Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage

Możesz użyć własnego klucza szyfrowania, aby chronić dane na koncie magazynu. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu.

Aby przechowywać klucze zarządzane przez klienta, należy użyć jednego z następujących magazynów kluczy platformy Azure:

Możesz utworzyć własne klucze i przechowywać je w magazynie kluczy lub zarządzanym module HSM albo użyć interfejsów API usługi Azure Key Vault do generowania kluczy. Konto magazynu i magazyn kluczy lub zarządzany moduł HSM mogą być różnymi dzierżawami, regionami i subskrypcjami usługi Azure Active Directory (Azure AD).

Uwaga

Usługi Azure Key Vault i Azure Key Vault Managed HSM obsługują te same interfejsy API i interfejsy zarządzania na potrzeby konfiguracji.

Informacje o kluczach zarządzanych przez klienta

Na poniższym diagramie pokazano, jak usługa Azure Storage używa Azure AD i magazynu kluczy lub zarządzanego modułu HSM do wykonywania żądań przy użyciu klucza zarządzanego przez klienta:

Diagram przedstawiający sposób działania kluczy zarządzanych przez klienta w usłudze Azure Storage

Poniższa lista zawiera opis kroków numerowanych na diagramie:

  1. Administrator usługi Azure Key Vault udziela uprawnień do kluczy szyfrowania tożsamości zarządzanej. Tożsamość zarządzana może być tożsamością zarządzaną przypisaną przez użytkownika, którą tworzysz i zarządzasz, lub tożsamością zarządzaną przypisaną przez system, która jest skojarzona z kontem magazynu.
  2. Administrator usługi Azure Storage konfiguruje szyfrowanie przy użyciu klucza zarządzanego przez klienta dla konta magazynu.
  3. Usługa Azure Storage używa tożsamości zarządzanej, do której administrator usługi Azure Key Vault udzielił uprawnień w kroku 1, aby uwierzytelnić dostęp do usługi Azure Key Vault za pośrednictwem Azure AD.
  4. Usługa Azure Storage opakowuje klucz szyfrowania konta przy użyciu klucza zarządzanego przez klienta w usłudze Azure Key Vault.
  5. W przypadku operacji odczytu/zapisu usługa Azure Storage wysyła żądania do platformy Azure Key Vault, aby odpakować klucz szyfrowania konta w celu wykonywania operacji szyfrowania i odszyfrowywania.

Tożsamość zarządzana skojarzona z kontem magazynu musi mieć co najmniej te uprawnienia, aby uzyskać dostęp do klucza zarządzanego przez klienta w usłudze Azure Key Vault:

  • zawijaniekey
  • unwrapkey
  • Pobierz

Aby uzyskać więcej informacji na temat uprawnień klucza, zobacz Typy kluczy, algorytmy i operacje.

Azure Policy udostępnia wbudowane zasady, które wymagają, aby konta magazynu używały kluczy zarządzanych przez klienta dla usługi Blob Storage i obciążeń Azure Files. Aby uzyskać więcej informacji, zobacz sekcję Storage w Azure Policy wbudowanych definicji zasad.

Klucze zarządzane przez klienta dla kolejek i tabel

Dane przechowywane w usłudze Queue and Table Storage nie są automatycznie chronione przez klucz zarządzany przez klienta, gdy klucze zarządzane przez klienta są włączone dla konta magazynu. Możesz opcjonalnie skonfigurować te usługi do uwzględnienia w tej ochronie w momencie utworzenia konta magazynu.

Aby uzyskać więcej informacji na temat tworzenia konta magazynu obsługującego klucze zarządzane przez klienta dla kolejek i tabel, zobacz Tworzenie konta obsługującego klucze zarządzane przez klienta dla tabel i kolejek.

Dane w usłudze Blob Storage i Azure Files są zawsze chronione przez klucze zarządzane przez klienta, gdy klucze zarządzane przez klienta są skonfigurowane dla konta magazynu.

Włączanie kluczy zarządzanych przez klienta dla konta magazynu

Podczas konfigurowania klucza zarządzanego przez klienta usługa Azure Storage opakowuje klucz szyfrowania danych głównych dla konta przy użyciu klucza zarządzanego przez klienta w skojarzonym magazynie kluczy lub zarządzanym module HSM. Włączenie kluczy zarządzanych przez klienta nie ma wpływu na wydajność i następuje natychmiast.

Klucze zarządzane przez klienta można skonfigurować przy użyciu magazynu kluczy i konta magazynu w tej samej dzierżawie lub w różnych dzierżawach Azure AD. Aby dowiedzieć się, jak skonfigurować szyfrowanie usługi Azure Storage przy użyciu kluczy zarządzanych przez klienta, gdy magazyn kluczy i konto magazynu znajdują się w tych samych dzierżawach, zobacz jeden z następujących artykułów:

Aby dowiedzieć się, jak skonfigurować szyfrowanie usługi Azure Storage przy użyciu kluczy zarządzanych przez klienta, gdy magazyn kluczy i konto magazynu znajdują się w różnych dzierżawach Azure AD, zobacz jeden z następujących artykułów:

Po włączeniu lub wyłączeniu kluczy zarządzanych przez klienta lub zmodyfikowaniu klucza lub wersji klucza ochrona głównego klucza szyfrowania zmienia się, ale dane na koncie usługi Azure Storage nie muszą być ponownie szyfrowane.

Klucze zarządzane przez klienta można włączyć zarówno na nowych, jak i istniejących kontach magazynu. Po włączeniu kluczy zarządzanych przez klienta należy określić tożsamość zarządzaną, która ma służyć do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Tożsamość zarządzana może być tożsamością zarządzaną przypisaną przez użytkownika lub przypisaną przez system tożsamością zarządzaną:

  • Podczas konfigurowania kluczy zarządzanych przez klienta podczas tworzenia konta magazynu należy użyć tożsamości zarządzanej przypisanej przez użytkownika.
  • Podczas konfigurowania kluczy zarządzanych przez klienta na istniejącym koncie magazynu można użyć tożsamości zarządzanej przypisanej przez użytkownika lub tożsamości zarządzanej przypisanej przez system.

Aby dowiedzieć się więcej na temat tożsamości zarządzanych przypisanych przez system i tożsamości zarządzanych przypisanych przez użytkownika, zobacz Tożsamości zarządzane dla zasobów platformy Azure.

W dowolnym momencie można przełączać się między kluczami zarządzanymi przez klienta i kluczami zarządzanymi przez firmę Microsoft. Aby uzyskać więcej informacji na temat kluczy zarządzanych przez firmę Microsoft, zobacz About encryption key management (Informacje o zarządzaniu kluczami szyfrowania).

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure, funkcji Azure AD. Tożsamości zarządzane nie obsługują obecnie scenariuszy obejmujących wiele dzierżaw. Po skonfigurowaniu kluczy zarządzanych przez klienta w Azure Portal tożsamość zarządzana jest automatycznie przypisywana do konta magazynu w ramach okładek. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub konto magazynu z jednej dzierżawy Azure AD do innej, tożsamość zarządzana skojarzona z kontem magazynu nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami Azure AD w często zadawanych pytaniach i znanych problemach z tożsamościami zarządzanymi dla zasobów platformy Azure.

Magazyn kluczy, który przechowuje klucz, musi mieć włączoną ochronę usuwania nietrwałego i przeczyszczania. Szyfrowanie usługi Azure Storage obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat kluczy, zobacz Informacje o kluczach.

Korzystanie z magazynu kluczy lub zarządzanego modułu HSM wiąże się z kosztami. Aby uzyskać więcej informacji, zobacz Key Vault cennik.

Aktualizowanie wersji klucza

Podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta dostępne są dwie opcje aktualizowania wersji klucza:

  • Automatycznie zaktualizuj wersję klucza: Aby automatycznie zaktualizować klucz zarządzany przez klienta po udostępnieniu nowej wersji, pomiń wersję klucza po włączeniu szyfrowania przy użyciu kluczy zarządzanych przez klienta dla konta magazynu. Jeśli pominięto wersję klucza, usługa Azure Storage sprawdza magazyn kluczy lub zarządzany moduł HSM codziennie pod kątem nowej wersji klucza zarządzanego przez klienta. Jeśli dostępna jest nowa wersja klucza, usługa Azure Storage automatycznie używa najnowszej wersji klucza.

    Usługa Azure Storage sprawdza magazyn kluczy tylko raz dziennie dla nowej wersji klucza. Podczas rotacji klucza należy poczekać 24 godziny przed wyłączeniem starszej wersji.

    Jeśli konto magazynu zostało wcześniej skonfigurowane do ręcznego aktualizowania wersji klucza i chcesz zmienić je na automatyczne aktualizowanie, może być konieczne jawne zmianę wersji klucza na pusty ciąg. Aby uzyskać szczegółowe informacje na temat tego sposobu, zobacz Konfigurowanie szyfrowania pod kątem automatycznego aktualizowania wersji kluczy.

  • Ręcznie zaktualizuj wersję klucza: Aby użyć określonej wersji klucza do szyfrowania usługi Azure Storage, określ tę wersję klucza po włączeniu szyfrowania przy użyciu kluczy zarządzanych przez klienta dla konta magazynu. Jeśli określisz wersję klucza, usługa Azure Storage używa tej wersji do szyfrowania do momentu ręcznego zaktualizowania wersji klucza.

    Po jawnym określeniu wersji klucza należy ręcznie zaktualizować konto magazynu, aby używać nowego identyfikatora URI wersji klucza podczas tworzenia nowej wersji. Aby dowiedzieć się, jak zaktualizować konto magazynu do korzystania z nowej wersji klucza, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault lub Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym module HSM platformy Azure Key Vault.

Podczas aktualizowania wersji klucza ochrona klucza głównego klucza szyfrowania zmienia się, ale dane na koncie usługi Azure Storage nie są ponownie szyfrowane. Użytkownik nie musi podejmować żadnych dalszych działań.

Uwaga

Aby wymienić klucz, utwórz nową wersję klucza w magazynie kluczy lub zarządzanym module HSM zgodnie z zasadami zgodności. Możesz obrócić klucz ręcznie lub utworzyć funkcję, aby ją obrócić zgodnie z harmonogramem.

Odwoływanie dostępu do kluczy zarządzanych przez klienta

W dowolnym momencie możesz odwołać dostęp konta magazynu do klucza zarządzanego przez klienta. Po odwołaniu dostępu do kluczy zarządzanych przez klienta lub po wyłączeniu lub usunięciu klucza klienci nie mogą wywoływać operacji odczytujących lub zapisywanych w obiekcie blob lub jego metadanych. Próby wywołania dowolnej z następujących operacji zakończy się niepowodzeniem z kodem błędu 403 (Zabronione) dla wszystkich użytkowników:

Aby ponownie wywołać te operacje, przywróć dostęp do klucza zarządzanego przez klienta.

Wszystkie operacje danych, które nie są wymienione w tej sekcji, mogą być kontynuowane po odwołaniu kluczy zarządzanych przez klienta lub wyłączeniu lub usunięciu klucza.

Aby odwołać dostęp do kluczy zarządzanych przez klienta, użyj programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Klucze zarządzane przez klienta dla dysków zarządzanych platformy Azure

Klucze zarządzane przez klienta są również dostępne do zarządzania szyfrowaniem dysków zarządzanych platformy Azure. Klucze zarządzane przez klienta zachowują się inaczej w przypadku dysków zarządzanych niż w przypadku zasobów usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Szyfrowanie po stronie serwera dysków zarządzanych platformy Azure na potrzeby szyfrowania po stronie systemu Windows lub Serwera dysków zarządzanych platformy Azure dla systemu Linux.

Następne kroki