Настройка ключей, управляемых клиентом, в том же клиенте для новой учетной записи хранения

Статья
03/23/2023

Служба хранилища Azure шифрует все данные в неактивных учетных записях хранения. По умолчанию данные шифруются с помощью ключей, управляемых корпорацией Майкрософт. Для дополнительного контроля над ключами шифрования можно управлять собственными ключами. Ключи, управляемые клиентом, должны храниться в Azure Key Vault или в HSM — управляемом Azure Key Vault аппаратном модуле безопасности.

В этой статье показано, как настроить шифрование с помощью ключей, управляемых клиентом, во время создания учетной записи хранения. Ключи, управляемые клиентом, хранятся в хранилище ключей.

Сведения о настройке ключей, управляемых клиентом, для существующей учетной записи хранения см. в статье Настройка ключей, управляемых клиентом, в хранилище ключей Azure для существующей учетной записи хранения.

Примечание

Azure Key Vault и Управляемый модуль HSM Azure Key Vault поддерживают одни и те же API и интерфейсы управления для настройки ключей, управляемых клиентом. Любое действие, поддерживаеме для Azure Key Vault, также поддерживается для управляемого модуля HSM Azure Key Vault.

Настройка хранилища ключей

Для хранения ключей, управляемых клиентом, можно использовать новое или существующее хранилище ключей. Учетная запись хранения и хранилище ключей могут находиться в разных регионах или подписках одного клиента. Дополнительные сведения об Azure Key Vault см. в статьях Общие сведения об Azure Key Vault и Что такое Azure Key Vault.

Для использования ключей, управляемых клиентом, с шифрованием службы хранилища Azure требуется включить для хранилища ключей обратимое удаление и защиту от очистки. Обратимое удаление активируется по умолчанию при создании хранилища ключей, отключить его нельзя. Защиту от очистки можно включить при создании хранилища ключей или позднее.

Azure Key Vault поддерживает авторизацию с помощью Azure RBAC через модель разрешений Azure RBAC. Корпорация Майкрософт рекомендует использовать модель разрешений Azure RBAC вместо политик доступа к хранилищу ключей. Дополнительные сведения см. в статье Предоставление приложению разрешения на доступ к хранилищу ключей Azure с помощью Azure RBAC.

О том, как создать хранилище ключей с помощью портала Azure см. в этом кратком руководстве. При создании хранилища ключей выберите Включить защиту от очистки, как показано на следующем рисунке.

Снимок экрана: включение защиты от очистки при создании хранилища ключей.

Чтобы включить защиту от очистки в существующем хранилище ключей, выполните следующие действия.

Откройте хранилище ключей на портале Azure.
В разделе Параметры выберите Свойства.
В разделе Защита от очистки выберите Включить защиту от очистки.

Чтобы создать новое хранилище ключей с помощью PowerShell, установите модуль PowerShell Az.KeyVault версии 2.0.0 или выше. Затем вызовите New-AzKeyVault, чтобы создать хранилище ключей. В модуле Az.KeyVault версии 2.0.0 и выше обратимое удаление включается по умолчанию при создании хранилища ключей.

В следующем примере создается новое хранилище ключей с включенным обратимым удалением и защитой от очистки. Модель разрешений хранилища ключей настроена на использование Azure RBAC. Не забудьте заменить значения заполнителей в скобках собственными значениями.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Дополнительные сведения о том, как включить защиту от очистки в существующем хранилище ключей с помощью PowerShell, см. в статье Общие сведения о восстановлении Azure Key Vault.

После создания хранилища ключей необходимо назначить себе роль Key Vault криптографии. Эта роль позволяет создать ключ в хранилище ключей. В следующем примере эта роль назначается пользователю с областью действия хранилища ключей:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Дополнительные сведения о назначении роли RBAC с помощью PowerShell см. в статье Назначение ролей Azure с помощью Azure PowerShell.

Чтобы создать новое хранилище ключей с помощью Azure CLI, вызовите команду az keyvault create. В следующем примере создается новое хранилище ключей с включенным обратимым удалением и защитой от очистки. Модель разрешений хранилища ключей настроена на использование Azure RBAC. Не забудьте заменить значения заполнителей в скобках собственными значениями.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Дополнительные сведения о том, как включить защиту от очистки в существующем хранилище ключей с помощью Azure CLI, см. в статье Общие сведения о восстановлении Azure Key Vault.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Дополнительные сведения о назначении роли RBAC с помощью Azure CLI см. в статье Назначение ролей Azure с помощью Azure CLI.

Добавление ключа

Далее добавьте ключ в хранилище ключей. Перед добавлением ключа убедитесь, что вы назначили себе роль Key Vault сотрудник по шифрованию.

Шифрование службы хранилища Azure поддерживает ключи RSA и RSA-HSM размером 2048, 3072 и 4096. Дополнительные сведения о поддерживаемых типах ключей см. в статье Общие сведениях о ключах.

О том, как добавить ключ с помощью портала Azure, см. в статье Краткое руководство. Настройка и получение ключа из Azure Key Vault с помощью портала Azure.

Чтобы добавить ключ с помощью PowerShell, вызовите команду Add-AzKeyVaultKey. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Чтобы добавить ключ с помощью Azure CLI, вызовите команду az keyvault key create. Не забудьте заменить значения заполнителей в скобках собственными значениями.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Использование управляемого удостоверения, назначаемого пользователем, для авторизации доступа к хранилищу ключей

При настройке ключей, управляемых клиентом, для новой учетной записи хранения необходимо указать управляемое удостоверение, назначаемое пользователем. Существующая учетная запись хранения поддерживает использование управляемого удостоверения, назначаемого пользователем, или управляемого удостоверения, назначаемого системой, для настройки ключей, управляемых клиентом.

При настройке ключей, управляемых клиентом, с управляемым удостоверением, назначаемое пользователем, используется для авторизации доступа к хранилищу ключей, которое содержит ключ. Прежде чем настраивать ключи, управляемые клиентом, необходимо создать назначаемое пользователем удостоверение.

Управляемое удостоверение, назначаемое пользователем, — это автономный ресурс Azure. Дополнительные сведения об управляемых удостоверениях, назначаемых пользователем, см. в разделе Типы управляемых удостоверений. Дополнительные сведения о том, как создать управляемое удостоверение, назначаемое пользователем, и управлять им, см. в статье Управление управляемым удостоверением, назначаемым пользователем.

Управляемое удостоверение, назначаемое пользователем, должно иметь разрешения на доступ к ключу в хранилище ключей. Назначьте роль пользователя шифрования службы шифрования Key Vault управляемому удостоверению, назначаемому пользователем, с область хранилища ключей, чтобы предоставить эти разрешения.

Перед настройкой ключей, управляемых клиентом, с управляемым удостоверением, назначаемого пользователем, необходимо назначить роль пользователя шифрования службы шифрования Key Vault управляемому удостоверению, назначаемому пользователем, в пределах хранилища ключей. Эта роль предоставляет назначаемому пользователем управляемому удостоверению разрешения на доступ к ключу в хранилище ключей. Дополнительные сведения о назначении ролей Azure RBAC с помощью портал Azure см. в статье Назначение ролей Azure с помощью портал Azure.

При настройке ключей, управляемых клиентом, с помощью портала Azure вы можете выбрать существующее назначаемое пользователем удостоверение через пользовательский интерфейс портала.

В следующем примере показано, как получить управляемое удостоверение, назначаемое пользователем, и назначить ему требуемую роль RBAC, ограниченную хранилищем ключей. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями и использовать переменные, определенные в предыдущих примерах:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Настройка ключей, управляемых клиентом, для новой учетной записи хранения

При настройке шифрования с помощью ключей, управляемых клиентом, для новой учетной записи хранения вы можете настроить автоматическое обновление версии ключа, используемой для шифрования службы хранилища Azure, всякий раз, когда новая версия будет доступной в связанном хранилище ключей. Либо можно явно указать версию ключа, которая будет использоваться для шифрования до тех пор, пока вы не обновите ее вручную.

Вы должны использовать существующее управляемое удостоверение, назначаемое пользователем, для авторизации доступа к хранилищу ключей при настройке ключей, управляемых клиентом, во время создания учетной записи хранения. Управляемое удостоверение, назначаемое пользователем, должно иметь соответствующие разрешения для доступа к хранилищу ключей. Дополнительные сведения см. в статье Проверка подлинности в Azure Key Vault.

Настройка шифрования для автоматического обновления версий ключа

Служба хранилища Azure может автоматически обновлять ключ, управляемый клиентом, применяемый для шифрования, чтобы использовать последнюю версию ключа из хранилища ключей. Служба хранилища Azure ежедневно проверяет хранилище ключей на наличие новой версии ключа. Когда новая версия будет доступна, служба хранилища Azure автоматически начинает использовать последнюю версию ключа для шифрования.

Важно!

Служба хранилища Azure проверяет хранилище ключей на наличие новой версии ключа только один раз в день. После смены ключа подождите 24 часа, прежде чем отключить старую версию.

Чтобы настроить ключи, управляемые клиентом, для новой учетной записи хранения с автоматическим обновлением версии ключа:

На портале Azure перейдите на страницу Учетные записи хранения и нажмите кнопку Создать, чтобы создать новую учетную запись.
Выполните шаги, описанные в разделе Создание учетной записи хранения, чтобы заполнить поля на вкладках Основные сведения, Дополнительно, Сеть и Защита данных.
На вкладке Шифрование укажите, для каких служб вы хотите включить поддержку ключей, управляемых клиентом, в поле Включить поддержку ключей, управляемых клиентом.
В поле Тип шифрования выберите Ключи, управляемые клиентом (CMK).
В поле Ключ шифрования щелкните Выберите хранилище ключей и ключ и укажите хранилище ключей и ключ.
В поле Назначаемое пользователем удостоверение выберите существующее управляемое удостоверение, назначаемое пользователем.
Нажмите кнопку Просмотреть для проверки и создания учетной записи.

Вы также можете настроить ключи, управляемые клиентом, с обновлением версии ключа вручную во время создания новой учетной записи хранения. Выполните действия, описанные в разделе Настройка шифрования для обновления версий ключей вручную.

Чтобы настроить управляемые клиентом ключи для новой учетной записи хранения с автоматическим обновлением версии ключа, вызовите New-AzStorageAccount, как показано в следующем примере. Используйте созданную ранее переменную для идентификатора ресурса для управляемого удостоверения, назначаемого пользователем. Вам также потребуются URI хранилища ключей и имя ключа.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Чтобы настроить управляемые клиентом ключи для новой учетной записи хранения с автоматическим обновлением версии ключа, вызовите az storage account create, как показано в следующем примере. Используйте созданную ранее переменную для идентификатора ресурса для управляемого удостоверения, назначаемого пользователем. Вам также потребуются URI хранилища ключей и имя ключа.

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Настройка шифрования для обновления версий ключа вручную

Если вы предпочитаете обновлять версию ключа вручную, необходимо в явной форме указать ее версию при настройке шифрования с ключами, управляемыми клиентом, при создании учетной записи хранения. В этом случае служба хранилища Azure не будет автоматически обновлять версию ключа при создании новой версии в хранилище ключей. Чтобы использовать новую версию ключа, необходимо вручную обновить версию, используемую для шифрования службы хранилища Azure.

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, с помощью портале Azure, укажите URI ключа, включая версию, при создании учетной записи хранения. Чтобы указать ключ с помощью URI, выполните следующие действия.

На портале Azure перейдите на страницу Учетные записи хранения и нажмите кнопку Создать, чтобы создать новую учетную запись.
Выполните шаги, описанные в разделе Создание учетной записи хранения, чтобы заполнить поля на вкладках Основные сведения, Дополнительно, Сеть и Защита данных.
На вкладке Шифрование укажите, для каких служб вы хотите включить поддержку ключей, управляемых клиентом, в поле Включить поддержку ключей, управляемых клиентом.
В поле Тип шифрования выберите Ключи, управляемые клиентом (CMK).
Чтобы найти URI ключа на портале Azure, перейдите в хранилище ключей и выберите параметр Ключи. Выберите нужный ключ, а затем щелкните его, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.
Скопируйте значение поля Идентификатор ключа, которое предоставляет универсальный код ресурса (URI).
В параметрах раздела Ключ шифрования для учетной записи хранения нажмите Введите URI ключа.
Вставьте скопированный URI в поле URI ключа. Включите версию ключа в URI для настройки обновления версии ключа вручную.
Укажите управляемое удостоверение, назначаемое пользователем, выбрав ссылку Выбрать удостоверение.
Нажмите кнопку Просмотреть для проверки и создания учетной записи.

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, явно укажите версию ключа при настройке шифрования во время создания учетной записи хранения. Вызовите команду Set-AzStorageAccount, чтобы обновить параметры шифрования учетной записи хранения, как показано в следующем примере, и укажите параметр -KeyvaultEncryption, чтобы включить ключи, управляемые клиентом, для учетной записи хранения.

Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

При ручном обновлении версии ключа нужно будет обновлять параметры шифрования учетной записи хранения, чтобы использовать новую версию. Сначала вызовите команду Get-AzKeyVaultKey, чтобы получить последнюю версию ключа. Затем вызовите команду Set-AzStorageAccount, чтобы обновить параметры шифрования учетной записи хранения для использования новой версии ключа, как показано в предыдущем примере.

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, явно укажите версию ключа при настройке шифрования во время создания учетной записи хранения. Вызовите команду az storage account update, чтобы обновить параметры шифрования учетной записи хранения, как показано в следующем примере. Добавьте параметр --encryption-key-source и присвойте ему значение Microsoft.Keyvault, чтобы включить ключи, управляемые клиентом, для учетной записи.

Не забудьте заменить значения заполнителей в скобках собственными значениями.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

При ручном обновлении версии ключа нужно будет обновлять параметры шифрования учетной записи хранения, чтобы использовать новую версию. Сначала запросите универсальный код ресурса (URI) хранилища ключей, вызвав команду az keyvault show, а для версии ключа выполните команду az keyvault key list-versions. Затем вызовите команду az storage account update, чтобы обновить параметры шифрования учетной записи хранения для использования новой версии ключа, как показано в предыдущем примере.

Изменение ключа

Ключ, используемый для шифрования службы хранилища Azure, можно изменить в любое время.

Примечание

При изменении ключа или версии ключа защита корневого ключа шифрования меняется, но данные в учетной записи хранения Azure постоянно шифруются. С вашей стороны не требуется никаких дополнительных действий, чтобы обеспечить защиту данных. Изменение ключа или смена версии ключа не влияет на производительность. Простои, связанные с изменением ключа или сменой его версии, отсутствуют.

Чтобы изменить ключ с помощью портала Azure, выполните следующие действия:

Перейдите к своей учетной записи хранения и откройте раздел параметров Шифрование.
Выберите хранилище ключей, а затем — новый ключ.
Сохраните изменения.

Если новый ключ находится в другом хранилище ключей, необходимо предоставить управляемому удостоверению доступ к ключу в новом хранилище. Если вы выбираете обновление версии ключа вручную, вам также потребуется обновить URI хранилища ключей.

Отмена доступа к учетной записи хранения, использующим управляемые клиентом ключи

Чтобы временно отозвать доступ к учетной записи хранения, которая использует управляемые клиентом ключи, отключите ключ, который в настоящее время используется в хранилище ключей. Отключение и повторное развертывание ключа не влияет на производительность или простой.

После отключения ключа клиенты не могут вызывать операции, которые считывают или записывают большой двоичный объект или его метаданные. Сведения о том, какие операции завершатся сбоем, см. в статье Отмена доступа к учетной записи хранения, использующим управляемые клиентом ключи.

Внимание!

При отключении ключа в хранилище ключей данные в учетной записи хранения Azure остаются зашифрованными, но становятся недоступными, пока вы не включите ключ повторно.

Чтобы отключить ключ, управляемый клиентом, с помощью портал Azure, выполните следующие действия.

Перейдите в хранилище ключей, содержащее ключ.
В разделе Объекты выберите Ключи.
Щелкните правой кнопкой мыши ключ и выберите Отключить.

Чтобы отозвать ключ, управляемый клиентом, с помощью PowerShell, вызовите команду Update-AzKeyVaultKey , как показано в следующем примере. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями, чтобы определить переменные, или используйте переменные, определенные в предыдущих примерах.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Чтобы отозвать ключ, управляемый клиентом, с помощью Azure CLI, вызовите команду az keyvault key set-attributes , как показано в следующем примере. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями, чтобы определить переменные, или используйте переменные, определенные в предыдущих примерах.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Отключение ключа приведет к сбою попыток доступа к данным в учетной записи хранения с кодом ошибки 403 (запрещено). Список операций учетной записи хранения, на которые будет влиять отключение ключа, см. в статье Отмена доступа к учетной записи хранения, использующим управляемые клиентом ключи.

Переключение на ключи, управляемые корпорацией Майкрософт

Вы можете в любое время переключиться с ключей, управляемых клиентом, на ключи, управляемые корпорацией Майкрософт, с помощью портал Azure, PowerShell или Azure CLI.

Чтобы в портал Azure переключиться с ключей, управляемых клиентом, на ключи, управляемые корпорацией Майкрософт, выполните следующие действия.

Войдите в свою учетную запись хранения.
В разделе Безопасность и сеть выберите Шифрование.
Измените тип шифрования на ключи, управляемые Корпорацией Майкрософт.

Чтобы переключиться с ключей, управляемых клиентом, на ключи, управляемые Корпорацией Майкрософт, с помощью PowerShell, вызовите Командлет Set-AzStorageAccount с параметром -StorageEncryption , как показано в следующем примере. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Чтобы переключиться с ключей, управляемых клиентом, обратно на ключи, управляемые Корпорацией Майкрософт, с помощью Azure CLI, вызовите команду az storage account update и присвойте --encryption-key-source parameter параметру значение Microsoft.Storage, как показано в следующем примере. Не забудьте заменить значения заполнителей в скобках собственными значениями и использовать переменные, определенные в предыдущих примерах.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage