Door de klant beheerde sleutels configureren in een Azure-sleutelkluis voor een bestaand opslagaccount

Azure Storage versleutelt alle gegevens in een opslagaccount-at-rest. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Key Vault Managed Hardware Security Model (HSM).

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels voor een bestaand opslagaccount. De door de klant beheerde sleutels worden opgeslagen in een sleutelkluis.

Zie Door de klant beheerde sleutels voor een nieuw opslagaccount configureren in een Azure-sleutelkluis voor een nieuw opslagaccount voor meer informatie over het configureren van door de klant beheerde sleutels.

Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in een beheerde HSM. Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault Beheerde HSM.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor configuratie.

De sleutelkluis configureren

U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. Het opslagaccount en de sleutelkluis bevinden zich mogelijk in verschillende regio's of abonnementen in dezelfde tenant. Zie Azure Key Vault Overview and What is Azure Key Vault voor meer informatie over Azure Key Vault.

Als u door de klant beheerde sleutels gebruikt met Azure Storage-versleuteling, moet de beveiliging voor voorlopig verwijderen en opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en niet kan worden uitgeschakeld. U kunt opschoningsbeveiliging inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt.

Zie quickstart: Een sleutelkluis maken met behulp van de Azure Portal voor meer informatie over het maken van een sleutelkluis met de Azure Portal. Wanneer u de sleutelkluis maakt, selecteert u Opschoningsbeveiliging inschakelen, zoals wordt weergegeven in de volgende afbeelding.

Schermopname van het inschakelen van opschoningsbeveiliging bij het maken van een sleutelkluis.

Voer de volgende stappen uit om opschoningsbeveiliging in te schakelen voor een bestaande sleutelkluis:

  1. Navigeer naar uw sleutelkluis in de Azure Portal.
  2. Kies Onder Instellingende optie Eigenschappen.
  3. Kies In de sectie Beveiliging opschonen de optie Opschoningsbeveiliging inschakelen.

Een sleutel toevoegen

Voeg vervolgens een sleutel toe aan de sleutelkluis.

Azure Storage-versleuteling ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie Over sleutels voor meer informatie over ondersteunde sleuteltypen.

Zie quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van de Azure Portal voor meer informatie over het toevoegen van een sleutel met de Azure Portal.

Kies een beheerde identiteit om toegang tot de sleutelkluis te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een bestaand opslagaccount, moet u een beheerde identiteit opgeven die wordt gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. De beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis.

De beheerde identiteit die toegang tot de sleutelkluis autoriseert, kan een door de gebruiker toegewezen of door het systeem toegewezen beheerde identiteit zijn. Zie Beheerde identiteitstypen voor meer informatie over door het systeem toegewezen versus door de gebruiker toegewezen beheerde identiteiten.

Een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang te autoriseren

Een door de gebruiker toegewezen resource is een zelfstandige Azure-resource. U moet de door de gebruiker toegewezen identiteit maken voordat u door de klant beheerde sleutels configureert. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteiten.

Wanneer u door de klant beheerde sleutels configureert met de Azure Portal, kunt u een bestaande door de gebruiker toegewezen identiteit selecteren via de gebruikersinterface van de portal. Zie Door de klant beheerde sleutels configureren voor een bestaand account voor meer informatie.

Een door het systeem toegewezen beheerde identiteit gebruiken om toegang te autoriseren

Een door het systeem toegewezen beheerde identiteit is gekoppeld aan een exemplaar van een Azure-service, in dit geval een Azure Storage-account. U moet expliciet een door het systeem toegewezen beheerde identiteit toewijzen aan een opslagaccount voordat u de door het systeem toegewezen beheerde identiteit kunt gebruiken om toegang te verlenen tot de sleutelkluis die uw door de klant beheerde sleutel bevat.

Alleen bestaande opslagaccounts kunnen een door het systeem toegewezen identiteit gebruiken om toegang tot de sleutelkluis te autoriseren. Nieuwe opslagaccounts moeten een door de gebruiker toegewezen identiteit gebruiken als door de klant beheerde sleutels zijn geconfigureerd bij het maken van accounts.

Wanneer u door de klant beheerde sleutels configureert met de Azure Portal met een door het systeem toegewezen beheerde identiteit, wordt de door het systeem toegewezen beheerde identiteit toegewezen aan het opslagaccount voor u onder de dekking. Zie Door de klant beheerde sleutels configureren voor een bestaand account voor meer informatie.

Toegangsbeleid voor key vault configureren

De volgende stap is het configureren van het toegangsbeleid voor de sleutelkluis. Het toegangsbeleid voor key vault verleent machtigingen aan de beheerde identiteit die wordt gebruikt om toegang tot de sleutelkluis te autoriseren. Zie Azure Key Vault Overview and Azure Key Vault security overview (Overzicht van Azure Key Vault) voor meer informatie over toegangsbeleid voor key vault.

Zie Een Toegangsbeleid voor Azure Key Vault toewijzen aan een Azure-Key Vault voor meer informatie over het configureren van het toegangsbeleid voor de sleutelkluis met de Azure Portal.

Door de klant beheerde sleutels configureren voor een bestaand account

Wanneer u versleuteling configureert met door de klant beheerde sleutels voor een bestaand opslagaccount, kunt u ervoor kiezen om automatisch de sleutelversie bij te werken die wordt gebruikt voor Azure Storage-versleuteling wanneer er een nieuwe versie beschikbaar is in de bijbehorende sleutelkluis. U kunt ook expliciet een sleutelversie opgeven die moet worden gebruikt voor versleuteling totdat de sleutelversie handmatig wordt bijgewerkt.

U kunt een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit gebruiken om toegang tot de sleutelkluis te autoriseren wanneer u door de klant beheerde sleutels configureert voor een bestaand opslagaccount.

Notitie

Als u een sleutel wilt draaien, maakt u een nieuwe versie van de sleutel in Azure Key Vault. Azure Storage verwerkt sleutelrotatie niet, dus u moet de rotatie van de sleutel in de sleutelkluis beheren. U kunt automatische rotatie van sleutels configureren in Azure Key Vault of uw sleutel handmatig roteren.

Versleuteling configureren voor het automatisch bijwerken van sleutelversies

Azure Storage kan automatisch de door de klant beheerde sleutel bijwerken die wordt gebruikt voor versleuteling om de nieuwste sleutelversie van de sleutelkluis te gebruiken. Azure Storage controleert de sleutelkluis dagelijks op een nieuwe versie van de sleutel. Wanneer er een nieuwe versie beschikbaar komt, wordt in Azure Storage automatisch de nieuwste versie van de sleutel voor versleuteling gebruikt.

Belangrijk

Azure Storage controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel roteert, wacht u 24 uur voordat u de oudere versie uitschakelt.

Voer de volgende stappen uit om door de klant beheerde sleutels voor een bestaand account te configureren met automatisch bijwerken van de sleutelversie in de Azure Portal:

  1. Ga naar uw opslagaccount.

  2. Selecteer Versleuteling op de blade Instellingen voor het opslagaccount. Sleutelbeheer is standaard ingesteld op Microsoft Managed Keys, zoals wordt weergegeven in de volgende afbeelding.

    Schermopname met versleutelingsopties in Azure Portal.

  3. Selecteer de optie Door klant beheerde sleutels .

  4. Kies de optie Selecteren uit Key Vault.

  5. Selecteer Een sleutelkluis en sleutel selecteren.

  6. Selecteer de sleutelkluis met de sleutel die u wilt gebruiken. U kunt ook een nieuwe sleutelkluis maken.

  7. Selecteer de sleutel in de sleutelkluis. U kunt ook een nieuwe sleutel maken.

    Schermopname die laat zien hoe u de sleutelkluis en sleutel selecteert in Azure Portal.

  8. Selecteer het type identiteit dat u wilt gebruiken om toegang tot de sleutelkluis te verifiëren. De opties omvatten door het systeem toegewezen (de standaardinstelling) of door de gebruiker toegewezen. Zie Beheerde identiteitstypen voor meer informatie over elk type beheerde identiteit.

    1. Als u Door het systeem toegewezen selecteert, wordt de door het systeem toegewezen beheerde identiteit voor het opslagaccount onder de dekking gemaakt, als deze nog niet bestaat.
    2. Als u Door de gebruiker toegewezen selecteert, moet u een bestaande door de gebruiker toegewezen identiteit selecteren die machtigingen heeft voor toegang tot de sleutelkluis. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken van een door de gebruiker toegewezen identiteit.

    Schermopname die laat zien hoe u een door de gebruiker toegewezen beheerde identiteit selecteert voor sleutelkluisverificatie.

  9. Sla uw wijzigingen op.

Nadat u de sleutel hebt opgegeven, geeft de Azure Portal aan dat automatisch bijwerken van de sleutelversie is ingeschakeld en wordt de sleutelversie weergegeven die momenteel wordt gebruikt voor versleuteling. In de portal wordt ook het type beheerde identiteit weergegeven dat wordt gebruikt om toegang tot de sleutelkluis en de principal-id voor de beheerde identiteit te autoriseren.

Schermopname van het automatisch bijwerken van de sleutelversie ingeschakeld.

Versleuteling configureren voor handmatig bijwerken van sleutelversies

Als u liever handmatig de sleutelversie bijwerkt, geeft u de versie expliciet op op het moment dat u versleuteling configureert met door de klant beheerde sleutels. In dit geval werkt Azure Storage de sleutelversie niet automatisch bij wanneer er een nieuwe versie wordt gemaakt in de sleutelkluis. Als u een nieuwe sleutelversie wilt gebruiken, moet u de versie die wordt gebruikt voor Azure Storage-versleuteling handmatig bijwerken.

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie in de Azure Portal, geeft u de sleutel-URI op, inclusief de versie. Voer de volgende stappen uit om een sleutel op te geven als een URI:

  1. Als u de sleutel-URI in de Azure Portal wilt zoeken, gaat u naar uw sleutelkluis en selecteert u de instelling Sleutels. Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.

  2. Kopieer de waarde van het veld Sleutel-id , die de URI levert.

    Schermopname van de sleutel-URI van de sleutelkluis in Azure Portal.

  3. Kies in de instellingen voor versleutelingssleutels voor uw opslagaccount de optie Sleutel-URI invoeren .

  4. Plak de URI die u hebt gekopieerd in het veld Sleutel-URI . Laat de sleutelversie weg van de URI om automatisch bijwerken van de sleutelversie in te schakelen.

    Schermopname van het invoeren van de sleutel-URI in Azure Portal.

  5. Geef het abonnement op dat de sleutelkluis bevat.

  6. Geef een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit op.

  7. Sla uw wijzigingen op.

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Azure Storage-versleuteling op elk gewenst moment wijzigen.

Voer de volgende stappen uit om de sleutel te wijzigen met de Azure Portal:

  1. Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
  2. Selecteer de sleutelkluis en kies een nieuwe sleutel.
  3. Sla uw wijzigingen op.

Door de klant beheerde sleutels intrekken

Als u een door de klant beheerde sleutel oproept, wordt de koppeling tussen het opslagaccount en de sleutelkluis verwijderd.

Als u door de klant beheerde sleutels met de Azure Portal wilt intrekken, schakelt u de sleutel uit zoals beschreven in Door de klant beheerde sleutels uitschakelen.

Door de klant beheerde sleutels uitschakelen

Wanneer u door de klant beheerde sleutels uitschakelt, wordt uw opslagaccount opnieuw versleuteld met door Microsoft beheerde sleutels.

Voer de volgende stappen uit om door de klant beheerde sleutels uit te schakelen in de Azure Portal:

  1. Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
  2. Schakel het selectievakje naast de instelling Uw eigen sleutel gebruiken uit.

Volgende stappen