Общие сведения о ключах, управляемых клиентом
Реестр контейнеров Azure автоматически шифрует изображения и другие артефакты, которые вы храните. По умолчанию Azure автоматически шифрует неактивное содержимое реестра с помощью управляемых службой ключей. Используя ключ, управляемый клиентом, можно дополнить шифрование по умолчанию дополнительным уровнем шифрования.
Эта статья является первой частью серии учебников из четырех частей. В этом руководстве рассматриваются следующие аспекты:
- Общие сведения о ключах, управляемых клиентом
- Включение ключа, управляемого клиентом
- Смена и отмена ключа, управляемого клиентом
- Устранение неполадок, связанных с ключом, управляемым клиентом
Сведения об управляемых клиентом ключах
Ключ, управляемый клиентом, дает вам право на использование собственного ключа в Azure Key Vault. При включении ключа, управляемого клиентом, вы можете управлять его сменами, управлять доступом и разрешениями на его использование, а также проводить аудит его использования.
Ключевые возможности:
Соответствие нормативным требованиям. Azure автоматически шифрует неактивное содержимое реестра с помощью ключей, управляемых службой, но шифрование ключей, управляемое клиентом, помогает соответствовать рекомендациям по соответствию нормативным требованиям.
Интеграция с Azure Key Vault. Ключи, управляемые клиентом, поддерживают шифрование на стороне сервера за счет интеграции с Azure Key Vault. С помощью ключей, управляемых клиентом, можно создавать собственные ключи шифрования и хранить их в хранилище ключей. Вы также можете использовать API Key Vault Azure для создания ключей.
Управление жизненным циклом ключей. Интеграция управляемых клиентом ключей с Azure Key Vault обеспечивает полный контроль и ответственность за жизненный цикл ключей, включая смену ключей и управление ими.
Подготовка к активации ключа, управляемого клиентом
Перед настройкой Реестр контейнеров Azure с ключом, управляемым клиентом, ознакомьтесь со следующими сведениями:
- Эта функция доступна на уровне служб "Премиум" для реестра контейнеров. Дополнительные сведения см в статье Уровни службы Реестра контейнеров Azure.
- В настоящее время ключ, управляемый клиентом, можно активировать только при создании реестра.
- Вы не сможете отключить шифрование после включения ключа, управляемого клиентом, в реестре.
- Для доступа к хранилищу ключей вам нужно настроить управляемое удостоверение, назначаемое пользователем. Позже при необходимости можно включить управляемое удостоверение реестра, назначаемое системой , для доступа к хранилищу ключей.
- Реестр контейнеров Azure поддерживает только ключи RSA и RSA-HSM. Ключи с эллиптической кривой в настоящее время не поддерживаются.
- В реестре, зашифрованном с помощью ключа, управляемого клиентом, можно хранить журналы для Реестр контейнеров Azure задач только в течение 24 часов. Сведения о том, как хранить журналы в течение более длительного периода времени, см. в статье Просмотр журналов выполнения задач и управление ими.
- Доверие к содержимому в настоящее время не поддерживается в реестре, зашифрованном с помощью ключа, управляемого клиентом.
Обновление версии ключа, управляемого клиентом
Реестр контейнеров Azure поддерживает смену ключей шифрования реестра при появлении новой версии ключа в Azure Key Vault и автоматически, и вручную.
Важно!
Это важный аспект безопасности для реестра с шифрованием ключей, управляемым клиентом, чтобы часто обновлять (менять) версии ключей. Следуйте политикам соответствия вашей организации, чтобы регулярно обновлять версии ключей при сохранении ключа, управляемого клиентом, в Azure Key Vault.
Автоматическое обновление версии ключа. При шифровании реестра с помощью ключа, отличного от версии, Реестр контейнеров Azure регулярно проверяет хранилище ключей на наличие новой версии и обновляет ключ, управляемый клиентом, в течение одного часа. Мы рекомендуем опустить версию ключа при включении шифрования реестра с помощью ключа, управляемого клиентом. Реестр контейнеров Azure будет автоматически использовать и обновлять последнюю версию ключа.
Обновление версии ключа вручную. Если реестр зашифрован с помощью определенной версии ключа, Реестр контейнеров Azure использует эту версию для шифрования, пока вы не смените ключ, управляемый клиентом вручную. Мы рекомендуем указывать версию ключа при включении шифрования реестра с помощью ключа, управляемого клиентом. Реестр контейнеров Azure будет использовать определенную версию раздела для шифрования реестра.
Дополнительные сведения см. в разделах Смена ключа и Обновление версии ключа.
Дальнейшие действия
- Чтобы включить реестр контейнеров с помощью ключа, управляемого клиентом, с помощью Azure CLI, портал Azure или шаблона Azure Resource Manager, перейдите к следующей статье Включение ключа, управляемого клиентом.
- Узнайте больше о Шифровании неактивных данных в Azure.
- Узнайте больше о политиках доступа и о том, как обезопасить доступ к хранилищу ключей.