Konfigurera automatisk nyckelrotation i Azure Managed HSM
Översikt
Kommentar
Automatisk nyckelrotation kräver Azure CLI version 2.42.0 eller senare.
Med automatiserad nyckelrotation i Managed HSM kan användare konfigurera Hanterad HSM för att automatiskt generera en ny nyckelversion med en angiven frekvens. Du kan ange en rotationsprincip för att konfigurera rotation för varje enskild nyckel och eventuellt rotera nycklar på begäran. Vi rekommenderar att du roterar krypteringsnycklar minst vartannat år (bästa praxis). Ytterligare vägledning och rekommendationer finns i NIST SP 800-57 Del 1.
Den här funktionen möjliggör nolltouch-rotation från slutpunkt till slutpunkt för kryptering i vila för Azure-tjänster med kundhanterade nycklar (CMK) som lagras i Azure Managed HSM. Se specifik dokumentation om Azure-tjänsten för att se om tjänsten omfattar rotation från slutpunkt till slutpunkt.
Prissättning
Hanterad HSM-nyckelrotation erbjuds utan extra kostnad. Mer information om priser för hanterad HSM finns på sidan med priser för Azure Key Vault
Varning
Hanterad HSM har en gräns på 100 versioner per nyckel. Nyckelversioner som skapats som en del av antalet automatiska eller manuella rotationer mot den här gränsen.
Behörigheter som krävs
Att rotera en nyckel eller ange en nyckelrotationsprincip kräver specifika behörigheter för nyckelhantering. Du kan tilldela rollen "Hanterad HSM-kryptoanvändare" för att få tillräcklig behörighet för att hantera rotationsprincip och rotation på begäran.
Mer information om hur du konfigurerar lokala RBAC-behörigheter för Hanterad HSM finns i: Hanterad HSM-rollhantering
Kommentar
Om du anger en rotationsprincip krävs behörigheten "Nyckelskrivning". Om du roterar en nyckel på begäran krävs "Rotation"-behörigheter. Båda ingår i den inbyggda rollen "Hanterad HSM-kryptoanvändare"
Princip för nyckelrotation
Med nyckelrotationsprincipen kan användarna konfigurera rotationsintervall och ange förfallointervallet för roterade nycklar. Den måste anges innan nycklar kan roteras på begäran.
Kommentar
Hanterad HSM stöder inte Event Grid-meddelanden
Principinställningar för nyckelrotation:
- Förfallotid: nyckel förfallointervall (minst 28 dagar). Den används för att ange förfallodatum för en nyligen roterad nyckel (t.ex. efter rotation är den nya nyckeln inställd på att upphöra att gälla om 30 dagar).
- Rotationstyper:
- Förnya automatiskt vid en viss tidpunkt efter skapandet
- Förnya automatiskt vid en viss tidpunkt innan den upphör att gälla. Förfallodatum måste anges på nyckeln för att händelsen ska utlösas.
Varning
En automatisk rotationsprincip kan inte kräva att nya nyckelversioner skapas oftare än en gång var 28:e dag. För skapandebaserade rotationsprinciper innebär det att det minsta värdet för timeAfterCreate är P28D. För förfallobaserade rotationsprinciper beror det maximala värdet för timeBeforeExpiry på expiryTime. Om är timeBeforeExpiry P56D, kan till exempel expiryTime vara högst P28D.
Konfigurera en princip för nyckelrotation
Azure CLI
Skriv en nyckelrotationsprincip och spara den i en fil. Använd ISO8601 Varaktighetsformat för att ange tidsintervall. Några exempelprinciper finns i nästa avsnitt. Använd följande kommando för att tillämpa principen på en nyckel.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Exempelprinciper
Rotera nyckeln 18 månader efter skapandet och ange att den nya nyckeln ska upphöra att gälla efter två år.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Rotera nyckeln 28 dagar före förfallodatum och ange att den nya nyckeln ska upphöra att gälla efter ett år.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Ta bort nyckelroteringsprincipen (görs genom att ange en tom princip)
{
"lifetimeActions": [],
"attributes": {}
}
Rotation på begäran
När en rotationsprincip har angetts för nyckeln kan du också rotera nyckeln på begäran. Du måste ange en princip för nyckelrotation först.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>