Поделиться через

Настройка автоматического поворота ключа в Управляемом HSM Azure

  • Статья

Обзор

Примечание.

Для автоматического поворота ключа требуется Azure CLI версии 2.42.0 или более поздней.

Автоматическая смена ключей в управляемом модуле HSM позволяет пользователям настроить управляемый модуль HSM для автоматического создания новой версии ключа с указанной частотой. Вы можете настроить смену для каждого отдельного ключа и при необходимости менять ключи по требованию. Мы рекомендуем менять ключи шифрования по меньшей мере каждые два года в соответствии с криптографическими передовыми практиками. Дополнительные рекомендации см. в NIST SP 800-57, часть 1.

Эта функция позволяет полностью и автоматически менять ключи шифрования хранимых данных для служб Azure с управляемыми клиентами ключами (CMK), хранимыми в управляемом модуле HSM. См. соответствующую документацию по службе Azure, чтобы узнать, поддерживает ли служба полную смену.

Цены

За смену ключей управляемого модуля HSM плата не взимается. Дополнительные сведения о ценах на управляемый модуль HSM см. на странице цен на Azure Key Vault.

Предупреждение

Управляемый модуль HSM имеет ограничение в 100 версий на ключ. Версии ключей, созданные в рамках автоматической или ручной смены учитываются в этом ограничении.

Требуемые разрешения

Для смены ключа или настройки политики смены ключей требуются определенные разрешения на управление ключами. Вы можете назначить роль "Пользователь шифрования Управляемого модуля HSM", чтобы получить достаточные разрешения для управления политикой смены и сменой по запросу.

Дополнительные сведения о настройке локальных разрешений RBAC для управляемого модуля HSM см. в разделе Управление ролями в службе "Управляемое устройство HSM".

Примечание.

Для настройки политики смены требуется разрешение "Запись ключей". Для смены ключа по запросу требуются разрешения "Смена". Оба входят в состав встроенной роли "Пользователь шифрования Управляемого модуля HSM".

Политика смены ключей

Политика смены ключей позволяет пользователям настраивать интервалы смены и задавать интервал истечения срока действия для сменных ключей. Она необходима для возможности смены ключей по запросу.

Примечание.

Управляемый модуль HSM не поддерживает уведомления Сетки событий

Параметры политики смены ключей:

  • Время окончания срока действия: интервал истечения срока действия ключа (минимум 28 дней). Он используется для установки даты окончания срока действия ключа после смены (например, после смены новый ключ истекает через 30 дней).
  • Типы поворотов:
    • Автоматическое продление в указанное время после создания.
    • Автоматическое продление в заданный момент времени перед окончанием срока действия. Для запуска этого события необходимо задать значение "Срок действия".

Предупреждение

Политика автоматической смены не может запрашивать создание новых версий ключей чаще, чем раз в 28 дней. Для политик смены на основе создания это означает, что минимальное значение для timeAfterCreate равно P28D. Для политик смены на основе срока действия максимальное значение timeBeforeExpiry зависит от expiryTime. Например, если expiryTime равно P56D, timeBeforeExpiry может быть не больше P28D.

Настройка политики смены ключей

Azure CLI

Напишите политику смены ключей и сохраните ее в файле. Используйте форматы длительности ISO8601, чтобы указать интервалы времени. Некоторые примеры политик приведены в следующем разделе. Используйте команду ниже, чтобы применить политику к ключу.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Примеры политик

Смена ключа через 18 месяцев после создания и установка истечения срока действия нового ключа через два года.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Смена ключа за 28 дней до истечения срока действия и установка истечения срока действия нового ключа через один год.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Удаление политики смены ключей (путем установки пустой политики)

{
  "lifetimeActions": [],
  "attributes": {}
}

Смена по запросу

После установки политики смены для ключа можно также менять ключ по запросу. Сначала необходимо задать политику смены ключей.

Azure CLI

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Ресурсы