Configurare la rotazione delle chiavi
La rotazione automatica delle chiavi crittografiche in Key Vault consente agli utenti di configurare Key Vault per generare automaticamente una nuova versione della chiave a una frequenza specificata. Per configurare la rotazione, è possibile usare i criteri di rotazione, definibili in ogni singola chiave.
È consigliabile ruotare le chiavi di crittografia almeno ogni due anni per soddisfare le procedure consigliate per la crittografia.
Per altre informazioni sul modo in cui gli oggetti in Key Vault sono soggetti al controllo delle versioni, vedere Oggetti, identificatori e controllo delle versioni di Key Vault.
Integrazione con servizi di Azure
Questa funzionalità consente la rotazione zero-touch end-to-end per la crittografia dei dati inattivi per i servizi di Azure con chiave gestita dal cliente archiviata in Azure Key Vault. Vedere la documentazione specifica del servizio di Azure per verificare se copre la rotazione end-to-end.
Per altre informazioni sulla crittografia dei dati in Azure, vedere:
- Crittografia Azure dei dati inattivi
- Tabella di supporto per la crittografia dei dati dei servizi di Azure
Prezzi
È previsto un costo aggiuntivo per la rotazione delle chiavi pianificata.
Autorizzazioni obbligatorie
La funzionalità di rotazione delle chiavi di Key Vault richiede autorizzazioni per la gestione delle chiavi. È possibile assegnare un ruolo di "Responsabile della crittografia Key Vault" per gestire il criterio di rotazione e la rotazione su richiesta.
Criteri di rotazione delle chiavi
Il criterio di rotazione delle chiavi consente agli utenti di configurare la rotazione e le notifiche di Griglia di eventi in prossimità della notifica di scadenza.
Impostazioni dei criteri di rotazione delle chiavi:
- Ora di scadenza: intervallo di scadenza della chiave. Viene usato per impostare la data di scadenza nella chiave appena ruotata. Non influisce su una chiave corrente.
- Abilitata/disabilitata: flag per abilitare o disabilitare la rotazione della chiave
- Tipi di rotazione:
- Rinnovo automatico in un determinato momento dopo la creazione (impostazione predefinita)
- Rinnovo automatico in un determinato momento prima della scadenza. Richiede l'impostazione di "Ora di scadenza" nel criterio di rotazione e di "Data di scadenza" nella chiave.
- Tempo di rotazione: intervallo di rotazione della chiave, il cui valore minimo è sette giorni dalla creazione e sette giorni dalla scadenza
- Tempo di notifica: intervallo di eventi di imminente scadenza della chiave per la notifica di Griglia di eventi. Richiede l'impostazione di "Ora di scadenza" nel criterio di rotazione e di "Data di scadenza" nella chiave.
La rotazione delle chiavi genera una nuova versione di una chiave esistente con nuovo materiale della chiave. I servizi di destinazione devono usare l'URI della chiave senza versione per eseguire automaticamente l'aggiornamento all’ultima versione della chiave. Assicurarsi che la soluzione di crittografia dei dati archivi l'URI della chiave con controllo delle versioni con i dati per puntare allo stesso materiale della chiave per decrittografare/annullare il wrapping usato per le operazioni di crittografia/wrapping per evitare interruzioni dei servizi. Tutti i servizi di Azure attualmente seguono questo modello di crittografia dei dati.
Configurare il criterio di rotazione della chiave
Configurare il criterio di rotazione della chiave durante la creazione della chiave.
Configurare la notifica di imminente scadenza della chiave
Configurazione della notifica di scadenza per l'evento di imminente scadenza della chiave di Griglia di eventi. Nel caso in cui non sia possibile usare la rotazione automatica, ad esempio quando una chiave viene importata dal modulo di protezione hardware locale, è possibile configurare la notifica di imminente scadenza come promemoria per la rotazione manuale o come trigger per la rotazione automatica personalizzata tramite l'integrazione con Griglia di eventi. È possibile configurare la notifica giorni, mesi e anni prima della scadenza per attivare l'evento di imminente scadenza.
Configurare la governance del criterio di rotazione della chiave
Usando il servizio Criteri di Azure, è possibile gestire il ciclo di vita delle chiavi e assicurarsi che tutte le chiavi siano configurate per la rotazione entro un numero specificato di giorni.
Creare e assegnare la definizione del criterio
- Passare alla risorsa Criteri
- Selezionare Assegnazioni in Creazione sul lato sinistro della pagina Criteri di Azure.
- Selezionare Assegna criteri nella parte superiore della pagina. Questo pulsante viene aperto nella pagina Assegnazione dei criteri.
- Immettere le informazioni seguenti:
- Definire l'ambito dei criteri scegliendo la sottoscrizione e il gruppo di risorse su cui verranno applicati i criteri. Selezionare facendo clic sul pulsante a tre punti nel campo Ambito.
- Selezionare il nome della definizione del criterio: "Le chiavi devono disporre di un criterio di rotazione che garantisca la programmazione della loro rotazione entro il numero di giorni specificato dopo la loro creazione. "
- Passare alla scheda Parametri nella parte superiore della schermata.
- Impostare il parametro Numero massimo di giorni per la rotazione sul numero di giorni desiderato, ad esempio 730.
- Definire l'effetto desiderato del criterio (Controllo o Disabilitazione).
- Compilare eventuali campi aggiuntivi. Esplorare le schede facendo clic sui pulsanti Indietro e Avanti nella parte inferiore della pagina.
- Selezionare Rivedi e crea.
- Seleziona Crea.
Dopo aver assegnato i criteri predefiniti, il completamento dell'analisi può richiedere fino a 24 ore. Al termine dell'analisi, è possibile visualizzare i risultati di conformità come indicato di seguito.
Configurare i criteri di rotazione per le chiavi esistenti.
Interfaccia della riga di comando di Azure
Salvare i criteri di rotazione delle chiavi in un file.
Impostare i criteri di rotazione su una chiave passando un file salvato in precedenza usando il comando az keyvault key rotation-policy updatedell'interfaccia della riga di comando di Azure.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Impostare i criteri di rotazione usando il cmdlet Set-AzKeyVaultKeyRotationPolicy di Azure PowerShell.
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Rotazione su richiesta
La rotazione delle chiavi può essere richiamata manualmente.
Portale
Fare clic su "Ruota ora" per richiamare la rotazione.
Interfaccia della riga di comando di Azure
Usare il comando az keyvault key rotate dell'interfaccia della riga di comando di Azure per ruotare la chiave.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Usare il cmdlet Invoke-AzKeyVaultKeyRotation di Azure PowerShell.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Configurare la notifica di imminente scadenza della chiave
Configurazione della notifica di scadenza per l'evento di imminente scadenza della chiave di Griglia di eventi. Nel caso in cui non sia possibile usare la rotazione automatica, ad esempio quando una chiave viene importata dal modulo di protezione hardware locale, è possibile configurare la notifica di imminente scadenza come promemoria per la rotazione manuale o come trigger per la rotazione automatica personalizzata tramite l'integrazione con Griglia di eventi. È possibile configurare la notifica giorni, mesi e anni prima della scadenza per attivare l'evento di imminente scadenza.
Per altre informazioni sulle notifiche relative a Griglia di eventi in Key Vault, vedere Azure Key Vault come origine Griglia di eventi