تكوين التدوير التلقائي لمفتاح التشفير في Azure Key Vault
نظرة عامة
يسمح التدوير الآلي لمفاتيح التشفير في Azure Key Vault للمستخدمين بتكوين Azure Key Vault لإنشاء إصدار مفتاح جديد تلقائياً بتردد محدد. لتكوين التدوير، يمكنك استخدام نهج تدوير المفتاح، والذي يمكن تعريفه على كل مفتاح فردي.
تتمثل توصيتنا في تدوير مفاتيح التشفير كل عامين على الأقل لتلبية أفضل ممارسات التشفير.
لمزيد من المعلومات حول كيفية إصدار الكائنات في Key Vault، راجع Key Vault الكائنات والمعرفات وتعيين الإصدار.
التكامل مع خدمات Azure
تتيح هذه الميزة الاستدارة الصفرية اللمسية الشاملة للتشفير في وضع السكون لخدمات Azure مع المفاتيح المُدارة بواسطة العميل (CMK) المخزنة في Azure Key Vault. يرجى الرجوع إلى وثائق خدمة Azure المحددة لمعرفة ما إذا كانت الخدمة تغطي التدوير الشامل.
لمزيد من المعلومات حول تشفير البيانات في Azure، راجع:
الأسعار
هناك تكلفة إضافية لكل دورة مفتاح مجدولة. لمزيدٍ من المعلومات، راجع صفحة أسعار Azure Key Vault
الأذونات المطلوبة
تتطلب ميزة تدوير المفاتيح في Key Vault أذونات إدارة المفاتيح. يمكنك تعيين دور "Key Vault Crypto Officer" لإدارة نهج التناوب عند الطلب.
لمزيد من المعلومات حول كيفية استخدام نموذج إذن Azure Key Vault RBAC وتعيين أدوار Azure، راجع: استخدام Azure RBAC للتحكم في الوصول إلى المفاتيح والشهادات والأسرار
ملاحظة
إذا كنت تستخدم نموذج أذونات نهج الوصول، يجب عليك تعيين أذونات المفاتيح "تدوير" و"تعيين نهج التدوير" و"الحصول على نهج التناوب" لإدارة نهج التدوير على المفاتيح.
نهج تدوير المفاتيح
تسمح نهج تدوير المفاتيح للمستخدمين بتكوين التدوير وإشعارات شبكة الأحداث بالقرب من إشعار انتهاء الصلاحية.
إعدادات نهج تدوير المفاتيح:
- وقت انتهاء الصلاحية: الفاصل الزمني لانتهاء صلاحية المفتاح. يتم استخدامه لتعيين تاريخ انتهاء الصلاحية على المفتاح الذي تم تدويره حديثاً. لا يؤثر على المفتاح الحالي.
- ممكَّن/معطل: وضع علامة لتمكين أو تعطيل التدوير للمفتاح
- أنواع التدوير:
- التجديد تلقائياً في وقت معين بعد الإنشاء (إعداد افتراضي)
- التجديد تلقائياً في وقت معين قبل انتهاء الصلاحية. يتطلب تعيين "وقت انتهاء الصلاحية" على نهج التدوير و"تاريخ انتهاء الصلاحية" المعين على المفتاح.
- وقت الدوران: فاصل دوران المفتاح، الحد الأدنى للقيمة هو سبعة أيام من الإنشاء وسبعة أيام من وقت انتهاء الصلاحية
- وقت الإخطار: مفتاح قرب فاصل زمني لحدث انتهاء الصلاحية لخطوط شبكة الحدث. يتطلب تعيين "وقت انتهاء الصلاحية" على نهج التدوير و"تاريخ انتهاء الصلاحية" المعين على المفتاح.
هام
يُنشئ تدوير المفتاح إصداراً رئيسياً جديداً لمفتاح موجود مع مادة رئيسية جديدة. يجب أن تستخدم الخدمات الهدف عنوان uri للمفتاح بدون إصدار للتحديث تلقائيا إلى أحدث إصدار من المفتاح. تأكد من أن حل تشفير البيانات الخاص بك يخزن مفتاح Ui مع البيانات للإشارة إلى نفس المادة الأساسية لفك التشفير / فك التشفير كما تم استخدامه لعمليات التشفير / الالتفاف لتجنب تعطيل خدماتك. تتبع جميع خدمات Azure حالياً هذا النمط لتشفير البيانات.
تكوين نهج تدوير المفتاح
تكوين نهج تدوير المفاتيح أثناء إنشاء المفاتيح.
تكوين نهج التدوير على المفاتيح الموجودة.
Azure CLI
حفظ نهج تدوير المفاتيح في ملف. مثال على نهج تدوير المفاتيح:
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
تعيين نهج التدوير على مفتاح يمرر ملفاً محفوظاً مسبقاً باستخدام الأمر Azure CLI azure CLI keyvault key rotation policy update.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
تعيين نهج التدوير باستخدام Azure Powershell Set-AzKeyVaultKeyRotationPolicy cmdlet.
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
التدوير عند الطلب
يمكن استدعاء تدوير المفتاح يدوياً.
المدخل
انقر فوق "تدوير الآن" لاستدعاء التدوير.
Azure CLI
استخدم الأمر Azure CLI az keyvault key rotate لتدوير المفتاح.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
استخدم الأمر Azure PowerShell Invoke-AzKeyVaultKeyRotation.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
تكوين المفتاح بالقرب من إعلام انتهاء الصلاحية
تكوين إشعار انتهاء الصلاحية لمفتاح Event Grid بالقرب من حدث انتهاء الصلاحية. في حالة تعذر استخدام التدوير التلقائي، مثل عند استيراد مفتاح من HSM المحلي، يمكنك تكوين إشعار انتهاء الصلاحية تقريبا كتذكير للتناوب اليدوي أو كمشغل للتناوب التلقائي المخصص من خلال التكامل مع Event Grid. يمكنك تكوين الإعلام بالأيام والأشهر والسنوات قبل انتهاء الصلاحية لتشغيل حدث انتهاء الصلاحية القريب.
لمزيد من المعلومات حول إشعارات شبكة الأحداث في Key Vault، راجع Azure Key Vault كمصدر لشبكة الأحداث
تكوين تدوير المفاتيح باستخدام قالب ARM
يمكن أيضاً تكوين نهج تدوير المفاتيح باستخدام قوالب ARM.
ملاحظة
يتطلب دور "مساهم Key Vault" على Key Vault الذي تم تكوينه باستخدام التحكم في الوصول استناداً إلى الدور في Azure لتوزيع المفتاح من خلال مستوى الإدارة.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
تكوين إدارة نهج تدوير المفاتيح
باستخدام خدمة Azure Policy، يمكنك التحكم في دورة حياة المفتاح والتأكد من تكوين جميع المفاتيح للتدوير في غضون عدد محدد من الأيام.
إنشاء تعريف النهج وتعيينه
- الانتقال إلى مورد النهج
- حدد Assignments ضمن Authoring على الجانب الأيسر من صفحة Azure Policy.
- حدد تعيين نهج في أعلى الصفحة. يفتح هذا الزر على صفحة تعيين النهج.
- أدخل المعلومات الآتية:
- حدد نطاق النهج عن طريق اختيار الاشتراك ومجموعة الموارد التي سيتم فرض النهج عليها. حدد بالنقر فوق زر النقاط الثلاث في حقل النطاق .
- حدد اسم تعريف النهج: "يجب أن يكون للمفاتيح نهج تدوير يضمن جدولة تدويرها خلال عدد الأيام المحدد بعد الإنشاء. "
- انتقل إلى علامة التبويب المعلمات في أعلى الصفحة.
- قم بتعيين الحد الأقصى للأيام لتدوير المعلمة إلى العدد المطلوب من الأيام على سبيل المثال، 730.
- حدد التأثير المطلوب للنهج (Audit أو Disabled).
- املأ أي حقول إضافية. انتقل إلى علامات التبويب بالنقر فوق الزرين السابقوالتالي في أسفل الصفحة.
- حدد Review + create
- حدد Create
بمجرد تعيين النهج المضمن، قد يستغرق الأمر ما يصل إلى 24 ساعة لإكمال الفحص. بعد اكتمال الفحص، يمكنك الاطلاع على نتائج التوافق كما يلي.