Общие сведения о ключах, управляемых клиентом

Реестр контейнеров Azure автоматически шифрует изображения и другие артефакты, которые вы храните. По умолчанию Azure автоматически шифрует неактивное содержимое реестра с помощью управляемых службой ключей. Используя ключ, управляемый клиентом, можно дополнить шифрование по умолчанию дополнительным уровнем шифрования.

Эта статья является первой частью серии учебников из четырех частей. В этом руководстве рассматриваются следующие аспекты:

• Общие сведения о ключах, управляемых клиентом
• Включение ключа, управляемого клиентом
• Смена и отмена ключа, управляемого клиентом
• Устранение неполадок, связанных с ключом, управляемым клиентом

Сведения об управляемых клиентом ключах

Ключ, управляемый клиентом, дает вам право на использование собственного ключа в Azure Key Vault. При включении ключа, управляемого клиентом, вы можете управлять его сменами, управлять доступом и разрешениями на его использование, а также проводить аудит его использования.

Ключевые возможности:

• Соответствие нормативным требованиям. Azure автоматически шифрует неактивное содержимое реестра с помощью ключей, управляемых службой, но шифрование ключей, управляемое клиентом, помогает соответствовать рекомендациям по соответствию нормативным требованиям.

• Интеграция с Azure Key Vault. Ключи, управляемые клиентом, поддерживают шифрование на стороне сервера за счет интеграции с Azure Key Vault. С помощью ключей, управляемых клиентом, можно создавать собственные ключи шифрования и хранить их в хранилище ключей. Вы также можете использовать API Key Vault Azure для создания ключей.

• Управление жизненным циклом ключей. Интеграция управляемых клиентом ключей с Azure Key Vault обеспечивает полный контроль и ответственность за жизненный цикл ключей, включая смену ключей и управление ими.

Подготовка к активации ключа, управляемого клиентом

Перед настройкой Реестр контейнеров Azure с ключом, управляемым клиентом, ознакомьтесь со следующими сведениями:

• Эта функция доступна на уровне служб "Премиум" для реестра контейнеров. Дополнительные сведения см в статье Уровни службы Реестра контейнеров Azure.
• В настоящее время ключ, управляемый клиентом, можно активировать только при создании реестра.
• Вы не сможете отключить шифрование после включения ключа, управляемого клиентом, в реестре.
• Для доступа к хранилищу ключей вам нужно настроить управляемое удостоверение, назначаемое пользователем. Позже при необходимости можно включить управляемое удостоверение реестра, назначаемое системой , для доступа к хранилищу ключей.
• Реестр контейнеров Azure поддерживает только ключи RSA и RSA-HSM. Ключи с эллиптической кривой в настоящее время не поддерживаются.
• В реестре, зашифрованном с помощью ключа, управляемого клиентом, можно хранить журналы для Реестр контейнеров Azure задач только в течение 24 часов. Сведения о том, как хранить журналы в течение более длительного периода времени, см. в статье Просмотр журналов выполнения задач и управление ими.
• Доверие к содержимому в настоящее время не поддерживается в реестре, зашифрованном с помощью ключа, управляемого клиентом.

Обновление версии ключа, управляемого клиентом

Реестр контейнеров Azure поддерживает смену ключей шифрования реестра при появлении новой версии ключа в Azure Key Vault и автоматически, и вручную.

Важно!

Это важный аспект безопасности для реестра с шифрованием ключей, управляемым клиентом, чтобы часто обновлять (менять) версии ключей. Следуйте политикам соответствия вашей организации, чтобы регулярно обновлять версии ключей при сохранении ключа, управляемого клиентом, в Azure Key Vault.

• Автоматическое обновление версии ключа. При шифровании реестра с помощью ключа, отличного от версии, Реестр контейнеров Azure регулярно проверяет хранилище ключей на наличие новой версии и обновляет ключ, управляемый клиентом, в течение одного часа. Мы рекомендуем опустить версию ключа при включении шифрования реестра с помощью ключа, управляемого клиентом. Реестр контейнеров Azure будет автоматически использовать и обновлять последнюю версию ключа.

• Обновление версии ключа вручную. Если реестр зашифрован с помощью определенной версии ключа, Реестр контейнеров Azure использует эту версию для шифрования, пока вы не смените ключ, управляемый клиентом вручную. Мы рекомендуем указывать версию ключа при включении шифрования реестра с помощью ключа, управляемого клиентом. Реестр контейнеров Azure будет использовать определенную версию раздела для шифрования реестра.

Дополнительные сведения см. в разделах Смена ключа и Обновление версии ключа.

Дальнейшие действия

• Чтобы включить реестр контейнеров с помощью ключа, управляемого клиентом, с помощью Azure CLI, портал Azure или шаблона Azure Resource Manager, перейдите к следующей статье Включение ключа, управляемого клиентом.
• Узнайте больше о Шифровании неактивных данных в Azure.
• Узнайте больше о политиках доступа и о том, как обезопасить доступ к хранилищу ключей.