Översikt över kundhanterade nycklar

Azure Container Registry krypterar automatiskt bilder och andra artefakter som du lagrar. Som standard krypterar Azure automatiskt registerinnehållet i vila med hjälp av tjänsthanterade nycklar. Genom att använda en kundhanterad nyckel kan du komplettera standardkryptering med ytterligare ett krypteringslager.

Den här artikeln är del ett i en självstudieserie i fyra delar. I självstudien beskrivs:

• Översikt över kundhanterade nycklar
• Aktivera en kundhanterad nyckel
• Rotera och återkalla en kundhanterad nyckel
• Felsöka en kundhanterad nyckel

Om kundhanterade nycklar

En kundhanterad nyckel ger dig ägarskapet för att ta med din egen nyckel i Azure Key Vault. När du aktiverar en kundhanterad nyckel kan du hantera dess rotationer, kontrollera åtkomsten och behörigheterna för att använda den och granska dess användning.

Viktiga funktioner omfattar bland annat:

• Regelefterlevnad: Azure krypterar automatiskt registerinnehåll i vila med tjänsthanterade nycklar, men kundhanterad nyckelkryptering hjälper dig att uppfylla riktlinjerna för regelefterlevnad.

• Integrering med Azure Key Vault: Kundhanterade nycklar stöder kryptering på serversidan via integrering med Azure Key Vault. Med kundhanterade nycklar kan du skapa egna krypteringsnycklar och lagra dem i ett nyckelvalv. Du kan också använda Azure Key Vault-API:er för att generera nycklar.

• Nyckellivscykelhantering: Genom att integrera kundhanterade nycklar med Azure Key Vault får du fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.

Innan du aktiverar en kundhanterad nyckel

Innan du konfigurerar Azure Container Registry med en kundhanterad nyckel bör du tänka på följande information:

• Den här funktionen är tillgänglig på Premium-tjänstnivån för ett containerregister. Mer information finns i Azure Container Registry-tjänstnivåer (ACR).
• Du kan för närvarande bara aktivera en kundhanterad nyckel när du skapar ett register.
• Du kan inte inaktivera krypteringen när du har aktiverat en kundhanterad nyckel i ett register.
• Du måste konfigurera en användartilldelad hanterad identitet för åtkomst till nyckelvalvet. Senare, om det behövs, kan du aktivera registrets systemtilldelade hanterade identitet för åtkomst till nyckelvalvet.
• Azure Container Registry stöder endast RSA- eller RSA-HSM-nycklar. Elliptiska kurvtangenter stöds inte för närvarande.
• I ett register som är krypterat med en kundhanterad nyckel kan du behålla loggar för Azure Container Registry uppgifter i endast 24 timmar. Information om hur du behåller loggar under en längre period finns i Visa och hantera aktivitetskörningsloggar.
• Innehållsförtroende stöds för närvarande inte i ett register som är krypterat med en kundhanterad nyckel.

Uppdatera den kundhanterade nyckelversionen

Azure Container Registry stöder både automatisk och manuell rotation av registerkrypteringsnycklar när en ny nyckelversion är tillgänglig i Azure Key Vault.

Viktigt

Det är ett viktigt säkerhetsövervägande för ett register med kundhanterad nyckelkryptering för att ofta uppdatera (rotera) nyckelversionerna. Följ organisationens efterlevnadsprinciper för att regelbundet uppdatera nyckelversioner medan du lagrar en kundhanterad nyckel i Azure Key Vault.

• Uppdatera nyckelversionen automatiskt: När ett register krypteras med en icke-versionsbaserad nyckel kontrollerar Azure Container Registry regelbundet nyckelvalvet efter en ny nyckelversion och uppdaterar den kundhanterade nyckeln inom en timme. Vi föreslår att du utelämnar nyckelversionen när du aktiverar registerkryptering med en kundhanterad nyckel. Azure Container Registry använder och uppdaterar sedan den senaste nyckelversionen automatiskt.

• Uppdatera nyckelversionen manuellt: När ett register krypteras med en specifik nyckelversion använder Azure Container Registry den versionen för kryptering tills du roterar den kundhanterade nyckeln manuellt. Vi rekommenderar att du anger nyckelversionen när du aktiverar registerkryptering med en kundhanterad nyckel. Azure Container Registry använder sedan en specifik version av en nyckel för registerkryptering.

Mer information finns i Nyckelrotation och Uppdateringsnyckelversion.

Nästa steg

• Om du vill aktivera containerregistret med en kundhanterad nyckel med hjälp av Azure CLI, Azure Portal eller en Azure Resource Manager-mall går du vidare till nästa artikel: Aktivera en kundhanterad nyckel.
• Läs mer om kryptering i vila i Azure.
• Läs mer om åtkomstprinciper och hur du skyddar åtkomsten till ett nyckelvalv.