Kundhanterade nycklar (CMK) för Microsoft Foundry

Anmärkning

Det här dokumentet refererar till Microsoft Foundry-portalen (klassisk).

🔄 Växla till dokumentationen för Microsoft Foundry (ny) om du använder den nya portalen.

Tips/Råd

En alternativ hubbfokuserad CMK-artikel finns tillgänglig: Kundhanterade nycklar för hubbprojekt.

Med kundhanterad nyckelkryptering (CMK) i Microsoft Foundry får du kontroll över krypteringen av dina data. Använd CMK:er för att lägga till ett extra skyddslager och uppfylla efterlevnadskraven med Azure Key Vault-integrering.

Microsoft Foundry tillhandahåller robusta krypteringsfunktioner, inklusive möjligheten att använda kundhanterade nycklar (CMK:er) som lagras i Azure Key Vault för att skydda känsliga data. Den här artikeln beskriver begreppet kryptering med CMK:er och ger stegvis vägledning för att konfigurera CMK med Hjälp av Azure Key Vault. I den beskrivs även krypteringsmodeller och åtkomstkontrollmetoder som Azure Role-Based Access Control (RBAC) och Åtkomstprinciper för valv, vilket säkerställer kompatibilitet med systemtilldelade hanterade identiteter. Stöd för användartilldelade hanterade identiteter (UAI) är för närvarande endast tillgängligt via Bicep-mallar.

Varför ska jag använda kundhanterade nycklar?

Med CMK får du fullständig kontroll över krypteringsnycklar, vilket ger förbättrat skydd för känsliga data och hjälper dig att uppfylla efterlevnadskraven. De viktigaste fördelarna med att använda CMK:er är:

• Att använda dina egna nycklar för att kryptera data i vila.

• Integrering med organisationens säkerhets- och efterlevnadsprinciper.

• Möjligheten att rotera eller återkalla nycklar för förbättrad kontroll över åtkomst till krypterade data.

Microsoft Foundry stöder kryptering med dina CMK:er som lagras i Azure Key Vault och utnyttjar branschledande säkerhetsfunktioner.

Förutsättningar

Om du vill konfigurera CMK för Microsoft Foundry kontrollerar du att följande krav uppfylls:

1. Azure-prenumeration:
   Du behöver en aktiv Azure-prenumeration för att skapa och hantera Azure-resurser.

2. Azure Key Vault:

   • Du behöver ett befintligt Azure Key Vault för att lagra dina nycklar.
   • Du måste distribuera Key Vault och Microsoft Foundry-resursen i samma Azure-region.
   • Följ den här guiden för att skapa ett Key Vault: Snabbstart: Skapa ett nyckelvalv med Azure-portalen.

3. Konfiguration av hanterad identitet:

   • Systemtilldelad hanterad identitet: Kontrollera att din Microsoft Foundry-resurs har aktiverat en systemtilldelad hanterad identitet.
   • Användartilldelad hanterad identitet: Stöd för UAI är för närvarande endast tillgängligt via Bicep-mallar. Se Bicep-mallexemplet: GitHub-lagringsplats: Customer-Managed Nycklar med Användartilldelad identitet.

4. Key Vault-behörigheter:

   • Om du använder Azure RBAC tilldelar du Key Vault Crypto User-rollen till den hanterade identiteten.
   • Om du använder valvåtkomstpolicyer, bevilja nyckelspecifika behörigheter till den hanterade identiteten, såsom packa upp nyckel och slå in nyckel.

Regional tillgänglighetsanteckning (UAI för CMK)

Stöd för Customer-Managed nycklar (CMK) med User-Assigned hanterade identiteter (UAI) är för närvarande tillgängligt i alla Azure-regioner förutom i följande regioner:

• USA:
  westus, centralus, southcentralus, westus2
• Europa:
  Västeuropa, Storbritannien väst, Schweiz väst, Tyskland västcentrala, Frankrike centrala, Danmark öst, Polen centrala, Sverige centrala, Norge öst
• Asien och Stillahavsområdet:
  taiwannorthwest, australasia (australienöst, nya zeelands norr), sydostasien, japans öst, koreacentral, indonesiacentral, malaysia väst, central indien
• Mellanöstern:
  israelcentral, qatarcentral
• Afrika:
  Sydafrika Nord
• Kanada:
  Kanada Öst
• Latinamerika:
  mexicocentral
• Azure Kina:
  Kina Öst, Kina Öst 2, Kina Norr, Kina Norr 2

• Azure US Government:
  US-regeringen Virginia, US-regeringen Arizona, US-regeringen Texas, US-regeringen Iowa

Innan du konfigurerar CMK med UAI måste du distribuera dina resurser i en region som stöds. Mer information om regional support för Microsoft Foundry-funktioner finns i Microsoft Foundry-funktionstillgänglighet i molnregioner .

Steg för att konfigurera CMK

Steg 1. Skapa eller importera en nyckel i Azure Key Vault

Du lagrar kundhanterade nycklar (CMK) i Azure Key Vault. Du kan antingen generera en ny nyckel i Nyckelvalvet eller importera en befintlig nyckel. Följ stegen i följande avsnitt:

Generera en nyckel

1. Gå till Azure Key Vault i Azure-portalen.

2. Under Inställningar väljer du Nycklar.

3. Välj + Generera/importera.

4. Ange ett nyckelnamn, välj nyckeltypen (till exempel RSA eller HSM-backad) och konfigurera nyckelstorlek och information om förfallodatum.

5. Välj Skapa för att spara den nya nyckeln.

   Mer information finns i Skapa och hantera nycklar i Azure Key Vault.

Importera en nyckel

1. Gå till avsnittet Nycklar i ditt Key Vault.
2. Välj + Generera/importera och välj alternativet Importera .
3. Ladda upp nyckelmaterialet och ange nödvändig information om nyckelkonfigurationen.
4. Följ anvisningarna för att slutföra importprocessen.

Steg 2. Bevilja Key Vault-behörigheter till hanterade identiteter

Konfigurera lämpliga behörigheter för den systemtilldelade eller användartilldelade hanterade identiteten för åtkomst till Key Vault.

Systemtilldelad hanterad identitet

1. Gå till Key Vault i Azure-portalen.
2. Välj Access Control (IAM).
3. Välj + Lägg till rolltilldelning.
4. Tilldela key vault crypto-användarrollen till den systemtilldelade hanterade identiteten för Microsoft Foundry-resursen .

Användartilldelad hanterad identitet

Anmärkning

Se GitHub-arkivet: Nycklar hanterade av kunden med användartilldelad identitet.

1. Använd de angivna Bicep-mallarna för att distribuera en användartilldelad identitet och konfigurera Key Vault-behörigheter.

2. Efter distributionen bekräftar du att den användartilldelade identiteten har lämpliga roller (till exempel Key Vault Crypto Officer) eller behörigheter för Key Vault.

Steg 3. Aktivera CMK i Microsoft Foundry

1. Öppna Microsoft Foundry-resursen i Azure-portalen.
2. Gå till avsnittet Krypteringsinställningar .
3. Välj Kundhanterade nycklar som krypteringstyp.
4. Ange Key Vault-URL:en och nyckelnamnet.
5. Om du använder Användartilldelad hanterad identitet ska du kontrollera att distributionen via Bicep-mallar är klar eftersom identiteten och tillhörande behörigheter redan har konfigurerats.

Åtkomstdesign för Key Vault: Azure RBAC jämfört med åtkomstprinciper för valv

Azure Key Vault har stöd för två modeller för att hantera åtkomstbehörigheter:

1. Azure RBAC (rekommenderas):
   • Ger centraliserad åtkomstkontroll med hjälp av Azure AD-roller.
   • Förenklar behörighetshantering för resurser i Hela Azure.
   • Använd Key Vault Crypto User-rollen.
2. Åtkomstprinciper för valv:
   • Tillåter detaljerad åtkomstkontroll som är specifik för Key Vault-resurser.
   • Lämplig för konfigurationer där äldre eller isolerade behörighetsinställningar krävs.

Välj den modell som överensstämmer med organisationens krav.

Övervaka och rotera nycklar

Implementera följande metoder för att upprätthålla optimal säkerhet och efterlevnad:

1. Aktivera Key Vault-diagnostik:
   Övervaka nyckelanvändning och åtkomstaktivitet genom att aktivera diagnostikloggning i Azure Monitor eller Log Analytics.
2. Rotera nycklar regelbundet:
   Skapa regelbundet en ny version av din nyckel i Azure Key Vault.
   Uppdatera Microsoft Foundry-resursen för att referera till den senaste nyckelversionen i krypteringsinställningarna.

Relaterat innehåll

• Dokumentation om Azure Key Vault
• GitHub Bicep Exempel: Kundhanterade nycklar med UAI
• Översikt över azure-hanterade identiteter