Azure Key Vault Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma
Azure Depolama bekleyen bir depolama hesabındaki tüm verileri şifreler. Varsayılan olarak veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için kendi anahtarlarınızı yönetebilirsiniz. Müşteri tarafından yönetilen anahtarların Azure Key Vault veya Key Vault Yönetilen Donanım Güvenlik Modeli'nde (HSM) depolanması gerekir. Azure Key Vault Yönetilen HSM, FIPS 140-2 Düzey 3 onaylı bir HSM'dir.
Bu makalede, Azure CLI kullanarak yönetilen bir HSM'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemenin nasıl yapılandırılır gösterilmektedir. Bir anahtar kasasında depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırmayı öğrenmek için bkz. Azure Key Vault'de depolanan müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırma.
Not
Azure Key Vault ve Azure Key Vault Yönetilen HSM, yapılandırma için aynı API'leri ve yönetim arabirimlerini destekler.
Depolama hesabına kimlik atama
İlk olarak, depolama hesabına sistem tarafından atanan bir yönetilen kimlik atayın. Depolama hesabına yönetilen HSM'ye erişim izinleri vermek için bu yönetilen kimliği kullanacaksınız. Sistem tarafından atanan yönetilen kimlikler hakkında daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nelerdir?.
Azure CLI kullanarak yönetilen kimlik atamak için az storage account update çağrısında bulunur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--assign-identity
Yönetilen HSM'ye erişim için depolama hesabına rol atama
Ardından, depolama hesabının yönetilen HSM'ye izinleri olması için Yönetilen HSM Şifreleme Hizmeti Şifreleme Kullanıcı rolünü depolama hesabının yönetilen kimliğine atayın. Microsoft, yönetilen kimliğe mümkün olan en az ayrıcalıkları vermek için rol atamasını tek tek anahtar düzeyine kapsamlandırmanızı önerir.
Depolama hesabı için rol ataması oluşturmak için az key vault role assignment create komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi unutmayın.
storage_account_principal = $(az storage account show \
--name <storage-account> \
--resource-group <resource-group> \
--query identity.principalId \
--output tsv)
az keyvault role assignment create \
--hsm-name <hsm-name> \
--role "Managed HSM Crypto Service Encryption User" \
--assignee $storage_account_principal \
--scope /keys/<key-name>
Yönetilen HSM'de bir anahtarla şifrelemeyi yapılandırma
Son olarak, yönetilen HSM'de depolanan bir anahtarı kullanmak için müşteri tarafından yönetilen anahtarlarla Azure Depolama şifrelemesini yapılandırın. Desteklenen anahtar türleri 2048, 3072 ve 4096 boyutlarında RSA-HSM anahtarlarını içerir. Yönetilen HSM'de anahtar oluşturmayı öğrenmek için bkz. HSM anahtarı oluşturma.
Yönetilen HSM'de müşteri tarafından yönetilen bir anahtar kullanmak üzere şifrelemeyi yapılandırmak için Azure CLI 2.12.0 veya üzerini yükleyin. Daha fazla bilgi için bkz. Azure CLI'yi yükleme.
Müşteri tarafından yönetilen bir anahtarın anahtar sürümünü otomatik olarak güncelleştirmek için, depolama hesabı için müşteri tarafından yönetilen anahtarlarla şifrelemeyi yapılandırırken anahtar sürümünü atayın. Otomatik anahtar döndürme için şifrelemeyi yapılandırma hakkında daha fazla bilgi için bkz. Anahtar sürümünü güncelleştirme.
Ardından, aşağıdaki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını güncelleştirmek için az storage account update komutunu çağırın. --encryption-key-source parameter hesabı için müşteri tarafından yönetilen anahtarları etkinleştirmek için öğesini ekleyin ve olarak ayarlayınMicrosoft.Keyvault. Köşeli ayraç içindeki yer tutucu değerleri kendi değerlerinizle değiştirmeyi unutmayın.
hsmurl = $(az keyvault show \
--hsm-name <hsm-name> \
--query properties.hsmUri \
--output tsv)
az storage account update \
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Müşteri tarafından yönetilen bir anahtarın sürümünü el ile güncelleştirmek için, depolama hesabı için şifrelemeyi yapılandırırken anahtar sürümünü ekleyin:
az storage account update
--name <storage-account> \
--resource-group <resource_group> \
--encryption-key-name <key> \
--encryption-key-version $key_version \
--encryption-key-source Microsoft.Keyvault \
--encryption-key-vault $hsmurl
Anahtar sürümünü el ile güncelleştirdiğinizde, yeni sürümü kullanmak için depolama hesabının şifreleme ayarlarını güncelleştirmeniz gerekir. İlk olarak , az keyvault show komutunu çağırarak anahtar kasası URI'sini ve az keyvault key list-versions öğesini çağırarak anahtar sürümü için sorgu oluşturun. Ardından, önceki örnekte gösterildiği gibi depolama hesabının şifreleme ayarlarını anahtarın yeni sürümünü kullanacak şekilde güncelleştirmek için az storage account update komutunu çağırın.