Overzicht van door de klant beheerde sleutels

Azure Container Registry versleutelt automatisch afbeeldingen en andere artefacten die u opslaat. Standaard versleutelt Azure de registerinhoud in rust automatisch met behulp van door de service beheerde sleutels. Met behulp van een door de klant beheerde sleutel kunt u de standaardversleuteling aanvullen met een extra versleutelingslaag.

Dit artikel is deel één in een vierdelige reeks zelfstudies. In de zelfstudie wordt het volgende behandeld:

  • Overzicht van door de klant beheerde sleutels
  • Een door de klant beheerde sleutel inschakelen
  • Een door de klant beheerde sleutel draaien en intrekken
  • Problemen met een door de klant beheerde sleutel oplossen

Over door de klant beheerde sleutels

Een door de klant beheerde sleutel geeft u het eigendom om uw eigen sleutel mee te nemen in Azure Key Vault. Wanneer u een door de klant beheerde sleutel inschakelt, kunt u de rotaties ervan beheren, de toegang en machtigingen voor het gebruik ervan beheren en het gebruik ervan controleren.

Belangrijke functies omvatten onder meer:

  • Naleving van regelgeving: Azure versleutelt registerinhoud at rest automatisch met door de service beheerde sleutels, maar door de klant beheerde sleutelversleuteling helpt u te voldoen aan richtlijnen voor naleving van regelgeving.

  • Integratie met Azure Key Vault: door de klant beheerde sleutels ondersteunen versleuteling aan de serverzijde via integratie met Azure Key Vault. Met door de klant beheerde sleutels kunt u uw eigen versleutelingssleutels maken en deze opslaan in een sleutelkluis. U kunt ook Azure Key Vault-API's gebruiken om sleutels te genereren.

  • Levenscyclusbeheer van sleutels: door de klant beheerde sleutels te integreren met Azure Key Vault krijgt u volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, inclusief rotatie en beheer.

Voordat u een door de klant beheerde sleutel inschakelt

Voordat u Azure Container Registry configureert met een door de klant beheerde sleutel, moet u rekening houden met de volgende informatie:

  • Deze functie is beschikbaar in de Premium-servicelaag voor een containerregister. Zie Azure Container Registry-servicelagen voor meer informatie.
  • U kunt momenteel alleen een door de klant beheerde sleutel inschakelen tijdens het maken van een register.
  • U kunt de versleuteling niet uitschakelen nadat u een door de klant beheerde sleutel in een register hebt ingeschakeld.
  • U moet een door de gebruiker toegewezen beheerde identiteit configureren voor toegang tot de sleutelkluis. Later, indien nodig, kunt u de door het systeem toegewezen beheerde identiteit van het register inschakelen voor toegang tot de sleutelkluis.
  • Azure Container Registry ondersteunt alleen RSA- of RSA-HSM-sleutels. Toetsen voor elliptische curven worden momenteel niet ondersteund.
  • In een register dat is versleuteld met een door de klant beheerde sleutel, kunt u logboeken voor Azure Container Registry taken slechts 24 uur bewaren. Zie Logboeken voor taakuitvoeringen weergeven en beheren als u logboeken voor een langere periode wilt bewaren.
  • Inhoudsvertrouwen wordt momenteel niet ondersteund in een register dat is versleuteld met een door de klant beheerde sleutel.

De versie van de door de klant beheerde sleutel bijwerken

Azure Container Registry ondersteunt zowel automatische als handmatige rotatie van registerversleutelingssleutels wanneer een nieuwe sleutelversie beschikbaar is in Azure Key Vault.

Belangrijk

Het is een belangrijke beveiligingsoverweging voor een register met door de klant beheerde sleutelversleuteling om de sleutelversies regelmatig bij te werken (te roteren). Volg het nalevingsbeleid van uw organisatie om regelmatig sleutelversies bij te werken tijdens het opslaan van een door de klant beheerde sleutel in Azure Key Vault.

  • De sleutelversie automatisch bijwerken: wanneer een register is versleuteld met een niet-geversiede sleutel, controleert Azure Container Registry de sleutelkluis regelmatig op een nieuwe sleutelversie en werkt de door de klant beheerde sleutel binnen een uur bij. We raden u aan de sleutelversie weg te laten wanneer u registerversleuteling inschakelt met een door de klant beheerde sleutel. Azure Container Registry gebruikt vervolgens automatisch de meest recente sleutelversie en werkt deze bij.

  • De sleutelversie handmatig bijwerken: wanneer een register is versleuteld met een specifieke sleutelversie, gebruikt Azure Container Registry die versie voor versleuteling totdat u de door de klant beheerde sleutel handmatig roteert. We raden u aan de sleutelversie op te geven wanneer u registerversleuteling inschakelt met een door de klant beheerde sleutel. Azure Container Registry gebruikt vervolgens een specifieke versie van een sleutel voor registerversleuteling.

Zie Sleutelrotatie en Sleutelversie bijwerken voor meer informatie.

Volgende stappen