Descrição geral das chaves geridas pelo cliente

Azure Container Registry encripta automaticamente imagens e outros artefactos que armazena. Por predefinição, o Azure encripta automaticamente o conteúdo de registo inativo através de chaves geridas pelo serviço. Ao utilizar uma chave gerida pelo cliente, pode complementar a encriptação predefinida com uma camada de encriptação adicional.

Este artigo é a primeira parte de uma série de tutoriais de quatro partes. O tutorial abrange:

  • Descrição geral das chaves geridas pelo cliente
  • Ativar uma chave gerida pelo cliente
  • Rodar e revogar uma chave gerida pelo cliente
  • Resolver problemas de uma chave gerida pelo cliente

Acerca das chaves geridas pelo cliente

Uma chave gerida pelo cliente dá-lhe a propriedade de trazer a sua própria chave no Azure Key Vault. Quando ativa uma chave gerida pelo cliente, pode gerir as rotações, controlar o acesso e as permissões para utilizá-la e auditar a respetiva utilização.

As principais funcionalidades incluem:

  • Conformidade regulamentar: o Azure encripta automaticamente o conteúdo do registo inativo com chaves geridas pelo serviço, mas a encriptação de chaves gerida pelo cliente ajuda-o a cumprir as diretrizes de conformidade regulamentar.

  • Integração com o Azure Key Vault: as chaves geridas pelo cliente suportam a encriptação do lado do servidor através da integração com o Azure Key Vault. Com as chaves geridas pelo cliente, pode criar as suas próprias chaves de encriptação e armazená-las num cofre de chaves. Em alternativa, pode utilizar as APIs do Azure Key Vault para gerar chaves.

  • Gestão do ciclo de vida fundamental: integrar chaves geridas pelo cliente com o Azure Key Vault dá-lhe controlo total e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gestão.

Antes de ativar uma chave gerida pelo cliente

Antes de configurar Azure Container Registry com uma chave gerida pelo cliente, considere as seguintes informações:

  • Esta funcionalidade está disponível no escalão de serviço Premium para um registo de contentor. Para obter mais informações, veja Escalões de serviço do Azure Container Registry (ACR).
  • Atualmente, só pode ativar uma chave gerida pelo cliente ao criar um registo.
  • Não pode desativar a encriptação depois de ativar uma chave gerida pelo cliente num registo.
  • Tem de configurar uma identidade gerida atribuída pelo utilizador para aceder ao cofre de chaves. Mais tarde, se necessário, pode ativar a identidade gerida atribuída pelo sistema do registo para acesso ao cofre de chaves.
  • Azure Container Registry suporta apenas chaves RSA ou RSA-HSM. As teclas curvas elípticas não são atualmente suportadas.
  • Num registo encriptado com uma chave gerida pelo cliente, pode reter registos para Azure Container Registry tarefas durante apenas 24 horas. Para manter os registos durante um período mais longo, veja Ver e gerir registos de execução de tarefas.
  • Atualmente , a confiança do conteúdo não é suportada num registo encriptado com uma chave gerida pelo cliente.

Atualizar a versão da chave gerida pelo cliente

Azure Container Registry suporta a rotação automática e manual de chaves de encriptação de registo quando uma nova versão de chave está disponível no Azure Key Vault.

Importante

É uma consideração de segurança importante para um registo com encriptação de chave gerida pelo cliente para atualizar frequentemente (rodar) as versões principais. Siga as políticas de conformidade da sua organização para atualizar regularmente as versões principais enquanto armazena uma chave gerida pelo cliente no Azure Key Vault.

  • Atualizar automaticamente a versão da chave: quando um registo é encriptado com uma chave sem versão, Azure Container Registry verifica regularmente o cofre de chaves para obter uma nova versão da chave e atualiza a chave gerida pelo cliente no prazo de uma hora. Sugerimos que omita a versão da chave quando ativar a encriptação de registo com uma chave gerida pelo cliente. Azure Container Registry utilizará e atualizará automaticamente a versão mais recente da chave.

  • Atualizar manualmente a versão da chave: quando um registo é encriptado com uma versão de chave específica, Azure Container Registry utiliza essa versão para encriptação até rodar manualmente a chave gerida pelo cliente. Sugerimos que especifique a versão da chave quando ativar a encriptação de registo com uma chave gerida pelo cliente. Azure Container Registry utilizará uma versão específica de uma chave para encriptação de registo.

Para obter detalhes, veja Rotação de chaves e Atualizar versão da chave.

Passos seguintes