Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault Beheerde HSM

Azure Storage alle gegevens in een opslagaccount-at-rest versleutelen. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Key Vault Managed Hardware Security Model (HSM). Een Door Azure Key Vault beheerde HSM is een met FIPS 140-2 level 3 gevalideerde HSM.

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels die zijn opgeslagen in een beheerde HSM met behulp van Azure CLI. Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in een sleutelkluis voor meer informatie over het configureren van versleuteling met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor configuratie.

Een identiteit toewijzen aan het opslagaccount

Wijs eerst een door het systeem toegewezen beheerde identiteit toe aan het opslagaccount. U gebruikt deze beheerde identiteit om het opslagaccount machtigingen te verlenen voor toegang tot de beheerde HSM. Zie Wat zijn beheerde identiteiten voor Azure-resources voor meer informatie over door het systeem toegewezen beheerde identiteiten.

Als u een beheerde identiteit wilt toewijzen met behulp van Azure CLI, roept u az storage account update aan. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Een rol toewijzen aan het opslagaccount voor toegang tot de beheerde HSM

Wijs vervolgens de versleutelingsrol beheerde HSM Crypto Service Encryption toe aan de beheerde identiteit van het opslagaccount, zodat het opslagaccount machtigingen heeft voor de beheerde HSM. Microsoft raadt u aan om de roltoewijzing te beperken tot het niveau van de afzonderlijke sleutel om zo min mogelijk bevoegdheden te verlenen aan de beheerde identiteit.

Als u de roltoewijzing voor het opslagaccount wilt maken, roept u az key vault role assignment create aan. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption User" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Versleuteling configureren met een sleutel in de beheerde HSM

Configureer ten slotte Azure Storage versleuteling met door de klant beheerde sleutels om een sleutel te gebruiken die is opgeslagen in de beheerde HSM. Ondersteunde sleuteltypen zijn RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie Een HSM-sleutel maken voor meer informatie over het maken van een sleutel in een beheerde HSM.

Installeer Azure CLI 2.12.0 of hoger om versleuteling te configureren voor het gebruik van een door de klant beheerde sleutel in een beheerde HSM. Zie De Azure CLI installeren voor meer informatie.

Als u de sleutelversie voor een door de klant beheerde sleutel automatisch wilt bijwerken, laat u de sleutelversie weg wanneer u versleuteling configureert met door de klant beheerde sleutels voor het opslagaccount. Zie De sleutelversie bijwerken voor meer informatie over het configureren van versleuteling voor automatische sleutelrotatie.

Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld. Neem de --encryption-key-source parameter functie op en stel deze in om door de klant beheerde sleutels voor het account in te Microsoft.Keyvault schakelen. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Als u de versie voor een door de klant beheerde sleutel handmatig wilt bijwerken, neemt u de sleutelversie op wanneer u versleuteling voor het opslagaccount configureert:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te kunnen gebruiken. Voer eerst een query uit voor de sleutelkluis-URI door az keyvault show aan te roepen en voor de sleutelversie door az keyvault key list-versions aan te roepen. Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken om de nieuwe versie van de sleutel te gebruiken, zoals wordt weergegeven in het vorige voorbeeld.

Volgende stappen