Omówienie kluczy zarządzanych przez klienta

Azure Container Registry automatycznie szyfruje obrazy i inne przechowywane artefakty. Domyślnie platforma Azure automatycznie szyfruje zawartość rejestru magazynowanych przy użyciu kluczy zarządzanych przez usługę. Za pomocą klucza zarządzanego przez klienta można uzupełnić domyślne szyfrowanie dodatkowymi warstwami szyfrowania.

Ten artykuł jest częścią czteroczęściowej serii samouczków. Samouczek obejmuje następujące zagadnienia:

• Omówienie kluczy zarządzanych przez klienta
• Włączanie klucza zarządzanego przez klienta
• Obracanie i odwoływanie klucza zarządzanego przez klienta
• Rozwiązywanie problemów z kluczem zarządzanym przez klienta

Informacje o kluczach zarządzanych przez klienta

Klucz zarządzany przez klienta zapewnia własność do przenoszenia własnego klucza w usłudze Azure Key Vault. Po włączeniu klucza zarządzanego przez klienta można zarządzać jego rotacjami, kontrolować dostęp i uprawnienia do korzystania z niego oraz przeprowadzać inspekcję jego użycia.

Najważniejsze funkcje:

• Zgodność z przepisami: platforma Azure automatycznie szyfruje zawartość rejestru magazynowanych przy użyciu kluczy zarządzanych przez usługę, ale szyfrowanie kluczy zarządzanych przez klienta pomaga spełnić wytyczne dotyczące zgodności z przepisami.

• Integracja z usługą Azure Key Vault: klucze zarządzane przez klienta obsługują szyfrowanie po stronie serwera dzięki integracji z usługą Azure Key Vault. Za pomocą kluczy zarządzanych przez klienta można tworzyć własne klucze szyfrowania i przechowywać je w magazynie kluczy. Możesz też użyć interfejsów API usługi Azure Key Vault do generowania kluczy.

• Zarządzanie cyklem życia klucza: integracja kluczy zarządzanych przez klienta z usługą Azure Key Vault zapewnia pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie.

Przed włączeniem klucza zarządzanego przez klienta

Przed skonfigurowaniem Azure Container Registry przy użyciu klucza zarządzanego przez klienta należy wziąć pod uwagę następujące informacje:

• Ta funkcja jest dostępna w warstwie usługi Premium dla rejestru kontenerów. Aby uzyskać więcej informacji, zobacz Warstwy usługi Azure Container Registry.
• Obecnie można włączyć klucz zarządzany przez klienta tylko podczas tworzenia rejestru.
• Nie można wyłączyć szyfrowania po włączeniu klucza zarządzanego przez klienta w rejestrze.
• Aby uzyskać dostęp do magazynu kluczy, należy skonfigurować tożsamość zarządzaną przypisaną przez użytkownika . Później, jeśli jest to wymagane, można włączyć tożsamość zarządzaną przypisaną przez system rejestru na potrzeby dostępu do magazynu kluczy.
• Azure Container Registry obsługuje tylko klucze RSA lub RSA-HSM. Klucze krzywej eliptycznej nie są obecnie obsługiwane.
• W rejestrze zaszyfrowanym przy użyciu klucza zarządzanego przez klienta można przechowywać dzienniki dla Azure Container Registry zadań tylko przez 24 godziny. Aby zachować dzienniki przez dłuższy czas, zobacz Wyświetlanie dzienników uruchamiania zadań i zarządzanie nimi.
• Zaufanie do zawartości nie jest obecnie obsługiwane w rejestrze zaszyfrowanym przy użyciu klucza zarządzanego przez klienta.

Aktualizowanie wersji klucza zarządzanego przez klienta

Azure Container Registry obsługuje zarówno automatyczne, jak i ręczne obracanie kluczy szyfrowania rejestru, gdy nowa wersja klucza jest dostępna w usłudze Azure Key Vault.

Ważne

Jest to ważna kwestia zabezpieczeń rejestru z szyfrowaniem kluczy zarządzanych przez klienta w celu częstego aktualizowania (rotacji) wersji kluczy. Postępuj zgodnie z zasadami zgodności organizacji, aby regularnie aktualizować kluczowe wersje podczas przechowywania klucza zarządzanego przez klienta w usłudze Azure Key Vault.

• Automatycznie aktualizuj wersję klucza: gdy rejestr jest szyfrowany przy użyciu klucza innego niż wersja, Azure Container Registry regularnie sprawdza magazyn kluczy pod kątem nowej wersji klucza i aktualizuje klucz zarządzany przez klienta w ciągu jednej godziny. Zalecamy pominięcie wersji klucza podczas włączania szyfrowania rejestru za pomocą klucza zarządzanego przez klienta. Azure Container Registry następnie automatycznie użyje i zaktualizuje najnowszą wersję klucza.

• Ręcznie zaktualizuj wersję klucza: gdy rejestr jest szyfrowany przy użyciu określonej wersji klucza, Azure Container Registry używa tej wersji do szyfrowania do momentu ręcznego rotacji klucza zarządzanego przez klienta. Zalecamy określenie wersji klucza podczas włączania szyfrowania rejestru za pomocą klucza zarządzanego przez klienta. Azure Container Registry następnie użyje określonej wersji klucza do szyfrowania rejestru.

Aby uzyskać szczegółowe informacje, zobacz Rotacja kluczy i Aktualizacja wersji klucza.

Następne kroki

• Aby włączyć rejestr kontenerów przy użyciu klucza zarządzanego przez klienta przy użyciu interfejsu wiersza polecenia platformy Azure, Azure Portal lub szablonu usługi Azure Resource Manager, przejdź do następnego artykułu: Włączanie klucza zarządzanego przez klienta.
• Dowiedz się więcej o szyfrowaniu magazynowanych na platformie Azure.
• Dowiedz się więcej o zasadach dostępu i sposobie zabezpieczania dostępu do magazynu kluczy.