Overzicht van door de klant beheerde sleutels

Azure Container Registry versleutelt automatisch installatiekopieën en andere artefacten die u opslaat. Standaard versleutelt Azure de registerinhoud in rust automatisch met behulp van door de service beheerde sleutels. Met behulp van een door de klant beheerde sleutel kunt u standaardversleuteling aanvullen met een extra versleutelingslaag.

Dit artikel is deel één in een vierdelige reeks zelfstudies. In de zelfstudie wordt het volgende behandeld:

• Overzicht van door de klant beheerde sleutels
• Een door de klant beheerde sleutel inschakelen
• Een door de klant beheerde sleutel draaien en intrekken
• Problemen met een door de klant beheerde sleutel oplossen

Over door de klant beheerde sleutels

Een door de klant beheerde sleutel geeft u het eigendom om uw eigen sleutel in Azure Key Vault te gebruiken. Wanneer u een door de klant beheerde sleutel inschakelt, kunt u de rotaties beheren, de toegang en machtigingen beheren om deze te gebruiken en het gebruik ervan controleren.

Belangrijke functies omvatten onder meer:

• Naleving van regelgeving: Azure versleutelt registerinhoud in rust automatisch met door de service beheerde sleutels, maar door de klant beheerde sleutelversleuteling helpt u te voldoen aan de richtlijnen voor naleving van regelgeving.

• Integratie met Azure Key Vault: door de klant beheerde sleutels ondersteunen versleuteling aan de serverzijde via integratie met Azure Key Vault. Met door de klant beheerde sleutels kunt u uw eigen versleutelingssleutels maken en opslaan in een sleutelkluis. U kunt ook Azure Key Vault-API's gebruiken om sleutels te genereren.

• Sleutellevenscyclusbeheer: door de klant beheerde sleutels integreren met Azure Key Vault biedt u volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, inclusief rotatie en beheer.

Voordat u een door de klant beheerde sleutel inschakelt

Voordat u Azure Container Registry configureert met een door de klant beheerde sleutel, moet u rekening houden met de volgende informatie:

• Deze functie is beschikbaar in de Premium-servicelaag voor een containerregister. Zie Azure Container Registry-servicelagen voor meer informatie.
• U kunt momenteel alleen een door de klant beheerde sleutel inschakelen tijdens het maken van een register.
• U kunt de versleuteling niet uitschakelen nadat u een door de klant beheerde sleutel in een register hebt ingeschakeld.
• U moet een door de gebruiker toegewezen beheerde identiteit configureren voor toegang tot de sleutelkluis. Later kunt u, indien nodig, de door het systeem toegewezen beheerde identiteit van het register inschakelen voor toegang tot de sleutelkluis.
• Azure Container Registry ondersteunt alleen RSA- of RSA-HSM-sleutels. Elliptische-curvesleutels worden momenteel niet ondersteund.
• In een register dat is versleuteld met een door de klant beheerde sleutel, kunt u logboeken voor Azure Container Registry-taken slechts 24 uur bewaren. Als u logboeken gedurende een langere periode wilt bewaren, raadpleegt u Logboeken voor taakuitvoeringen weergeven en beheren.
• Inhoudsvertrouwen wordt momenteel niet ondersteund in een register dat is versleuteld met een door de klant beheerde sleutel.

De door de klant beheerde sleutelversie bijwerken

Azure Container Registry ondersteunt zowel automatische als handmatige rotatie van registerversleutelingssleutels wanneer een nieuwe sleutelversie beschikbaar is in Azure Key Vault.

Belangrijk

Het is een belangrijke beveiligingsoverweging voor een register met door de klant beheerde sleutelversleuteling om de sleutelversies regelmatig bij te werken (draaien). Volg het nalevingsbeleid van uw organisatie om belangrijke versies regelmatig bij te werken tijdens het opslaan van een door de klant beheerde sleutel in Azure Key Vault.

• De sleutelversie automatisch bijwerken: wanneer een register wordt versleuteld met een niet-versiecode, controleert Azure Container Registry regelmatig de sleutelkluis op een nieuwe sleutelversie en werkt de door de klant beheerde sleutel binnen één uur bij. U wordt aangeraden de sleutelversie weg te laten wanneer u registerversleuteling inschakelt met een door de klant beheerde sleutel. Azure Container Registry gebruikt vervolgens automatisch de meest recente sleutelversie en werkt deze bij.

• Werk de sleutelversie handmatig bij: wanneer een register is versleuteld met een specifieke sleutelversie, gebruikt Azure Container Registry die versie voor versleuteling totdat u de door de klant beheerde sleutel handmatig draait. U wordt aangeraden de sleutelversie op te geven wanneer u registerversleuteling inschakelt met een door de klant beheerde sleutel. Azure Container Registry gebruikt vervolgens een specifieke versie van een sleutel voor registerversleuteling.

Zie Sleutelrotatie en sleutelversie bijwerken voor meer informatie.

Volgende stappen

• Als u uw containerregister wilt inschakelen met een door de klant beheerde sleutel met behulp van de Azure CLI, Azure Portal of een Azure Resource Manager-sjabloon, gaat u verder met het volgende artikel: Een door de klant beheerde sleutel inschakelen.
• Meer informatie over versleuteling-at-rest in Azure.
• Meer informatie over toegangsbeleid en het beveiligen van toegang tot een sleutelkluis.