Udostępnij za pośrednictwem

Konfigurowanie automatycznego obracania kluczy w zarządzanym module HSM platformy Azure

  • Artykuł

Omówienie

Uwaga

Automatyczna rotacja kluczy wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.42.0 lub nowszej.

Automatyczna rotacja kluczy w zarządzanym module HSM umożliwia użytkownikom skonfigurowanie zarządzanego modułu HSM w celu automatycznego generowania nowej wersji klucza z określoną częstotliwością. Można ustawić zasady rotacji, aby skonfigurować rotację dla każdego pojedynczego klucza i opcjonalnie obracać klucze na żądanie. Naszą rekomendacją jest obracanie kluczy szyfrowania co najmniej co dwa lata w celu spełnienia najlepszych rozwiązań kryptograficznych. Aby uzyskać dodatkowe wskazówki i zalecenia, zobacz NIST SP 800-57 Part 1.

Ta funkcja umożliwia kompleksową rotację bezobsługową na potrzeby szyfrowania magazynowanych usług platformy Azure przy użyciu kluczy zarządzanych przez klienta (CMK) przechowywanych w zarządzanym module HSM platformy Azure. Zapoznaj się z dokumentacją konkretnej usługi platformy Azure, aby sprawdzić, czy usługa obejmuje kompleksowe obracanie.

Cennik

Zarządzana rotacja kluczy HSM jest oferowana bez dodatkowych kosztów. Aby uzyskać więcej informacji na temat cennika zarządzanego modułu HSM, zobacz stronę cennika usługi Azure Key Vault

Ostrzeżenie

Zarządzany moduł HSM ma limit 100 wersji na klucz. Wersje kluczy utworzone w ramach automatycznej lub ręcznej rotacji są wliczane do tego limitu.

Wymagane uprawnienia

Obracanie klucza lub ustawianie zasad rotacji kluczy wymaga określonych uprawnień do zarządzania kluczami. Rolę "Zarządzanego użytkownika kryptograficznego modułu HSM" można przypisać, aby uzyskać wystarczające uprawnienia do zarządzania zasadami rotacji i rotacją na żądanie.

Aby uzyskać więcej informacji na temat konfigurowania lokalnych uprawnień RBAC w zarządzanym module HSM, zobacz Zarządzanie rolami zarządzanego modułu HSM

Uwaga

Ustawienie zasad rotacji wymaga uprawnienia "Zapis klucza". Rotacja klucza na żądanie wymaga uprawnień "Rotacja". Oba są dołączone do wbudowanej roli "Zarządzanego użytkownika kryptograficznego modułu HSM"

Zasady rotacji kluczy

Zasady rotacji kluczy umożliwiają użytkownikom konfigurowanie interwałów rotacji i ustawianie interwału wygaśnięcia dla obróconych kluczy. Należy go ustawić, aby klucze można było obracać na żądanie.

Uwaga

Zarządzany moduł HSM nie obsługuje powiadomień usługi Event Grid

Ustawienia zasad rotacji kluczy:

  • Czas wygaśnięcia: interwał wygaśnięcia klucza (co najmniej 28 dni). Służy do ustawiania daty wygaśnięcia na nowo obrócony klucz (np. po rotacji nowy klucz ma wygasnąć za 30 dni).
  • Typy rotacji:
    • Automatyczne odnawianie w danym momencie po utworzeniu
    • Automatyczne odnawianie w danym momencie przed wygaśnięciem. Wartość "Data wygaśnięcia" musi być ustawiona na klucz, aby to zdarzenie zostało wyzwolony.

Ostrzeżenie

Zasady automatycznej rotacji nie mogą nadawać, że nowe wersje kluczy są tworzone częściej niż raz co 28 dni. W przypadku zasad rotacji opartych na tworzeniu oznacza to, że wartość minimalna dla timeAfterCreate parametru to P28D. W przypadku zasad rotacji opartych na wygaśnięciu maksymalna wartość timeBeforeExpiry parametru expiryTimezależy od wartości . Na przykład jeśli expiryTime wartość to P56D, timeBeforeExpiry może wynosić co najwyżej P28D.

Konfigurowanie zasad rotacji kluczy

Interfejs wiersza polecenia platformy Azure

Zapisz zasady rotacji kluczy i zapisz je w pliku. Użyj formatów ISO8601 Czas trwania, aby określić interwały czasu. Niektóre przykładowe zasady znajdują się w następnej sekcji. Użyj następującego polecenia, aby zastosować zasady do klucza.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Przykładowe zasady

Obróć klucz 18 miesięcy po utworzeniu i ustaw nowy klucz do wygaśnięcia po dwóch latach.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Obróć klucz 28 dni przed wygaśnięciem i ustaw nowy klucz do wygaśnięcia po roku.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Usuń zasady rotacji kluczy (wykonywane przez ustawienie pustych zasad)

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotacja na żądanie

Po ustawieniu zasad rotacji dla klucza można również obrócić klucz na żądanie. Najpierw należy ustawić zasady rotacji kluczy.

Interfejs wiersza polecenia platformy Azure

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Zasoby