Konfigurowanie automatycznego obracania kluczy w zarządzanym module HSM platformy Azure

  • Artykuł

Omówienie

Uwaga

Automatyczna rotacja kluczy wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.42.0 lub nowszej.

Automatyczna rotacja kluczy w zarządzanym module HSM umożliwia użytkownikom skonfigurowanie zarządzanego modułu HSM w celu automatycznego generowania nowej wersji klucza z określoną częstotliwością. Można ustawić zasady rotacji, aby skonfigurować rotację dla każdego klucza i opcjonalnie obracać klucze na żądanie. Naszą rekomendacją jest obracanie kluczy szyfrowania co najmniej co dwa lata w celu spełnienia najlepszych rozwiązań kryptograficznych. Aby uzyskać dodatkowe wskazówki i zalecenia, zobacz NIST SP 800-57 Część 1.

Ta funkcja umożliwia kompleksową rotację bezobsługową szyfrowania danych magazynowanych dla usług platformy Azure przy użyciu kluczy zarządzanych przez klienta (CMK) przechowywanych w zarządzanym module HSM platformy Azure. Zapoznaj się z dokumentacją konkretnej usługi platformy Azure, aby sprawdzić, czy usługa obejmuje kompleksowe obracanie.

Cennik

Zarządzana rotacja kluczy HSM jest oferowana bez dodatkowych kosztów. Aby uzyskać więcej informacji na temat cennika zarządzanego modułu HSM, zobacz stronę cennika usługi Azure Key Vault

Ostrzeżenie

Zarządzany moduł HSM ma limit 100 wersji na klucz. Kluczowe wersje utworzone w ramach automatycznej lub ręcznej rotacji są wliczane do tego limitu.

Wymagane uprawnienia

Obracanie klucza lub ustawianie zasad rotacji kluczy wymaga określonych uprawnień do zarządzania kluczami. Możesz przypisać rolę "Zarządzany użytkownik kryptograficzny modułu HSM", aby uzyskać wystarczające uprawnienia do zarządzania zasadami rotacji i rotacją na żądanie.

Aby uzyskać więcej informacji na temat konfigurowania lokalnych uprawnień RBAC w zarządzanym module HSM, zobacz: Zarządzanie rolami zarządzanego modułu HSM

Uwaga

Ustawienie zasad rotacji wymaga uprawnienia "Zapis klucza". Rotacja klucza na żądanie wymaga uprawnień "Rotacja". Oba te elementy są dołączone do wbudowanej roli "Zarządzanego użytkownika kryptograficznego modułu HSM"

Zasady rotacji kluczy

Zasady rotacji kluczy umożliwiają użytkownikom konfigurowanie interwałów rotacji i ustawianie interwału wygaśnięcia dla obróconych kluczy. Należy go ustawić, aby można było obracać klucze na żądanie.

Uwaga

Zarządzany moduł HSM nie obsługuje powiadomień usługi Event Grid

Ustawienia zasad rotacji kluczy:

  • Czas wygaśnięcia: interwał wygaśnięcia klucza (co najmniej 28 dni). Służy do ustawiania daty wygaśnięcia dla nowo obróconego klucza (np. po rotacji nowy klucz ma wygasnąć za 30 dni).
  • Typy rotacji:
    • Automatyczne odnawianie w danym momencie po utworzeniu
    • Automatyczne odnawianie w danym momencie przed wygaśnięciem. Aby to zdarzenie zostało wyzwolony, należy ustawić wartość "Data wygaśnięcia".

Ostrzeżenie

Zasady automatycznej rotacji nie mogą częściej tworzyć nowych wersji kluczy niż raz na 28 dni. W przypadku zasad rotacji opartych na tworzeniu oznacza to, że wartość minimalna dla timeAfterCreate parametru to P28D. W przypadku zasad rotacji opartych na wygaśnięciu maksymalna wartość parametru timeBeforeExpiry zależy od wartości expiryTime. Na przykład jeśli expiryTime parametr ma P56Dwartość , timeBeforeExpiry może wynosić co najwyżej P28D.

Konfigurowanie zasad rotacji kluczy

Interfejs wiersza polecenia platformy Azure

Napisz zasady rotacji kluczy i zapisz je w pliku. Użyj formatów czasu trwania ISO8601, aby określić interwały czasu. Niektóre przykładowe zasady znajdują się w następnej sekcji. Użyj następującego polecenia, aby zastosować zasady do klucza.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Przykładowe zasady

Obróć klucz 18 miesięcy po utworzeniu i ustaw nowy klucz do wygaśnięcia po dwóch latach.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Obróć klucz 28 dni przed wygaśnięciem i ustaw nowy klucz do wygaśnięcia po roku.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Usuń zasady rotacji kluczy (wykonywane przez ustawienie pustych zasad)

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotacja na żądanie

Po ustawieniu zasad rotacji dla klucza można również obrócić klucz na żądanie. Najpierw należy ustawić zasady rotacji kluczy.

Interfejs wiersza polecenia platformy Azure

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Zasoby