共用方式為

Microsoft Foundry 的客戶管理金鑰(CMK)

備註

本文件指的是 Microsoft Foundry(經典版) 入口網站。

🔄如果你正在使用新的入口網站,請切換至 Microsoft Foundry(新版)文件

備註

本文件指的是 Microsoft Foundry(新) 入口網站。

小提示

另有一篇以中樞為中心的 CMK 文章可供參考:中樞專案的客戶自控金鑰 (部分機器翻譯)。

Microsoft Foundry 中的客戶管理金鑰(CMK)加密讓您能控制資料的加密。 使用 CMK 來新增額外的保護層,並協助符合 Azure 金鑰保存庫整合的合規性需求。

Microsoft Foundry 中的客戶管理金鑰(CMK)加密讓您能控制資料的加密。 使用 CMK 來新增額外的保護層,並協助符合 Azure 金鑰保存庫整合的合規性需求。

Microsoft Foundry 提供強大的加密功能,包括使用儲存在 Azure Key Vault客戶管理金鑰(CMK)來保護您的敏感資料。 本文說明使用 CMK 加密的概念,並提供使用 Azure Key Vault 設定 CMK 的逐步指引。 同時討論加密模型及存取控制方法,如 Azure Role-Based 存取控制(RBAC)保險庫存取政策,確保與 系統指派的受管理身份相容。 目前僅透過 Bicep 範本提供 使用者指派的管理身份(UAI)支援。

為什麼要使用客戶管理的金鑰?

透過 CMK,您可以完全掌控加密金鑰,提升敏感資料的保護,並協助符合合規要求。 使用CMK的主要好處包括:

  • 使用自己的金鑰加密待用資料。

  • 整合組織安全與合規政策。

  • 能夠輪換或撤銷金鑰,以加強對加密資料存取的控制。

Microsoft Foundry 支援使用存放在 Azure Key Vault 的 CMK 進行加密,並利用業界領先的安全特性。

先決條件

要為 Microsoft Foundry 設定 CMK,請確保符合以下先決條件:

  1. Azure 訂用帳戶
    你需要啟用的 Azure 訂閱才能建立和管理 Azure 資源。

  2. Azure Key Vault

  3. 管理身份設定

  4. 金鑰庫權限

    • 如果你使用 Azure RBAC,請將 Key Vault 加密用戶角色指派給管理身份。
    • 如果你使用 Vault 存取政策,請授予管理身份特定金鑰權限,例如 解封金鑰封包金鑰

區域可用性說明(UAI for CMK)

目前支援具備使用者指派管理身份(UAI)之 客戶管理金鑰(CMK),適用於除以下區域外的所有 Azure 區域

  • 美國
    westus、centralus、southcentralus、westus2
  • 歐洲
    西歐、英國西部、瑞士西部、德國西中部、法國中部、丹麥東部、波蘭中部、瑞典中部、挪威東部
  • 亞太地區
    台灣西北、澳大拉西亞(澳洲東部、紐西蘭北部)、東南亞、日本東部、韓國中部、印尼中部、馬來西亞西部、中印度
  • 中東
    以色列中央、卡達中央
  • 非洲
    southafricanorth
  • 加拿大
    canadaeast
  • 拉丁美洲
    墨西哥中部
  • Azure China
    中國東方,中國東方2,中國北方,中國北方2
  • Azure 美國政府
    美國維吉尼亞州政府、亞利桑那州州長、德州州政府、愛荷華州政府

在用 UAI 配置 CMK 之前,務必確保你將資源部署在支援的區域。 如需了解 Microsoft Foundry 功能在各雲端區域的支援詳情,請參閱 Microsoft Foundry 功能在雲端區域的可用性

設定 CMK 的步驟

步驟 1. 在 Azure Key Vault 中建立或匯入金鑰

你會把客戶管理的金鑰(CMKs)存放在 Azure Key Vault。 你可以在金鑰庫中產生新的金鑰,或匯入現有金鑰。 請依照以下章節的步驟操作:

產生一個金鑰

  1. 進入 Azure 入口網站,前往你的 Azure Key Vault。

  2. 在 [設定] 下方,選取 [金鑰]

  3. 選取+ 產生/匯入

  4. 輸入金鑰名稱,選擇金鑰類型(如 RSA 或 HSM 支援),並設定金鑰大小與到期時間細節。

  5. 選擇 建立 以儲存新金鑰。

    欲了解更多資訊,請參閱「 在 Azure Key Vault 中建立與管理金鑰」。

匯入金鑰

  1. 請前往你的鑰匙庫中的 鑰匙 區塊。
  2. 選擇 + 產生/匯入 ,並選擇 匯入 選項。
  3. 上傳關鍵資料並提供必要的關鍵配置細節。
  4. 請依照提示完成匯入流程。

步驟 2. 授予受管理身份金鑰庫權限

系統指派使用者指派的管理身份 設定適當的權限,以存取金鑰庫。

系統指派的受控識別

  1. 請前往 Azure 入口網站中的金鑰保存庫。
  2. 選取 [存取控制 (IAM)]
  3. 選取 [+ 新增角色指派]
  4. 將 Key Vault Crypto User 角色指派給 Microsoft Foundry 資源的 系統指派管理身份

使用者指派的受控識別

備註

請參閱 GitHub 存放庫:客戶自控金鑰搭配使用者指派的身分識別

  1. 請使用提供的 Bicep 範本來部署使用者指派的身份並設定 Key Vault 權限。

  2. 部署後,確認使用者指派的身份在金鑰庫上擁有適當的角色(例如金鑰庫加密官)或權限。

步驟 3. 在 Microsoft Foundry 啟用 CMK

  1. 在 Azure 入口網站開啟 Microsoft Foundry 資源。
  2. 請前往 加密設定 區塊。
  3. 選擇 客戶管理的金鑰 作為加密類型。
  4. 輸入 Key Vault 網址 和金鑰名稱。
  5. 如果您使用使用者指派的受控識別,請確保已透過 Bicep 範本完成部署,因為身分和相關權限已經事先設定好。

Key Vault 存取設計:Azure RBAC 與 Vault 存取政策

Azure Key Vault 支援兩種管理存取權限的模型:

  1. Azure RBAC (Recommended)
    • 利用 Azure AD 角色提供集中存取控制。
    • 簡化了 Azure 資源權限管理。
    • 使用 Key Vault Crypto 使用者角色。
  2. 保險庫存取政策
    • 允許針對 Key Vault 資源進行細緻的存取控制。
    • 適合需要舊有或隔離權限設定的配置。

選擇符合你組織需求的模式。

監控與密鑰輪換

為維持最佳安全性與合規性,請實施以下措施:

  1. 啟用金鑰庫診斷
    透過啟用 Azure Monitor 或 Log Analytics 的診斷日誌,監控金鑰使用情況與存取活動。
  2. 定期更換按鍵
    定期在 Azure Key Vault 建立新版本的金鑰。
    更新 Microsoft Foundry 資源,使其在 加密設定中引用最新的金鑰版本。

相關內容

  • Last updated on