Översikt över kundhanterade nycklar
Azure Container Registry krypterar automatiskt avbildningar och andra artefakter som du lagrar. Som standard krypterar Azure automatiskt registerinnehållet i vila med hjälp av tjänsthanterade nycklar. Genom att använda en kundhanterad nyckel kan du komplettera standardkryptering med ytterligare ett krypteringslager.
Den här artikeln är del ett i en självstudieserie i fyra delar. Självstudien beskriver:
- Översikt över kundhanterade nycklar
- Aktivera en kundhanterad nyckel
- Rotera och återkalla en kundhanterad nyckel
- Felsöka en kundhanterad nyckel
Om kundhanterade nycklar
En kundhanterad nyckel ger dig ägarskapet för att ta med din egen nyckel i Azure Key Vault. När du aktiverar en kundhanterad nyckel kan du hantera dess rotationer, kontrollera åtkomsten och behörigheterna för att använda den och granska dess användning.
Viktiga funktioner omfattar bland annat:
Regelefterlevnad: Azure krypterar automatiskt registerinnehåll i vila med tjänsthanterade nycklar, men kundhanterad nyckelkryptering hjälper dig att uppfylla riktlinjerna för regelefterlevnad.
Integrering med Azure Key Vault: Kundhanterade nycklar stöder kryptering på serversidan via integrering med Azure Key Vault. Med kundhanterade nycklar kan du skapa egna krypteringsnycklar och lagra dem i ett nyckelvalv. Du kan också använda Azure Key Vault-API:er för att generera nycklar.
Nyckellivscykelhantering: Genom att integrera kundhanterade nycklar med Azure Key Vault får du fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.
Innan du aktiverar en kundhanterad nyckel
Innan du konfigurerar Azure Container Registry med en kundhanterad nyckel bör du tänka på följande information:
- Den här funktionen är tillgänglig på Premium-tjänstnivån för ett containerregister. Mer information finns i Azure Container Registry-tjänstnivåer (ACR).
- Du kan för närvarande endast aktivera en kundhanterad nyckel när du skapar ett register.
- Du kan inte inaktivera krypteringen när du har aktiverat en kundhanterad nyckel i ett register.
- Du måste konfigurera en användartilldelad hanterad identitet för att få åtkomst till nyckelvalvet. Senare, om det behövs, kan du aktivera registrets systemtilldelade hanterade identitet för åtkomst till nyckelvalvet.
- Azure Container Registry stöder endast RSA- eller RSA-HSM-nycklar. Elliptiska kurvnycklar stöds inte för närvarande.
- I ett register som krypteras med en kundhanterad nyckel kan du behålla loggar för Azure Container Registry-uppgifter i endast 24 timmar. Information om hur du behåller loggar under en längre period finns i Visa och hantera aktivitetskörningsloggar.
- Innehållsförtroende stöds för närvarande inte i ett register som är krypterat med en kundhanterad nyckel.
Uppdatera den kundhanterade nyckelversionen
Azure Container Registry stöder både automatisk och manuell rotation av registerkrypteringsnycklar när en ny nyckelversion är tillgänglig i Azure Key Vault.
Viktigt!
Det är ett viktigt säkerhetsövervägande för ett register med kundhanterad nyckelkryptering för att ofta uppdatera (rotera) nyckelversionerna. Följ organisationens efterlevnadsprinciper för att regelbundet uppdatera nyckelversioner när du lagrar en kundhanterad nyckel i Azure Key Vault.
Uppdatera nyckelversionen automatiskt: När ett register krypteras med en icke-versionerad nyckel kontrollerar Azure Container Registry regelbundet nyckelvalvet efter en ny nyckelversion och uppdaterar den kundhanterade nyckeln inom en timme. Vi rekommenderar att du utelämnar nyckelversionen när du aktiverar registerkryptering med en kundhanterad nyckel. Azure Container Registry använder och uppdaterar sedan den senaste nyckelversionen automatiskt.
Uppdatera nyckelversionen manuellt: När ett register krypteras med en specifik nyckelversion använder Azure Container Registry den versionen för kryptering tills du roterar den kundhanterade nyckeln manuellt. Vi föreslår att du anger nyckelversionen när du aktiverar registerkryptering med en kundhanterad nyckel. Azure Container Registry använder sedan en specifik version av en nyckel för registerkryptering.
Mer information finns i Nyckelrotation och Uppdateringsnyckelversion.
Nästa steg
- Om du vill aktivera containerregistret med en kundhanterad nyckel med hjälp av Azure CLI, Azure Portal eller en Azure Resource Manager-mall går du vidare till nästa artikel: Aktivera en kundhanterad nyckel.
- Läs mer om vilande kryptering i Azure.
- Läs mer om åtkomstprinciper och hur du skyddar åtkomsten till ett nyckelvalv.