Konfigurera kundhanterade nycklar i samma klientorganisation för ett befintligt lagringskonto
Azure Storage krypterar alla data i ett lagringskonto i vila. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha mer kontroll över krypteringsnycklar kan du hantera dina egna nycklar. Kundhanterade nycklar måste lagras i Azure Key Vault eller Key Vault Managed Hardware Security Model (HSM).
Den här artikeln visar hur du konfigurerar kryptering med kundhanterade nycklar för ett befintligt lagringskonto när lagringskontot och nyckelvalvet finns i samma klientorganisation. Kundhanterade nycklar lagras i ett nyckelvalv.
Information om hur du konfigurerar kundhanterade nycklar för ett nytt lagringskonto finns i Konfigurera kundhanterade nycklar i ett Azure-nyckelvalv för ett nytt lagringskonto.
Information om hur du konfigurerar kryptering med kundhanterade nycklar som lagras i en hanterad HSM finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault Managed HSM.
Kommentar
Azure Key Vault och Azure Key Vault Managed HSM stöder samma API:er och hanteringsgränssnitt för konfiguration av kundhanterade nycklar. Alla åtgärder som stöds för Azure Key Vault stöds också för Azure Key Vault Managed HSM.
Konfigurera nyckelvalvet
Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Lagringskontot och nyckelvalvet kan finnas i olika regioner eller prenumerationer i samma klientorganisation. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?.
Användning av kundhanterade nycklar med Azure Storage-kryptering kräver att både skydd mot mjuk borttagning och rensning aktiveras för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats.
Azure Key Vault stöder auktorisering med Azure RBAC via en Azure RBAC-behörighetsmodell. Microsoft rekommenderar att du använder Azure RBAC-behörighetsmodellen för åtkomstprinciper för nyckelvalv. Mer information finns i Bevilja behörighet till program för åtkomst till ett Azure-nyckelvalv med Hjälp av Azure RBAC.
Information om hur du skapar ett nyckelvalv med Azure-portalen finns i Snabbstart: Skapa ett nyckelvalv med Hjälp av Azure-portalen. När du skapar nyckelvalvet väljer du Aktivera rensningsskydd enligt följande bild.
Följ dessa steg för att aktivera rensningsskydd i ett befintligt nyckelvalv:
- Gå till ditt nyckelvalv i Azure-portalen.
- Under Inställningar väljer du Egenskaper.
- I avsnittet Rensa skydd väljer du Aktivera rensningsskydd.
Lägga till en nyckel
Lägg sedan till en nyckel i nyckelvalvet. Innan du lägger till nyckeln kontrollerar du att du har tilldelat dig rollen Key Vault Crypto Officer .
Azure Storage-kryptering stöder RSA- och RSA-HSM-nycklar i storlekarna 2048, 3072 och 4096. Mer information om nyckeltyper som stöds finns i Om nycklar.
Information om hur du lägger till en nyckel med Azure-portalen finns i Snabbstart: Ange och hämta en nyckel från Azure Key Vault med hjälp av Azure-portalen.
Välj en hanterad identitet för att auktorisera åtkomst till nyckelvalvet
När du aktiverar kundhanterade nycklar för ett befintligt lagringskonto måste du ange en hanterad identitet som ska användas för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Den hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet.
Den hanterade identitet som auktoriserar åtkomst till nyckelvalvet kan vara antingen en användartilldelad eller systemtilldelad hanterad identitet. Mer information om systemtilldelade och användartilldelade hanterade identiteter finns i Hanterade identitetstyper.
Använda en användartilldelad hanterad identitet för att auktorisera åtkomst
När du aktiverar kundhanterade nycklar för ett nytt lagringskonto måste du ange en användartilldelad hanterad identitet. Ett befintligt lagringskonto stöder användning av antingen en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet för att konfigurera kundhanterade nycklar.
När du konfigurerar kundhanterade nycklar med en användartilldelad hanterad identitet används den användartilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Du måste skapa den användartilldelade identiteten innan du konfigurerar kundhanterade nycklar.
En användartilldelad hanterad identitet är en fristående Azure-resurs. Mer information om användartilldelade hanterade identiteter finns i Hanterade identitetstyper. Information om hur du skapar och hanterar en användartilldelad hanterad identitet finns i Hantera användartilldelade hanterade identiteter.
Den användartilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela rollen Kryptokrypteringsanvändare för Key Vault till den användartilldelade hanterade identiteten med key vault-omfånget för att bevilja dessa behörigheter.
Innan du kan konfigurera kundhanterade nycklar med en användartilldelad hanterad identitet måste du tilldela rollen krypteringsanvändare för Key Vault Crypto Service till den användartilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger den användartilldelade hanterade identiteten behörighet att komma åt nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure-portalen finns i Tilldela Azure-roller med hjälp av Azure-portalen.
När du konfigurerar kundhanterade nycklar med Azure-portalen kan du välja en befintlig användartilldelad identitet via portalens användargränssnitt.
Använda en systemtilldelad hanterad identitet för att auktorisera åtkomst
En systemtilldelad hanterad identitet är associerad med en instans av en Azure-tjänst, i det här fallet ett Azure Storage-konto. Du måste uttryckligen tilldela en systemtilldelad hanterad identitet till ett lagringskonto innan du kan använda den systemtilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller din kundhanterade nyckel.
Endast befintliga lagringskonton kan använda en systemtilldelad identitet för att auktorisera åtkomst till nyckelvalvet. Nya lagringskonton måste använda en användartilldelad identitet om kundhanterade nycklar konfigureras när kontot skapas.
Den systemtilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Tilldela key vault-krypteringstjänstens användarroll till den systemtilldelade hanterade identiteten med nyckelvalvsomfånget för att bevilja dessa behörigheter.
Innan du kan konfigurera kundhanterade nycklar med en systemtilldelad hanterad identitet måste du tilldela rollen Key Vault Crypto Service Encryption User till den systemtilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Den här rollen ger systemtilldelade hanterade identitetsbehörigheter för åtkomst till nyckeln i nyckelvalvet. Mer information om hur du tilldelar Azure RBAC-roller med Azure-portalen finns i Tilldela Azure-roller med hjälp av Azure-portalen.
När du konfigurerar kundhanterade nycklar med Azure-portalen med en systemtilldelad hanterad identitet tilldelas den systemtilldelade hanterade identiteten till lagringskontot åt dig under täcket.
Konfigurera kundhanterade nycklar för ett befintligt konto
När du konfigurerar kryptering med kundhanterade nycklar för ett befintligt lagringskonto kan du välja att automatiskt uppdatera den nyckelversion som används för Azure Storage-kryptering när en ny version är tillgänglig i det associerade nyckelvalvet. Alternativt kan du uttryckligen ange en nyckelversion som ska användas för kryptering tills nyckelversionen uppdateras manuellt.
När nyckelversionen ändras, antingen automatiskt eller manuellt, ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir krypterade hela tiden. Det krävs ingen ytterligare åtgärd från din sida för att säkerställa att dina data skyddas. Att rotering av nyckelversionen påverkar inte prestanda. Det finns ingen stilleståndstid som är associerad med att rotera nyckelversionen.
Du kan använda antingen en systemtilldelad eller användartilldelad hanterad identitet för att auktorisera åtkomst till nyckelvalvet när du konfigurerar kundhanterade nycklar för ett befintligt lagringskonto.
Kommentar
Om du vill rotera en nyckel skapar du en ny version av nyckeln i Azure Key Vault. Azure Storage hanterar inte nyckelrotation, så du måste hantera rotation av nyckeln i nyckelvalvet. Du kan konfigurera automatisk rotation av nycklar i Azure Key Vault eller rotera nyckeln manuellt.
Konfigurera kryptering för automatisk uppdatering av nyckelversioner
Azure Storage kan automatiskt uppdatera den kundhanterade nyckel som används för kryptering för att använda den senaste nyckelversionen från nyckelvalvet. Azure Storage kontrollerar nyckelvalvet dagligen efter en ny version av nyckeln. När en ny version blir tillgänglig börjar Azure Storage automatiskt använda den senaste versionen av nyckeln för kryptering.
Viktigt!
Azure Storage kontrollerar nyckelvalvet efter en ny nyckelversion bara en gång dagligen. När du roterar en nyckel måste du vänta 24 timmar innan du inaktiverar den äldre versionen.
Följ stegen nedan för att konfigurera kundhanterade nycklar för ett befintligt konto med automatisk uppdatering av nyckelversionen i Azure-portalen:
Navigera till ditt lagringskonto.
Under Säkerhet + nätverk väljer du Kryptering. Som standard är nyckelhantering inställt på Microsoft-hanterade nycklar enligt bilden nedan:
Välj alternativet Kundhanterade nycklar. Om kontot tidigare har konfigurerats för kundhanterade nycklar med manuell uppdatering av nyckelversionen väljer du Ändra nyckel längst ned på sidan.
Välj alternativet Välj från Key Vault.
Välj Välj ett nyckelvalv och en nyckel.
Välj nyckelvalvet som innehåller den nyckel som du vill använda. Du kan också skapa ett nytt nyckelvalv.
Välj nyckeln från nyckelvalvet. Du kan också skapa en ny nyckel.
Välj den typ av identitet som ska användas för att autentisera åtkomsten till nyckelvalvet. Alternativen är Systemtilldelade (standard) eller Användartilldelade. Mer information om varje typ av hanterad identitet finns i Hanterade identitetstyper.
- Om du väljer Systemtilldelad skapas den systemtilldelade hanterade identiteten för lagringskontot under täcket, om den inte redan finns.
- Om du väljer Användartilldelad måste du välja en befintlig användartilldelad identitet som har behörighet att komma åt nyckelvalvet. Information om hur du skapar en användartilldelad identitet finns i Hantera användartilldelade hanterade identiteter.
Spara dina ändringar.
När du har angett nyckeln anger Azure-portalen att automatisk uppdatering av nyckelversionen är aktiverad och visar den nyckelversion som för närvarande används för kryptering. Portalen visar också den typ av hanterad identitet som används för att auktorisera åtkomst till nyckelvalvet och huvud-ID:t för den hanterade identiteten.
Konfigurera kryptering för manuell uppdatering av nyckelversioner
Om du föredrar att uppdatera nyckelversionen manuellt anger du uttryckligen den version som du konfigurerar kryptering med kundhanterade nycklar. I det här fallet uppdaterar Azure Storage inte nyckelversionen automatiskt när en ny version skapas i nyckelvalvet. Om du vill använda en ny nyckelversion måste du manuellt uppdatera den version som används för Azure Storage-kryptering.
Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen i Azure-portalen anger du nyckel-URI:n, inklusive versionen. Följ dessa steg för att ange en nyckel som en URI:
Om du vill hitta nyckel-URI:n i Azure-portalen går du till nyckelvalvet och väljer inställningen Nycklar . Välj önskad nyckel och välj sedan nyckeln för att visa dess versioner. Välj en nyckelversion för att visa inställningarna för den versionen.
Kopiera värdet för fältet Nyckelidentifierare , som tillhandahåller URI:n.
I inställningarna för krypteringsnyckeln för ditt lagringskonto väljer du alternativet Ange nyckel-URI.
Klistra in den URI som du kopierade till nyckel-URI-fältet. Utelämna nyckelversionen från URI:n för att aktivera automatisk uppdatering av nyckelversionen.
Ange den prenumeration som innehåller nyckelvalvet.
Ange antingen en systemtilldelad eller användartilldelad hanterad identitet.
Spara dina ändringar.
Ändra nyckeln
Du kan när som helst ändra den nyckel som du använder för Azure Storage-kryptering.
Kommentar
När du ändrar nyckel- eller nyckelversionen ändras skyddet av rotkrypteringsnyckeln, men data i ditt Azure Storage-konto förblir krypterade hela tiden. För din del krävs ingen ytterligare åtgärd för att säkerställa att dina data är skyddade. Att ändra nyckeln eller rotera nyckelversionen påverkar inte prestandan. Det finns ingen stilleståndstid som är associerad med att ändra nyckeln eller rotera nyckelversionen.
Följ dessa steg för att ändra nyckeln med Azure-portalen:
- Gå till ditt lagringskonto och visa krypteringsinställningarna.
- Välj nyckelvalvet och välj en ny nyckel.
- Spara dina ändringar.
Om den nya nyckeln finns i ett annat nyckelvalv måste du ge den hanterade identiteten åtkomst till nyckeln i det nya valvet. Om du väljer manuell uppdatering av nyckelversionen måste du också uppdatera nyckelvalvets URI.
Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar
Om du tillfälligt vill återkalla åtkomsten till ett lagringskonto som använder kundhanterade nycklar inaktiverar du den nyckel som för närvarande används i nyckelvalvet. Det finns ingen prestandapåverkan eller stilleståndstid som är associerad med inaktivering och återaktivering av nyckeln.
När nyckeln har inaktiverats kan klienter inte anropa åtgärder som läser från eller skriver till en blob eller dess metadata. Information om vilka åtgärder som misslyckas finns i Återkalla åtkomst till ett lagringskonto som använder kundhanterade nycklar.
Varning
När du inaktiverar nyckeln i nyckelvalvet förblir data i ditt Azure Storage-konto krypterade, men de blir otillgängliga tills du kan hämta nyckeln igen.
Så här inaktiverar du en kundhanterad nyckel med Azure-portalen:
Gå till nyckelvalvet som innehåller nyckeln.
Under Objekt väljer du Nycklar.
Högerklicka på nyckeln och välj Inaktivera.
Växla tillbaka till Microsoft-hanterade nycklar
Du kan när som helst växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar med hjälp av Azure-portalen, PowerShell eller Azure CLI.
Följ dessa steg om du vill växla från kundhanterade nycklar tillbaka till Microsoft-hanterade nycklar i Azure-portalen:
Navigera till ditt lagringskonto.
Under Säkerhet + nätverk väljer du Kryptering.
Ändra krypteringstyp till Microsoft-hanterade nycklar.