si specifica la versione della chiave, Archiviazione di Azure usa tale versione per la crittografia fino a quando non si aggiorna manualmente la versione della chiave.

    Quando la versione della chiave viene specificata in modo esplicito, è necessario aggiornare manualmente l'account di archiviazione per usare il nuovo URI della versione della chiave quando viene creata una nuova versione. Per informazioni su come aggiornare l'account di archiviazione per usare una nuova versione della chiave, vedere Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key Vault o Configurare la crittografia con chiavi gestite dal cliente archiviate in Azure Key VaultManaged HSM.

Quando si aggiorna la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure non vengono ricrittografati. Non è necessaria un'ulteriore azione dall'utente.

Nota

Per ruotare una chiave, creare una nuova versione della chiave nell'insieme di credenziali delle chiavi o nel modulo di protezione hardware gestito, in base ai criteri di conformità. È possibile ruotare manualmente la chiave o creare una funzione per ruotarla in base a una pianificazione.

Revocare l'accesso alle chiavi gestite dal cliente

È possibile revocare l'accesso dell'account di archiviazione alla chiave gestita dal cliente in qualsiasi momento. Dopo aver revocato l'accesso alle chiavi gestite dal cliente o dopo che la chiave è stata disabilitata o eliminata, i client non possono chiamare operazioni da o scrivere in un BLOB o nei relativi metadati. I tentativi di chiamare una delle operazioni seguenti avranno esito negativo con il codice di errore 403 (Non consentito) per tutti gli utenti:

Per chiamare di nuovo queste operazioni, ripristinare l'accesso alla chiave gestita dal cliente.

Tutte le operazioni di dati non elencate in questa sezione possono procedere dopo la revoca o l'eliminazione di una chiave gestita dal cliente.

Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure.

Chiavi gestite dal cliente per i dischi gestiti da Azure

Le chiavi gestite dal cliente sono disponibili anche per la gestione della crittografia dei dischi gestiti di Azure. Le chiavi gestite dal cliente si comportano in modo diverso per i dischi gestiti rispetto alle risorse di archiviazione di Azure. Per altre informazioni, vedere Crittografia lato server dei dischi gestiti di Azure per la crittografia lato Windows o Server dei dischi gestiti di Azure per Linux.

Passaggi successivi