Aracılığıyla paylaş

Azure Key Vault'ta şifreleme anahtarını otomatik döndürmeyi yapılandırma

Genel Bakış

Key Vault'ta otomatik şifreleme anahtarı döndürme, kullanıcıların Key Vault'un belirtilen sıklıkta otomatik olarak yeni bir anahtar sürümü oluşturacak şekilde yapılandırılmasını sağlar. Döndürmeyi yapılandırmak için, tek tek her anahtarda tanımlanabilen bir anahtar döndürme ilkesi kullanabilirsiniz.

En iyi şifreleme yöntemlerini izlemek için en azından iki yılda bir şifreleme anahtarlarının döndürülmesini öneririz.

Key Vault'taki nesnelerin sürümünü oluşturma hakkında daha fazla bilgi için bkz. Key Vault nesneleri, tanımlayıcıları ve sürüm oluşturma. Azure Key Vault'taki farklı varlık türleri arasında otomatik döndürme kavramlarını kapsamlı bir şekilde anlamak için bkz. Azure Key Vault'ta otomatik döndürmeyi anlama.

Azure hizmetleriyle tümleştirme

Bu özellik, Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtar (CMK) ile Azure hizmetleri için durağan halde şifreleme için uçtan uca sıfır dokunuşla yenilemeyi etkinleştirir. Belirli bir Azure hizmetinin uçtan uca döndürmeyi kapsayıp kapsamadığını görmek için o hizmetin belgelerine bakın.

Azure'da veri şifreleme hakkında daha fazla bilgi için bkz:

Fiyatlandırma

Zamanlanmış her anahtar döndürme işleminin ek bir maliyeti vardır. Daha fazla bilgi için bkz. Azure Key Vault fiyatlandırma sayfası

Gerekli izinler

Key Vault anahtar döndürme özelliği için anahtar yönetimi izinleri gerekir. Döndürme ilkesini ve isteğe bağlı döndürmeyi yönetmek için bir "Key Vault Şifreleme Yetkilisi" rolü atayabilirsiniz.

Key Vault RBAC izin modelini kullanma ve Azure rolleri atama hakkında daha fazla bilgi için bkz. Anahtarlara, sertifikalara ve gizli dizilere erişimi denetlemek için Azure RBAC kullanma

Uyarı

Erişim ilkeleri izin modeli kullanıyorsanız anahtarlarda döndürme ilkesini yönetmek için 'Döndürme', 'Döndürme İlkesiNi Ayarla' ve 'Döndürme İlkesini Al' anahtar izinlerini ayarlamanız gerekir.

Anahtar döndürme ilkesi

Anahtar döndürme ilkesi, kullanıcıların süre sonu bildirimine yakın döndürme ve Event Grid bildirimlerini yapılandırmasına olanak tanır.

Anahtar döndürme ilkesi ayarları:

  • Süre sonu süresi: anahtar süre sonu aralığı. Yeni döndürülen anahtarın geçerlilik tarihini ayarlamak için kullanılır. Geçerli bir anahtarı etkilemez.
  • Etkin/devre dışı: Anahtar için döndürmeyi etkinleştiren veya devre dışı bırakan işaret.
  • Döndürme türleri:
    • Oluşturulduktan sonra belirli bir zamanda otomatik olarak yenile (varsayılan)
    • Süre dolmadan önce belirli bir zamanda otomatik olarak yenilenir. Döndürme ilkesinde 'Süre Sonu Zamanı' ve anahtarda ayarlanmış 'Süre Sonu Tarihi' gerektirir.
  • Döndürme süresi: anahtar döndürme aralığı, minimum değer oluşturulduktan sonra yedi gün ile son kullanma tarihinden itibaren yedi gündür.
  • Bildirim süresi: Event Grid bildirimi için süresi dolmak üzere olan anahtar etkinlik aralığı. Döndürme ilkesinde 'Süre Sonu Zamanı' ve anahtarda ayarlanmış 'Süre Sonu Tarihi' gerektirir.

Önemli

Anahtar döndürme, yeni anahtar malzemesiyle mevcut anahtarın yeni bir anahtar sürümünü oluşturur. Hedef hizmetler, anahtarın en son sürümüne otomatik olarak yenilemek için sürümsüz anahtar uri'sini kullanmalıdır. Veri şifreleme çözümünüzün, hizmetlerinizin kesintiye uğramasını önlemek için şifreleme/sarma işlemleri için kullanılan şifre çözme/çözme için kullanılan anahtar malzemesini işaret eden verilerle sürümlenmiş anahtar URI'sini depoladığından emin olun. Tüm Azure hizmetleri şu anda veri şifreleme için bu deseni izler.

Rotasyon politikası yapılandırması

Anahtar döndürme politikasını yapılandırma

Anahtar oluşturma sırasında anahtar döndürme ilkesini yapılandırın.

Anahtar oluşturma sırasında döndürmeyi yapılandırma

Mevcut anahtarlarda döndürme ilkesini yapılandırın.

Mevcut anahtarda döndürmeyi yapılandırma

Azure Komut Satırı Arayüzü (Azure CLI)

Anahtar döndürme ilkesini bir dosyaya kaydedin. Anahtar dönüşüm ilkesi örneği:

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    },
    {
      "trigger": {
        "timeBeforeExpiry": "P30D"
      },
      "action": {
        "type": "Notify"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Azure CLI az keyvault key rotation-policy update komutunu kullanarak, önceden kaydedilen bir dosyayla ilişkilendirilen anahtar için döndürme politikasını ayarlayın.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Azure PowerShell Set-AzKeyVaultKeyRotationPolicy cmdlet'ini kullanarak döndürme ilkesini ayarlayın.

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

İsteğe bağlı döndürme

Anahtar döndürme el ile çağrılabilir.

Portal

Döndürmeyi çağırmak için 'Şimdi Döndür'e tıklayın.

İsteğe bağlı döndürme

Azure Komut Satırı Arayüzü (Azure CLI)

Anahtarı döndürmek için Azure CLI az keyvault key rotate komutunu kullanın.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Azure PowerShell Invoke-AzKeyVaultKeyRotation cmdlet'ini kullanın.

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Süresi dolmak üzere olan anahtar bildirimini yapılandırın

Event Grid anahtarı için süre sonu bildiriminin süresi dolma olayına yakın şekilde yapılandırılması. Otomatik döndürme kullanılamadığında, örneğin yerel HSM'den bir anahtar içe aktarıldığında, vadesi yaklaşmakta olan bir bildirimi manuel döndürme hatırlatıcısı olarak veya Event Grid entegrasyonu aracılığıyla özel otomatik döndürme için bir tetikleyici olarak yapılandırabilirsiniz. Süresi dolmadan önceki gün, ay ve yıllarla bildirimi, süresi dolmak üzere olan olayı tetikleecek şekilde yapılandırabilirsiniz.

Bildirimi Yapılandır

Key Vault'taki Event Grid bildirimleri hakkında daha fazla bilgi için bkz . Event Grid kaynağı olarak Azure Key Vault

ARM şablonuyla anahtar döndürmeyi yapılandırma

Anahtar döndürme ilkesi ARM şablonları kullanılarak da yapılandırılabilir.

Uyarı

Denetim düzlemi aracılığıyla anahtar dağıtmak için Azure RBAC ile yapılandırılmış Key Vault'ta 'Key Vault Katkıda Bulunanı' rolü gerektirir.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vaultName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key vault to be created."
            }
        },
        "keyName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key to be created."
            }
        },
        "rotatationTimeAfterCreate": {
            "defaultValue": "P18M",
            "type": "String",
            "metadata": {
                "description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
            }
        },
        "expiryTime": {
            "defaultValue": "P2Y",
            "type": "String",
            "metadata": {
                "description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
            }
        },
        "notifyTime": {
            "defaultValue": "P30D",
            "type": "String",
            "metadata": {
                "description": "Near expiry Event Grid notification. i.e. P30D"
            }
        }

    },
    "resources": [
        {
            "type": "Microsoft.KeyVault/vaults/keys",
            "apiVersion": "2021-06-01-preview",
            "name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
            "location": "[resourceGroup().location]",
            "properties": {
                "vaultName": "[parameters('vaultName')]",
                "kty": "RSA",
                "rotationPolicy": {
                    "lifetimeActions": [
                        {
                            "trigger": {
                                "timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
                                "timeBeforeExpiry": ""
                            },
                            "action": {
                                "type": "Rotate"
                            }
                        },
                        {
                            "trigger": {
                                "timeBeforeExpiry": "[parameters('notifyTime')]"
                            },
                            "action": {
                                "type": "Notify"
                            }
                        }

                    ],
                    "attributes": {
                        "expiryTime": "[parameters('expiryTime')]"
                    }
                }
            }
        }
    ]
}

Anahtar döndürme politikası yönetimini yapılandırma

Azure İlkesi hizmetini kullanarak anahtar yaşam döngüsünü yönetebilir ve tüm anahtarların belirtilen sayıda gün içinde döndürülecek şekilde yapılandırıldığından emin olabilirsiniz.

İlke tanımı oluşturma ve atama

  1. İlke kaynağına gidin
  2. Azure İlkesi sayfasının sol tarafındaki Yazma bölümünden Atamalar'ı seçin.
  3. Sayfanın üst kısmında İlkeleri ata'yı seçin. Bu düğme İlke ataması sayfasında açılır.
  4. Aşağıdaki bilgileri girin:
  5. Tüm ek alanları doldurun. Sayfanın en altındaki Önceki ve Sonraki düğmelerine tıklayarak sekmelerde gezinin.
  6. Gözden geçir + oluştur’u seçin
  7. Oluştur'u seçin

Yerleşik ilke atandıktan sonra taramanın tamamlanması 24 saate kadar sürebilir. Tarama tamamlandıktan sonra aşağıdaki gibi uyumluluk sonuçlarını görebilirsiniz.

Anahtar döndürme ilkesi uyumluluğunun ekran görüntüsü.

Kaynaklar

  • Last updated on