Hantera kundhanterade nycklar för Azure Elastic SAN
Alla data som skrivs till en elastisk SAN-volym krypteras automatiskt i vila med en datakrypteringsnyckel (DEK). Azure DEK:er är alltid plattformshanterade (hanteras av Microsoft). Azure använder kuvertkryptering, även kallat omslutning, vilket innebär att du använder en nyckelkrypteringsnyckel (KEK) för att kryptera DEK. Som standard är KEK plattformshanterad, men du kan skapa och hantera din egen KEK. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller och kan hjälpa dig att uppfylla organisationens säkerhets- och efterlevnadskrav.
Du styr alla aspekter av dina nyckelkrypteringsnycklar, inklusive:
- Vilken nyckel används
- Var dina nycklar lagras
- Så roteras nycklarna
- Möjligheten att växla mellan kundhanterade och plattformshanterade nycklar
Den här artikeln beskriver hur du hanterar kundhanterade KEK:er.
Kommentar
Med kuvertkryptering kan du ändra nyckelkonfigurationen utan att påverka dina elastiska SAN-volymer. När du gör en ändring krypterar Elastic SAN-tjänsten om datakrypteringsnycklarna med de nya nycklarna. Skyddet av datakrypteringsnyckeln ändras, men data i dina elastiska SAN-volymer förblir alltid krypterade. För din del krävs ingen ytterligare åtgärd för att säkerställa att dina data är skyddade. Att ändra nyckelkonfigurationen påverkar inte prestanda och det finns ingen stilleståndstid som är kopplad till en sådan ändring.
Begränsningar
Följande lista innehåller de regioner som Elastic SAN för närvarande är tillgängligt i, och vilka regioner som stöder både zonredundant lagring (ZRS) och lokalt redundant lagring (LRS) eller endast LRS:
- Sydafrika, norra – LRS
- Asien, östra – LRS
- Sydostasien - LRS
- Södra Brasilien - LRS
- Kanada, centrala – LRS
- Frankrike, centrala – LRS och ZRS
- Tyskland, västra centrala – LRS
- Australien, östra – LRS
- Europa, norra – LRS och ZRS
- Europa, västra - LRS och ZRS
- Storbritannien, södra - LRS
- Japan, östra – LRS
- Korea Central – LRS
- USA, centrala – LRS
- USA, östra – LRS
- USA, södra centrala – LRS
- USA, östra 2 – LRS
- USA, västra 2 – LRS och ZRS
- USA, västra 3 – LRS
- Sverige, centrala – LRS
- Schweiz, norra – LRS
- Norge, östra – LRS
- Förenade Arabemiraten, norra – LRS
- Indien, centrala – LRS
Ändra nyckeln
Du kan när som helst ändra nyckeln som du använder för Azure Elastic SAN-kryptering.
Om du vill ändra nyckeln med PowerShell anropar du Update-AzElasticSanVolumeGroup och anger det nya nyckelnamnet och den nya versionen. Om den nya nyckeln finns i ett annat nyckelvalv måste du även uppdatera nyckelvalvets URI.
Om den nya nyckeln finns i ett annat nyckelvalv måste du ge den hanterade identiteten åtkomst till nyckeln i det nya valvet. Om du väljer manuell uppdatering av nyckelversionen måste du också uppdatera nyckelvalvets URI.
Uppdatera nyckelversionen
Följande metodtips för kryptografi innebär att rotera nyckeln som skyddar din elastiska SAN-volymgrupp enligt ett regelbundet schema, vanligtvis minst vartannat år. Azure Elastic SAN ändrar aldrig nyckeln i nyckelvalvet, men du kan konfigurera en princip för nyckelrotation för att rotera nyckeln enligt dina efterlevnadskrav. Mer information finns i Konfigurera automatisk rotation av kryptografiska nycklar i Azure Key Vault.
När nyckeln har roterats i nyckelvalvet måste den kundhanterade KEK-konfigurationen för din elastiska SAN-volymgrupp uppdateras för att använda den nya nyckelversionen. Kundhanterade nycklar stöder både automatisk och manuell uppdatering av KEK-versionen. Du kan bestämma vilken metod du vill använda när du först konfigurerar kundhanterade nycklar eller när du uppdaterar konfigurationen.
När du ändrar nyckeln eller nyckelversionen ändras skyddet av rotkrypteringsnyckeln, men data i azure elastic SAN-volymgruppen förblir krypterade hela tiden. Det krävs ingen extra åtgärd från din sida för att säkerställa att dina data skyddas. Att rotera nyckelversionen påverkar inte prestanda och det finns ingen stilleståndstid som är associerad med att rotera nyckelversionen.
Viktigt!
Om du vill rotera en nyckel skapar du en ny version av nyckeln i nyckelvalvet enligt dina efterlevnadskrav. Azure Elastic SAN hanterar inte nyckelrotation, så du måste hantera rotation av nyckeln i nyckelvalvet.
När du roterar nyckeln som används för kundhanterade nycklar loggas inte den åtgärden för närvarande i Azure Monitor-loggarna för Azure Elastic SAN.
Uppdatera nyckelversionen automatiskt
Om du vill uppdatera en kundhanterad nyckel automatiskt när en ny version är tillgänglig utelämnar du nyckelversionen när du aktiverar kryptering med kundhanterade nycklar för volymgruppen Elastic SAN. Om nyckelversionen utelämnas kontrollerar Azure Elastic SAN dagligen nyckelvalvet efter en ny version av en kundhanterad nyckel. Om en ny nyckelversion är tillgänglig använder Azure Elastic SAN automatiskt den senaste versionen av nyckeln.
Azure Elastic SAN kontrollerar nyckelvalvet efter en ny nyckelversion bara en gång dagligen. När du roterar en nyckel måste du vänta 24 timmar innan du inaktiverar den äldre versionen.
Om den elastiska SAN-volymgruppen tidigare har konfigurerats för manuell uppdatering av nyckelversionen och du vill ändra den så att den uppdateras automatiskt kan du behöva ändra nyckelversionen till en tom sträng. Mer information om hur du gör detta finns i Manuell nyckelversionsrotation.
Uppdatera nyckelversionen manuellt
Om du vill använda en specifik version av en nyckel för Azure Elastic SAN-kryptering anger du den nyckelversionen när du aktiverar kryptering med kundhanterade nycklar för den elastiska SAN-volymgruppen. Om du anger nyckelversionen använder Azure Elastic SAN den versionen för kryptering tills du uppdaterar nyckelversionen manuellt.
När nyckelversionen uttryckligen anges måste du manuellt uppdatera den elastiska SAN-volymgruppen för att använda den nya nyckelversions-URI:n när en ny version skapas. Information om hur du uppdaterar den elastiska SAN-volymgruppen för att använda en ny version av nyckeln finns i Konfigurera kryptering med kundhanterade nycklar som lagras i Azure Key Vault.
Återkalla åtkomst till en volymgrupp som använder kundhanterade nycklar
Om du tillfälligt vill återkalla åtkomsten till en elastisk SAN-volymgrupp som använder kundhanterade nycklar inaktiverar du den nyckel som för närvarande används i nyckelvalvet. Det finns ingen prestandapåverkan eller stilleståndstid som är associerad med inaktivering och återaktivering av nyckeln.
När nyckeln har inaktiverats kan klienter inte anropa åtgärder som läser från eller skriver till volymer i volymgruppen eller deras metadata.
Varning
När du inaktiverar nyckeln i nyckelvalvet förblir data i din Azure Elastic SAN-volymgrupp krypterade, men de blir otillgängliga tills du kan återanvända nyckeln.
Om du vill återkalla en kundhanterad nyckel med PowerShell anropar du kommandot Update-AzKeyVaultKey enligt följande exempel. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden för att definiera variablerna, eller använd variablerna som definierats i föregående exempel.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Växla tillbaka till plattformshanterade nycklar
Du kan när som helst växla från kundhanterade nycklar tillbaka till plattformshanterade nycklar med hjälp av Azure PowerShell-modulen eller Azure CLI.
Om du vill växla från kundhanterade nycklar tillbaka till plattformshanterade nycklar med PowerShell anropar du Update-AzElasticSanVolumeGroup med -Encryption alternativet , som du ser i följande exempel. Kom ihåg att ersätta platshållarvärdena med dina egna värden och att använda variablerna som definierats i föregående exempel.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey