Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla istniejącego konta magazynu

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz zarządzać własnymi kluczami. Klucze zarządzane przez klienta muszą być przechowywane w usłudze Azure Key Vault lub Key Vault zarządzanym modelu zabezpieczeń sprzętu (HSM).

W tym artykule pokazano, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla istniejącego konta magazynu. Klucze zarządzane przez klienta są przechowywane w magazynie kluczy.

Aby dowiedzieć się, jak skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu, zobacz Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla nowego konta magazynu.

Aby dowiedzieć się, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM platformy Azure Key Vault.

Uwaga

Usługi Azure Key Vault i Azure Key Vault Managed HSM obsługują te same interfejsy API i interfejsy zarządzania na potrzeby konfiguracji.

Konfigurowanie magazynu kluczy

Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Konto magazynu i magazyn kluczy mogą znajdować się w różnych regionach lub subskrypcjach w tej samej dzierżawie. Aby dowiedzieć się więcej na temat usługi Azure Key Vault, zobacz Omówienie usługi Azure Key Vault i Co to jest usługa Azure Key Vault?.

Korzystanie z kluczy zarządzanych przez klienta z szyfrowaniem usługi Azure Storage wymaga włączenia ochrony przed usuwaniem nietrwałym i przeczyszczeniem magazynu kluczy. Usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przeczyszczania można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu.

Aby dowiedzieć się, jak utworzyć magazyn kluczy za pomocą Azure Portal, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu Azure Portal. Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przeczyszczania, jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający sposób włączania ochrony przed przeczyszczeniem podczas tworzenia magazynu kluczy.

Aby włączyć ochronę przeczyszczania w istniejącym magazynie kluczy, wykonaj następujące kroki:

  1. Przejdź do magazynu kluczy w Azure Portal.
  2. W obszarze Ustawienia wybierz pozycję Właściwości.
  3. W sekcji Przeczyszczanie ochrony wybierz pozycję Włącz ochronę przeczyszczania.

Dodawanie klucza

Następnie dodaj klucz do magazynu kluczy.

Szyfrowanie usługi Azure Storage obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat obsługiwanych typów kluczy, zobacz Informacje o kluczach.

Aby dowiedzieć się, jak dodać klucz za pomocą Azure Portal, zobacz Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu Azure Portal.

Wybierz tożsamość zarządzaną, aby autoryzować dostęp do magazynu kluczy

Po włączeniu kluczy zarządzanych przez klienta dla istniejącego konta magazynu należy określić tożsamość zarządzaną, która będzie używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Tożsamość zarządzana musi mieć uprawnienia dostępu do klucza w magazynie kluczy.

Tożsamość zarządzana, która autoryzuje dostęp do magazynu kluczy, może być tożsamością zarządzaną przypisaną przez użytkownika lub przypisaną przez system. Aby dowiedzieć się więcej na temat tożsamości zarządzanych przypisanych przez system i tożsamości zarządzanych przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych.

Autoryzowanie dostępu przy użyciu przypisanej przez użytkownika tożsamości zarządzanej

Przypisany przez użytkownika jest autonomicznym zasobem platformy Azure. Przed skonfigurowaniem kluczy zarządzanych przez klienta należy utworzyć tożsamość przypisaną przez użytkownika. Aby dowiedzieć się, jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zarządzać nią, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Podczas konfigurowania kluczy zarządzanych przez klienta za pomocą Azure Portal można wybrać istniejącą tożsamość przypisaną przez użytkownika za pośrednictwem interfejsu użytkownika portalu. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta.

Używanie przypisanej przez system tożsamości zarządzanej do autoryzowania dostępu

Tożsamość zarządzana przypisana przez system jest skojarzona z wystąpieniem usługi platformy Azure, w tym przypadku kontem usługi Azure Storage. Należy jawnie przypisać tożsamość zarządzaną przypisaną przez system do konta magazynu, zanim będzie można użyć przypisanej przez system tożsamości zarządzanej, aby autoryzować dostęp do magazynu kluczy, który zawiera klucz zarządzany przez klienta.

Tylko istniejące konta magazynu mogą używać tożsamości przypisanej przez system do autoryzowania dostępu do magazynu kluczy. Nowe konta magazynu muszą używać tożsamości przypisanej przez użytkownika, jeśli klucze zarządzane przez klienta są skonfigurowane podczas tworzenia konta.

Podczas konfigurowania kluczy zarządzanych przez klienta za pomocą Azure Portal z tożsamością zarządzaną przypisaną przez system tożsamość zarządzana jest przypisywana do konta magazynu przypisanego przez system. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta.

Konfigurowanie zasad dostępu magazynu kluczy

Następnym krokiem jest skonfigurowanie zasad dostępu magazynu kluczy. Zasady dostępu magazynu kluczy udzielają uprawnień do tożsamości zarządzanej, która będzie używana do autoryzowania dostępu do magazynu kluczy. Aby dowiedzieć się więcej na temat zasad dostępu do magazynu kluczy, zobacz Omówienie usługi Azure Key Vault i Omówienie zabezpieczeń usługi Azure Key Vault.

Aby dowiedzieć się, jak skonfigurować zasady dostępu magazynu kluczy za pomocą Azure Portal, zobacz Przypisywanie zasad dostępu do usługi Azure Key Vault.

Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta

Podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta dla istniejącego konta magazynu można automatycznie zaktualizować wersję klucza używaną do szyfrowania usługi Azure Storage za każdym razem, gdy nowa wersja jest dostępna w skojarzonym magazynie kluczy. Alternatywnie można jawnie określić wersję klucza, która ma być używana do szyfrowania, dopóki wersja klucza nie zostanie ręcznie zaktualizowana.

Możesz użyć przypisanej przez system lub przypisanej przez użytkownika tożsamości zarządzanej, aby autoryzować dostęp do magazynu kluczy podczas konfigurowania kluczy zarządzanych przez klienta dla istniejącego konta magazynu.

Uwaga

Aby wymienić klucz, utwórz nową wersję klucza w usłudze Azure Key Vault. Usługa Azure Storage nie obsługuje rotacji kluczy, dlatego należy zarządzać rotacją klucza w magazynie kluczy. Możesz skonfigurować automatyczną rotację kluczy w usłudze Azure Key Vault lub ręcznie obrócić klucz.

Konfigurowanie szyfrowania pod kątem automatycznego aktualizowania wersji kluczy

Usługa Azure Storage może automatycznie zaktualizować klucz zarządzany przez klienta, który jest używany do szyfrowania w celu korzystania z najnowszej wersji klucza z magazynu kluczy. Usługa Azure Storage codziennie sprawdza magazyn kluczy pod kątem nowej wersji klucza. Gdy nowa wersja stanie się dostępna, usługa Azure Storage automatycznie zacznie używać najnowszej wersji klucza do szyfrowania.

Ważne

Usługa Azure Storage sprawdza magazyn kluczy tylko raz dziennie dla nowej wersji klucza. Podczas rotacji klucza należy poczekać 24 godziny przed wyłączeniem starszej wersji.

Aby skonfigurować klucze zarządzane przez klienta dla istniejącego konta z automatycznym aktualizowaniem wersji klucza w Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu.

  2. W bloku Ustawienia konta magazynu wybierz pozycję Szyfrowanie. Domyślnie zarządzanie kluczami jest ustawione na klucze zarządzane firmy Microsoft, jak pokazano na poniższej ilustracji.

    Zrzut ekranu przedstawiający opcje szyfrowania w Azure Portal.

  3. Wybierz opcję Klucze zarządzane przez klienta .

  4. Wybierz opcję Wybierz z Key Vault.

  5. Wybierz pozycję Wybierz magazyn kluczy i klucz.

  6. Wybierz magazyn kluczy zawierający klucz, którego chcesz użyć. Możesz również utworzyć nowy magazyn kluczy.

  7. Wybierz klucz z magazynu kluczy. Możesz również utworzyć nowy klucz.

    Zrzut ekranu przedstawiający sposób wybierania magazynu kluczy i klucza w Azure Portal.

  8. Wybierz typ tożsamości, która ma być używana do uwierzytelniania dostępu do magazynu kluczy. Opcje obejmują przypisaną przez system (domyślną) lub przypisaną przez użytkownika. Aby dowiedzieć się więcej o każdym typie tożsamości zarządzanej, zobacz Typy tożsamości zarządzanych.

    1. W przypadku wybrania przypisanej przez system tożsamości zarządzanej przypisanej przez system dla konta magazynu zostanie utworzona w ramach okładki, jeśli jeszcze nie istnieje.
    2. Jeśli wybierzesz opcję Przypisane przez użytkownika, musisz wybrać istniejącą tożsamość przypisaną przez użytkownika, która ma uprawnienia dostępu do magazynu kluczy. Aby dowiedzieć się, jak utworzyć tożsamość przypisaną przez użytkownika, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

    Zrzut ekranu przedstawiający sposób wybierania tożsamości zarządzanej przypisanej przez użytkownika na potrzeby uwierzytelniania magazynu kluczy.

  9. Zapisz zmiany.

Po określeniu klucza Azure Portal wskazuje, że automatyczne aktualizowanie wersji klucza jest włączone i wyświetla wersję klucza aktualnie używaną do szyfrowania. W portalu jest również wyświetlany typ tożsamości zarządzanej używanej do autoryzowania dostępu do magazynu kluczy oraz identyfikator podmiotu zabezpieczeń tożsamości zarządzanej.

Zrzut ekranu przedstawiający automatyczne aktualizowanie włączonej wersji klucza.

Konfigurowanie szyfrowania pod kątem ręcznego aktualizowania wersji kluczy

Jeśli wolisz ręcznie zaktualizować wersję klucza, jawnie określ wersję podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta. W takim przypadku usługa Azure Storage nie zaktualizuje automatycznie wersji klucza po utworzeniu nowej wersji w magazynie kluczy. Aby użyć nowej wersji klucza, należy ręcznie zaktualizować wersję używaną do szyfrowania usługi Azure Storage.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza w Azure Portal, określ identyfikator URI klucza, w tym wersję. Aby określić klucz jako identyfikator URI, wykonaj następujące kroki:

  1. Aby zlokalizować identyfikator URI klucza w Azure Portal, przejdź do magazynu kluczy i wybierz ustawienie Klucze. Wybierz żądany klucz, a następnie wybierz klucz, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.

  2. Skopiuj wartość pola Identyfikator klucza , który udostępnia identyfikator URI.

    Zrzut ekranu przedstawiający identyfikator URI klucza magazynu kluczy w Azure Portal.

  3. W ustawieniach klucza szyfrowania dla konta magazynu wybierz opcję Wprowadź identyfikator URI klucza .

  4. Wklej identyfikator URI skopiowany do pola Identyfikator URI klucza . Pomiń wersję klucza z identyfikatora URI, aby umożliwić automatyczne aktualizowanie wersji klucza.

    Zrzut ekranu przedstawiający sposób wprowadzania identyfikatora URI klucza w Azure Portal.

  5. Określ subskrypcję zawierającą magazyn kluczy.

  6. Określ tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika.

  7. Zapisz zmiany.

Zmienianie klucza

Klucz używany do szyfrowania usługi Azure Storage można zmienić w dowolnym momencie.

Aby zmienić klucz przy użyciu Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu i wyświetl ustawienia szyfrowania .
  2. Wybierz magazyn kluczy i wybierz nowy klucz.
  3. Zapisz zmiany.

Odwoływanie kluczy zarządzanych przez klienta

Cofnięcie klucza zarządzanego przez klienta spowoduje usunięcie skojarzenia między kontem magazynu a magazynem kluczy.

Aby odwołać klucze zarządzane przez klienta za pomocą Azure Portal, wyłącz klucz zgodnie z opisem w temacie Wyłączanie kluczy zarządzanych przez klienta.

Wyłączanie kluczy zarządzanych przez klienta

Po wyłączeniu kluczy zarządzanych przez klienta konto magazynu jest ponownie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.

Aby wyłączyć klucze zarządzane przez klienta w Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu i wyświetl ustawienia szyfrowania .
  2. Usuń zaznaczenie pola wyboru obok ustawienia Użyj własnego klucza .

Następne kroki