Konfigurowanie kluczy zarządzanych przez klienta w tej samej dzierżawie dla nowego konta magazynu
Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz zarządzać własnymi kluczami. Klucze zarządzane przez klienta muszą być przechowywane w usłudze Azure Key Vault lub w zarządzanym modelu zabezpieczeń sprzętu (HSM) usługi Azure Key Vault.
W tym artykule pokazano, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta podczas tworzenia nowego konta magazynu. Klucze zarządzane przez klienta są przechowywane w magazynie kluczy.
Aby dowiedzieć się, jak skonfigurować klucze zarządzane przez klienta dla istniejącego konta magazynu, zobacz Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla istniejącego konta magazynu.
Uwaga
Usługa Azure Key Vault i zarządzany moduł HSM usługi Azure Key Vault obsługują te same interfejsy API i interfejsy zarządzania na potrzeby konfiguracji kluczy zarządzanych przez klienta. Każda akcja obsługiwana w usłudze Azure Key Vault jest również obsługiwana w przypadku zarządzanego modułu HSM usługi Azure Key Vault.
Konfigurowanie magazynu kluczy
Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Konto magazynu i magazyn kluczy mogą znajdować się w różnych regionach lub subskrypcjach w tej samej dzierżawie. Aby dowiedzieć się więcej o usłudze Azure Key Vault, zobacz Omówienie usługi Azure Key Vault i Co to jest usługa Azure Key Vault?.
Korzystanie z kluczy zarządzanych przez klienta za pomocą szyfrowania usługi Azure Storage wymaga włączenia ochrony przed usuwaniem nietrwałym i przeczyszczeniem dla magazynu kluczy. Usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przeczyszczania można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu.
Usługa Azure Key Vault obsługuje autoryzację za pomocą kontroli dostępu opartej na rolach platformy Azure za pośrednictwem modelu uprawnień RBAC platformy Azure. Firma Microsoft zaleca korzystanie z modelu uprawnień RBAC platformy Azure za pośrednictwem zasad dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Udzielanie aplikacji uprawnień dostępu do magazynu kluczy platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure.
Aby dowiedzieć się, jak utworzyć magazyn kluczy w witrynie Azure Portal, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu witryny Azure Portal. Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przed przeczyszczeniem, jak pokazano na poniższej ilustracji.
Aby włączyć ochronę przed przeczyszczeniem w istniejącym magazynie kluczy, wykonaj następujące kroki:
- Przejdź do magazynu kluczy w witrynie Azure Portal.
- W obszarze Ustawienia wybierz pozycję Właściwości.
- W sekcji Ochrona przed przeczyszczanie wybierz pozycję Włącz ochronę przeczyszczania.
Dodawanie klucza
Następnie dodaj klucz do magazynu kluczy. Przed dodaniem klucza upewnij się, że przypisano ci rolę administratora kryptograficznego usługi Key Vault.
Szyfrowanie usługi Azure Storage obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat obsługiwanych typów kluczy, zobacz About keys (Informacje o kluczach).
Aby dowiedzieć się, jak dodać klucz za pomocą witryny Azure Portal, zobacz Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu witryny Azure Portal.
Używanie tożsamości zarządzanej przypisanej przez użytkownika do autoryzowania dostępu do magazynu kluczy
Po włączeniu kluczy zarządzanych przez klienta dla nowego konta magazynu należy określić tożsamość zarządzaną przypisaną przez użytkownika. Istniejące konto magazynu obsługuje używanie tożsamości zarządzanej przypisanej przez użytkownika lub przypisanej przez system tożsamości zarządzanej w celu skonfigurowania kluczy zarządzanych przez klienta.
Podczas konfigurowania kluczy zarządzanych przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika tożsamość zarządzana przypisana przez użytkownika jest używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Przed skonfigurowaniem kluczy zarządzanych przez klienta należy utworzyć tożsamość przypisaną przez użytkownika.
Tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Aby dowiedzieć się więcej o tożsamościach zarządzanych przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych. Aby dowiedzieć się, jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zarządzać nią, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.
Tożsamość zarządzana przypisana przez użytkownika musi mieć uprawnienia dostępu do klucza w magazynie kluczy. Przypisz rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do tożsamości zarządzanej przypisanej przez użytkownika z zakresem magazynu kluczy, aby udzielić tych uprawnień.
Aby można było skonfigurować klucze zarządzane przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, musisz przypisać rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do tożsamości zarządzanej przypisanej przez użytkownika w zakresie do magazynu kluczy. Ta rola udziela uprawnień tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza w magazynie kluczy. Aby uzyskać więcej informacji na temat przypisywania ról RBAC platformy Azure za pomocą witryny Azure Portal, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Podczas konfigurowania kluczy zarządzanych przez klienta za pomocą witryny Azure Portal możesz wybrać istniejącą tożsamość przypisaną przez użytkownika za pośrednictwem interfejsu użytkownika portalu.
Konfigurowanie kluczy zarządzanych przez klienta dla nowego konta magazynu
Podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta dla nowego konta magazynu można automatycznie zaktualizować wersję klucza używaną do szyfrowania usługi Azure Storage zawsze, gdy nowa wersja jest dostępna w skojarzonym magazynie kluczy. Alternatywnie można jawnie określić wersję klucza, która ma być używana do szyfrowania, dopóki wersja klucza nie zostanie ręcznie zaktualizowana.
Musisz użyć istniejącej tożsamości zarządzanej przypisanej przez użytkownika, aby autoryzować dostęp do magazynu kluczy podczas konfigurowania kluczy zarządzanych przez klienta podczas tworzenia konta magazynu. Tożsamość zarządzana przypisana przez użytkownika musi mieć odpowiednie uprawnienia dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie w usłudze Azure Key Vault.
Konfigurowanie szyfrowania pod kątem automatycznego aktualizowania wersji kluczy
Usługa Azure Storage może automatycznie aktualizować klucz zarządzany przez klienta, który jest używany do szyfrowania w celu używania najnowszej wersji klucza z magazynu kluczy. Usługa Azure Storage codziennie sprawdza magazyn kluczy pod kątem nowej wersji klucza. Gdy nowa wersja stanie się dostępna, usługa Azure Storage automatycznie zacznie używać najnowszej wersji klucza do szyfrowania.
Ważne
Usługa Azure Storage sprawdza magazyn kluczy pod kątem nowej wersji klucza tylko raz dziennie. Podczas obracania klucza pamiętaj, aby poczekać 24 godziny przed wyłączeniem starszej wersji.
Aby skonfigurować klucze zarządzane przez klienta dla nowego konta magazynu z automatycznym aktualizowaniem wersji klucza, wykonaj następujące kroki:
W witrynie Azure Portal przejdź do strony Konta magazynu i wybierz przycisk Utwórz , aby utworzyć nowe konto.
Wykonaj kroki opisane w temacie Tworzenie konta magazynu, aby wypełnić pola na kartach Podstawowe, Zaawansowane, Sieciowe i Ochrona danych .
Na karcie Szyfrowanie wskaż usługi, dla których chcesz włączyć obsługę kluczy zarządzanych przez klienta, w polu Włącz obsługę kluczy zarządzanych przez klienta.
W polu Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta (CMK).
W polu Klucz szyfrowania wybierz pozycję Wybierz magazyn kluczy i klucz, a następnie określ magazyn kluczy i klucz.
W polu Tożsamość przypisana przez użytkownika wybierz istniejącą tożsamość zarządzaną przypisaną przez użytkownika.
Wybierz przycisk Przejrzyj, aby zweryfikować i utworzyć konto.
Klucze zarządzane przez klienta można również skonfigurować przy użyciu ręcznego aktualizowania wersji klucza podczas tworzenia nowego konta magazynu. Wykonaj kroki opisane w temacie Konfigurowanie szyfrowania na potrzeby ręcznego aktualizowania wersji kluczy.
Konfigurowanie szyfrowania na potrzeby ręcznego aktualizowania wersji kluczy
Jeśli wolisz ręcznie zaktualizować wersję klucza, jawnie określ wersję podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta podczas tworzenia konta magazynu. W takim przypadku usługa Azure Storage nie zaktualizuje automatycznie wersji klucza po utworzeniu nowej wersji w magazynie kluczy. Aby użyć nowej wersji klucza, należy ręcznie zaktualizować wersję używaną do szyfrowania usługi Azure Storage.
Musisz użyć istniejącej tożsamości zarządzanej przypisanej przez użytkownika, aby autoryzować dostęp do magazynu kluczy podczas konfigurowania kluczy zarządzanych przez klienta podczas tworzenia konta magazynu. Tożsamość zarządzana przypisana przez użytkownika musi mieć odpowiednie uprawnienia dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie w usłudze Azure Key Vault.
Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza w witrynie Azure Portal, określ identyfikator URI klucza, w tym wersję, podczas tworzenia konta magazynu. Aby określić klucz jako identyfikator URI, wykonaj następujące kroki:
W witrynie Azure Portal przejdź do strony Konta magazynu i wybierz przycisk Utwórz , aby utworzyć nowe konto.
Wykonaj kroki opisane w temacie Tworzenie konta magazynu, aby wypełnić pola na kartach Podstawowe, Zaawansowane, Sieciowe i Ochrona danych .
Na karcie Szyfrowanie wskaż usługi, dla których chcesz włączyć obsługę kluczy zarządzanych przez klienta, w polu Włącz obsługę kluczy zarządzanych przez klienta.
W polu Typ szyfrowania wybierz pozycję Klucze zarządzane przez klienta (CMK).
Aby zlokalizować identyfikator URI klucza w witrynie Azure Portal, przejdź do magazynu kluczy i wybierz ustawienie Klucze . Wybierz żądany klucz, a następnie wybierz klucz, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.
Skopiuj wartość pola Identyfikator klucza , który udostępnia identyfikator URI.
W ustawieniach klucza szyfrowania dla konta magazynu wybierz opcję Wprowadź identyfikator URI klucza.
Wklej skopiowany identyfikator URI do pola Identyfikator URI klucza. Uwzględnij wersję klucza w identyfikatorze URI, aby skonfigurować ręczną aktualizację wersji klucza.
Określ tożsamość zarządzaną przypisaną przez użytkownika, wybierając link Wybierz tożsamość .
Wybierz przycisk Przejrzyj, aby zweryfikować i utworzyć konto.
Zmienianie klucza
Klucz używany do szyfrowania usługi Azure Storage można zmienić w dowolnym momencie.
Uwaga
Zmiana wersji klucza lub klucza spowoduje zmianę ochrony głównego klucza szyfrowania, ale dane na koncie usługi Azure Storage pozostają szyfrowane przez cały czas. Użytkownik nie musi podejmować żadnych dodatkowych działań, aby zapewnić ochronę swoich danych. Zmiana klucza lub rotacja wersji klucza nie ma wpływu na wydajność. Nie ma przestoju związanego ze zmianą klucza lub rotacją wersji klucza.
Aby zmienić klucz w witrynie Azure Portal, wykonaj następujące kroki:
- Przejdź do konta magazynu i wyświetl ustawienia szyfrowania .
- Wybierz magazyn kluczy i wybierz nowy klucz.
- Zapisz zmiany.
Jeśli nowy klucz znajduje się w innym magazynie kluczy, musisz udzielić tożsamości zarządzanej dostępu do klucza w nowym magazynie. Jeśli wybierzesz ręczną aktualizację wersji klucza, konieczne będzie również zaktualizowanie identyfikatora URI magazynu kluczy.
Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta
Aby tymczasowo odwołać dostęp do konta magazynu korzystającego z kluczy zarządzanych przez klienta, wyłącz klucz używany obecnie w magazynie kluczy. Nie ma wpływu na wydajność ani przestoju związanego z wyłączeniem i ponownym opublikowaniem klucza.
Po wyłączeniu klucza klienci nie mogą wywoływać operacji odczytujących lub zapisujących do obiektu blob lub jego metadanych. Aby uzyskać informacje o tym, które operacje nie powiedzą się, zobacz Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta.
Uwaga
Po wyłączeniu klucza w magazynie kluczy dane na koncie usługi Azure Storage pozostają zaszyfrowane, ale stają się niedostępne do momentu ponownego włączenia klucza.
Aby wyłączyć klucz zarządzany przez klienta w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do magazynu kluczy zawierającego klucz.
W obszarze Obiekty wybierz pozycję Klucze.
Kliknij prawym przyciskiem myszy klucz i wybierz polecenie Wyłącz.
Wyłączenie klucza spowoduje, że próby uzyskania dostępu do danych na koncie magazynu kończą się niepowodzeniem z kodem błędu 403 (Zabronione). Aby uzyskać listę operacji konta magazynu, których dotyczy wyłączenie klucza, zobacz Odwoływanie dostępu do konta magazynu korzystającego z kluczy zarządzanych przez klienta.
Przełącz się z powrotem do kluczy zarządzanych przez firmę Microsoft
Klucze zarządzane przez klienta można przełączać z powrotem do kluczy zarządzanych przez firmę Microsoft w dowolnym momencie przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez firmę Microsoft w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do swojego konta magazynu.
W obszarze Zabezpieczenia i sieć wybierz pozycję Szyfrowanie.
Zmień typ szyfrowania na klucze zarządzane przez firmę Microsoft.
Następne kroki
- Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
- Klucze zarządzane przez klienta dla usługi Azure Storage
- Konfigurowanie kluczy zarządzanych przez klienta w magazynie kluczy platformy Azure dla istniejącego konta magazynu
- Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM usługi Azure Key Vault