Configurar a rotação automática de chaves no Azure Managed HSM
Descrição Geral
Nota
A rotação automática de chaves requer a versão 2.42.0 ou superior da CLI do Azure.
A rotação automatizada de chaves no HSM Gerido permite que os utilizadores configurem o HSM Gerido para gerar automaticamente uma nova versão de chave com uma frequência especificada. Pode definir uma política de rotação para configurar a rotação para cada chave individual e, opcionalmente, rodar chaves a pedido. A nossa recomendação é rodar as chaves de encriptação, pelo menos, de dois em dois anos para cumprir as melhores práticas criptográficas. Para obter orientações e recomendações adicionais, veja NIST SP 800-57 Parte 1.
Esta funcionalidade permite a rotação ponto a ponto do toque zero para encriptação inativa para serviços do Azure com chaves geridas pelo cliente (CMK) armazenadas no Azure Managed HSM. Veja a documentação do serviço do Azure específico para ver se o serviço abrange a rotação ponto a ponto.
Preços
A rotação da chave HSM gerida é oferecida sem custos adicionais. Para obter mais informações sobre os preços do HSM Gerido, veja a página de preços do Azure Key Vault
Aviso
O HSM gerido tem um limite de 100 versões por chave. Versões principais criadas como parte da contagem de rotações automáticas ou manuais para este limite.
Permissões necessárias
Rodar uma chave ou definir uma política de rotação de chaves requer permissões de gestão de chaves específicas. Pode atribuir a função "Utilizador Criptografo do HSM Gerido" para obter permissões suficientes para gerir a política de rotação e a rotação a pedido.
Para obter mais informações sobre como configurar permissões RBAC Locais no HSM Gerido, veja: Gestão de funções do HSM Gerido
Nota
Definir uma política de rotação requer a permissão "Escrita de Chaves". Rodar uma chave a pedido requer permissões de "Rotação". Ambos estão incluídos na função incorporada "Utilizador Criptografo do HSM Gerido"
Política de rotação de chaves
A política de rotação de chaves permite aos utilizadores configurar intervalos de rotação e definir o intervalo de expiração para chaves rotativas. Tem de ser definido antes de as chaves poderem ser rodadas a pedido.
Nota
O HSM Gerido não suporta Notificações do Event Grid
Definições da política de rotação de chaves:
- Tempo de expiração: intervalo de expiração da chave (mínimo de 28 dias). É utilizada para definir a data de expiração numa chave recém-rodada (por exemplo, após a rotação, a nova chave está definida para expirar dentro de 30 dias).
- Tipos de rotação:
- Renovar automaticamente num determinado momento após a criação
- Renovar automaticamente num determinado momento antes de expirar. A "Data de Expiração" tem de ser definida na chave para que este evento seja acionado.
Aviso
Uma política de rotação automática não pode exigir a criação de novas versões de chaves com mais frequência do que uma vez a cada 28 dias. Para políticas de rotação baseadas na criação, isto significa que o valor mínimo para timeAfterCreate é P28D. Para políticas de rotação baseadas em expiração, o valor máximo de timeBeforeExpiry depende de expiryTime. Por exemplo, se expiryTime for P56D, timeBeforeExpiry pode ser, no máximo P28D, .
Configurar uma política de rotação de chaves
CLI do Azure
Escreva uma política de rotação de chaves e guarde-a num ficheiro. Utilize formatos de Duração ISO8601 para especificar intervalos de tempo. Algumas políticas de exemplo são fornecidas na secção seguinte. Utilize o seguinte comando para aplicar a política a uma chave.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Políticas de exemplo
Rode a chave 18 meses após a criação e defina a nova chave para expirar após dois anos.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Rode a chave 28 dias antes da expiração e defina a nova chave para expirar após um ano.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Remover a política de rotação de chaves (efetuada ao definir uma política em branco)
{
"lifetimeActions": [],
"attributes": {}
}
Rotação a pedido
Depois de definir uma política de rotação para a chave, também pode rodar a chave a pedido. Tem de definir primeiro uma política de rotação de chaves.
CLI do Azure
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>