Udostępnij za pośrednictwem

Omówienie kluczy zarządzanych przez klienta

  • Artykuł

Usługa Azure Container Registry automatycznie szyfruje obrazy i inne przechowywane artefakty. Domyślnie platforma Azure automatycznie szyfruje zawartość rejestru magazynowanych przy użyciu kluczy zarządzanych przez usługę. Korzystając z klucza zarządzanego przez klienta, można uzupełnić szyfrowanie domyślne dodatkowymi warstwami szyfrowania.

Ten artykuł jest częścią jednej z czterech części serii samouczków. Samouczek obejmuje następujące zagadnienia:

  • Omówienie kluczy zarządzanych przez klienta
  • Włączanie klucza zarządzanego przez klienta
  • Obracanie i odwoływanie klucza zarządzanego przez klienta
  • Rozwiązywanie problemów z kluczem zarządzanym przez klienta

Informacje o kluczach zarządzanych przez klienta

Klucz zarządzany przez klienta zapewnia własność przenoszenia własnego klucza w usłudze Azure Key Vault. Po włączeniu klucza zarządzanego przez klienta można zarządzać jego rotacjami, kontrolować dostęp i uprawnienia do korzystania z niego oraz przeprowadzać inspekcję jego użycia.

Najważniejsze funkcje:

  • Zgodność z przepisami: platforma Azure automatycznie szyfruje zawartość rejestru magazynowanych przy użyciu kluczy zarządzanych przez usługę, ale szyfrowanie kluczy zarządzanych przez klienta pomaga spełnić wytyczne dotyczące zgodności z przepisami.

  • Integracja z usługą Azure Key Vault: klucze zarządzane przez klienta obsługują szyfrowanie po stronie serwera za pośrednictwem integracji z usługą Azure Key Vault. Za pomocą kluczy zarządzanych przez klienta można utworzyć własne klucze szyfrowania i przechowywać je w magazynie kluczy. Możesz też użyć interfejsów API usługi Azure Key Vault do generowania kluczy.

  • Zarządzanie cyklem życia klucza: integracja kluczy zarządzanych przez klienta z usługą Azure Key Vault zapewnia pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie.

Przed włączeniem klucza zarządzanego przez klienta

Przed skonfigurowaniem usługi Azure Container Registry przy użyciu klucza zarządzanego przez klienta należy wziąć pod uwagę następujące informacje:

  • Ta funkcja jest dostępna w warstwie usługi Premium dla rejestru kontenerów. Aby uzyskać więcej informacji, zobacz Warstwy usługi Azure Container Registry.
  • Obecnie można włączyć klucz zarządzany przez klienta tylko podczas tworzenia rejestru.
  • Nie można wyłączyć szyfrowania po włączeniu klucza zarządzanego przez klienta w rejestrze.
  • Aby uzyskać dostęp do magazynu kluczy, musisz skonfigurować tożsamość zarządzaną przypisaną przez użytkownika. Później, jeśli jest to wymagane, możesz włączyć tożsamość zarządzaną przypisaną przez system rejestru na potrzeby dostępu do magazynu kluczy.
  • Usługa Azure Container Registry obsługuje tylko klucze RSA lub RSA-HSM. Klucze krzywej eliptycznej nie są obecnie obsługiwane.
  • W rejestrze zaszyfrowanym za pomocą klucza zarządzanego przez klienta można przechowywać dzienniki dla zadań usługi Azure Container Registry tylko przez 24 godziny. Aby zachować dzienniki przez dłuższy okres, zobacz Wyświetlanie dzienników uruchamiania zadań i zarządzanie nimi.
  • Zaufanie do zawartości nie jest obecnie obsługiwane w rejestrze zaszyfrowanym za pomocą klucza zarządzanego przez klienta.

Aktualizowanie wersji klucza zarządzanego przez klienta

Usługa Azure Container Registry obsługuje automatyczne i ręczne obracanie kluczy szyfrowania rejestru, gdy nowa wersja klucza jest dostępna w usłudze Azure Key Vault.

Ważne

Jest to ważna kwestia zabezpieczeń rejestru z szyfrowaniem kluczy zarządzanych przez klienta w celu częstego aktualizowania (rotacji) wersji kluczy. Postępuj zgodnie z zasadami zgodności organizacji, aby regularnie aktualizować kluczowe wersje podczas przechowywania klucza zarządzanego przez klienta w usłudze Azure Key Vault.

  • Automatycznie aktualizuj wersję klucza: gdy rejestr jest szyfrowany przy użyciu klucza innego niż wersja, usługa Azure Container Registry regularnie sprawdza magazyn kluczy pod kątem nowej wersji klucza i aktualizuje klucz zarządzany przez klienta w ciągu jednej godziny. Zalecamy pominięcie wersji klucza podczas włączania szyfrowania rejestru za pomocą klucza zarządzanego przez klienta. Usługa Azure Container Registry będzie następnie automatycznie używać i aktualizować najnowszą wersję klucza.

  • Ręcznie zaktualizuj wersję klucza: gdy rejestr jest szyfrowany przy użyciu określonej wersji klucza, usługa Azure Container Registry używa tej wersji do szyfrowania do momentu ręcznego rotacji klucza zarządzanego przez klienta. Zalecamy określenie wersji klucza podczas włączania szyfrowania rejestru za pomocą klucza zarządzanego przez klienta. Usługa Azure Container Registry będzie następnie używać określonej wersji klucza do szyfrowania rejestru.

Aby uzyskać szczegółowe informacje, zobacz Rotacja kluczy i Aktualizowanie wersji klucza.

Następne kroki

  • Aby włączyć rejestr kontenerów przy użyciu klucza zarządzanego przez klienta przy użyciu interfejsu wiersza polecenia platformy Azure, witryny Azure Portal lub szablonu usługi Azure Resource Manager, przejdź do następnego artykułu: Włączanie klucza zarządzanego przez klienta.
  • Dowiedz się więcej o szyfrowaniu magazynowanych na platformie Azure.
  • Dowiedz się więcej o zasadach dostępu i sposobie zabezpieczania dostępu do magazynu kluczy.