通过

概述

Microsoft 365 客户密钥支持存储在 Azure 密钥保管库 托管 HSM 中的 RSA 密钥,这是一种符合 FIPS 140-2 级别 3 要求的解决方案。

托管 HSM 是一种完全托管、高度可用的单租户服务,它使用 FIPS 140-2 级别 3 验证的硬件安全模块 (HSM) 来保护加密密钥。 它支持需要高保障密钥保护的云应用程序。

有关该服务的详细信息,请参阅 Azure 密钥保管库托管 HSM 概述

使用托管 HSM 设置客户密钥

若要使用托管 HSM 设置客户密钥,请按照列出的顺序执行步骤。 本文包含特定于 HSM 的任务的详细指南,以及标准客户密钥流程中的共享设置步骤的链接。

重要

托管 HSM 使用与经典 Azure 密钥保管库不同的 PowerShell cmdlet 集。 请确保在每个步骤中使用正确的工具。

首先完成以下共享步骤:

  1. 创建两个新的 Azure 订阅
  2. 注册所需的服务主体

创建资源组预配,并激活托管 HSM

与标准 Azure 密钥保管库(通常需要三对密钥保管库 (总共六个) )来支持所有工作负荷不同,托管 HSM 只需要两个实例,每个 Azure 订阅一个实例,而不管计划使用多少个客户密钥工作负载。

若要预配和激活托管 HSM 实例,请按照 使用 PowerShell 的托管 HSM 快速入门中的步骤作。

包含两个托管 HSM 实例的简化 HSM 设置示意图

为每个托管 HSM 分配权限

托管 HSM 使用本地基于角色的访问控制 (RBAC) 来管理权限。 若要为客户密钥分配所需的访问权限,必须将 托管 HSM 加密服务加密用户 角色授予相应的 Microsoft 365 应用程序。

此角色授予对密钥的以下权限: wrapKeyunwrapKeyget

有关详细信息,请参阅 托管 HSM 角色管理

分配角色时,搜索以下Microsoft 365 个应用名称:

  • 多个工作负载M365DataAtRestEncryption
  • ExchangeOffice 365 Exchange Online
  • SharePoint 和 OneDriveOffice 365 SharePoint Online

如果在租户中看不到预期的应用,请验证是否已 注册所需的服务主体

若要详细了解如何分配角色,请参阅 使用基于角色的访问控制来管理对 Azure 订阅资源的访问权限

将用户角色分配给托管 HSM

托管 HSM 管理员负责日常管理任务,例如 backup、、creategetimportlistrestore

有关分配用户角色的角色定义和指南,请参阅 分配用户角色

将密钥添加到每个托管 HSM

托管 HSM 仅支持受 HSM 保护的密钥。 创建用于客户密钥的密钥时,必须使用 RSA-HSM 密钥类型。

若要直接在托管 HSM 中创建密钥,请按照 Add-AzKeyVaultKey 中的步骤作。

如果希望在本地生成密钥,然后将其导入托管 HSM,请参阅如何为 Azure 密钥保管库生成和传输受 HSM 保护的密钥

按照这些说明在每个托管 HSM 实例中创建一个密钥。

验证托管 HSM 密钥的过期数据

若要检查密钥没有过期日期,请运行 Get-AzKeyVaultKey cmdlet。

对于 Azure 密钥保管库:

Get-AzKeyVaultKey -HsmName <HSM name>

客户密钥不能使用过期的密钥。 如果密钥已过期,则使用该密钥的任何作都失败,这可能导致服务中断。 强烈建议与客户密钥一起使用的密钥没有到期日期。

设置后,无法删除到期日期,但可以对其进行更改。 如果必须使用具有到期日期的密钥,请将其更新为 12/31/9999 并使用旧版载入方法。 任何其他过期值Microsoft 365 验证失败。

若要将过期日期更改为 12/31/9999,请使用 Update-AzKeyVaultKey cmdlet。

Update-AzKeyVaultKey -HsmName <HSM name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

备份托管 HSM 密钥

若要备份托管 HSM 密钥,请参阅 Backup-AzKeyVaultKey

获取每个托管 HSM 密钥的 URI

设置托管 HSM 并添加密钥后,运行以下命令以获取每个密钥的 URI。 ) 创建和分配数据加密策略 (DEP 时,需要这些 URI,因此请务必将它们保存在安全的位置。

在 Azure PowerShell 中运行以下命令— 每个密钥保管库一次:

(Get-AzKeyVaultKey -HsmName <HSM name>).Id

使用旧方法载入到客户密钥

完成配置订阅、托管 HSM 实例和密钥的所有步骤后,请按照 使用旧方法载入到客户密钥中的说明进行作。

后续步骤

完成设置后,) (DEP 创建并分配数据加密策略。 有关指导,请参阅 管理客户密钥