客戶自控金鑰概觀

  • 發行項

Azure Container Registry 會自動加密您儲存的映像和其他成品。 依預設,Azure 會使用服務管理的金鑰,自動將待用登錄內容加密。 您可以使用客戶自控金鑰作為補充預設加密的額外加密層。

本文是四部分教學課程系列的第一部分。 本教學課程涵蓋下列項目:

  • 客戶自控金鑰概觀
  • 啟用客戶自控金鑰
  • 輪替和撤銷客戶自控金鑰
  • 針對客戶自控金鑰進行疑難排解

關於客戶管理的金鑰

客戶自控金鑰可讓您攜帶您自己的 Azure Key Vault 金鑰。 啟用客戶自控金鑰時,您可以管理其輪替、控制要使用的存取權和權限,以及稽核其使用方式。

主要功能包括:

  • 法規合規性:Azure 會使用服務管理的金鑰自動加密待用登錄內容,但客戶自控金鑰加密可協助您符合法規合規性的指導方針。

  • 整合 Azure Key Vault:客戶自控金鑰透過與 Azure Key Vault 整合來支援伺服器端加密。 您可以透過客戶自控金鑰,建立自己的加密金鑰,並將其儲存在金鑰保存庫中。 或者,您也可以使用 Azure Key Vault API 來產生金鑰。

  • 金鑰生命週期管理:整合客戶自控金鑰與 Azure Key Vault,可讓您完全控制和負責金鑰生命週期,包括輪替和管理。

在啟用客戶自控金鑰之前

使用客戶自控金鑰設定 Azure Container Registry 之前,請考量下列資訊:

  • 容器登錄進階服務層級中提供這項功能。 如需詳細資訊,請參閱 Azure Container Registry 服務層級
  • 您目前只能在建立登錄時啟用客戶管理的金鑰。
  • 在登錄上啟用客戶自控金鑰後,便無法將加密停用。
  • 您必須設定「使用者指派」的受控識別以存取金鑰保存庫。 之後,您可以視需要啟用登錄的「系統指派」的受控識別,以便金鑰保存庫存取。
  • Azure Container Registry 僅支援 RSA 或 RSA-HSM 金鑰。 目前不支援橢圓曲線金鑰。
  • 在以客戶自控金鑰加密的登錄中,您只能將執行 Azure Container Registry 工作的記錄保留 24 小時。 若要將記錄保留較長的時間,請參閱檢視和管理工作執行記錄
  • 在以客戶自控金鑰加密的登錄中,目前不支援內容信任

更新客戶自控金鑰版本

當 Azure Key Vault 中有新的金鑰版本可用時,Azure Container Registry 同時支援自動和手動輪替登錄加密金鑰。

重要

使用客戶自控金鑰加密的登錄經常更新 (輪替) 金鑰版本,這是重要的安全性考量事項。 遵循組織的合規性原則,定期更新金鑰版本,同時將客戶自控金鑰儲存在 Azure Key Vault。

  • 自動更新金鑰版本:使用未設定版本的金鑰加密登錄時,Azure Container Registry 會定期檢查金鑰保存庫是否有新的金鑰版本,並在一小時內更新客戶自控金鑰。 建議您在使用客戶自控金鑰啟用登錄加密時,省略金鑰版本。 Azure Container Registry 會自動使用並更新最新的金鑰版本。

  • 手動更新金鑰版本:使用特定金鑰版本加密登錄時,Azure Container Registry 會使用該版本進行加密,直到您手動輪替客戶自控金鑰為止。 建議您在使用客戶自控金鑰啟用登錄加密時,指定金鑰版本。 Azure Container Registry 接著會使用特定版本的金鑰進行登錄加密。

如需詳細資訊,請參閱金鑰輪替更新金鑰版本

下一步