Konfigurace automatické obměně klíčů ve službě Azure Managed HSM
Přehled
Poznámka
Automatické obměně klíčů vyžaduje Azure CLI verze 2.42.0 nebo vyšší.
Automatizované obměně klíčů ve spravovaném HSM umožňuje uživatelům nakonfigurovat spravovaný HSM tak, aby automaticky vygeneroval novou verzi klíče při zadané frekvenci. Můžete nastavit zásadu obměna pro konfiguraci obměna každého jednotlivého klíče a volitelně obměňovat klíče na vyžádání. V rámci osvědčených postupů z hlediska kryptografie doporučujeme obměňovat šifrovací klíče alespoň každé dva roky. Další pokyny a doporučení najdete v části NIST SP 800-57, část 1.
Tato funkce umožňuje kompletní bezdotykové obměně šifrování neaktivních uložených služeb Azure s klíči spravovanými zákazníkem (CMK) uloženými ve spravovaném HSM Azure. Pokud chcete zjistit, jestli konkrétní služba Azure zajišťuje kompletní obměnu, projděte si dokumentaci k dané službě.
Ceny
Obměně spravovaných klíčů HSM se nabízí bez dalších poplatků. Další informace o cenách spravovaného HSM najdete na stránce s cenami azure Key Vault.
Upozornění
Spravovaný HSM má limit 100 verzí na klíč. Do tohoto limitu se započítávají klíčové verze vytvořené v rámci automatického nebo ručního obměně.
Požadovaná oprávnění
Obměně klíče nebo nastavení zásad obměně klíčů vyžaduje specifická oprávnění ke správě klíčů. Pokud chcete získat dostatečná oprávnění ke správě zásad obměn a obměně na vyžádání, můžete přiřadit roli Spravovaný uživatel kryptografických služeb HSM.
Další informace o konfiguraci místních oprávnění RBAC ve spravovaném HSM najdete v tématu Správa rolí spravovaného HSM.
Poznámka
Nastavení zásad obměty vyžaduje oprávnění k zápisu klíče. Obměně klíče na vyžádání vyžaduje oprávnění obměně. Obě jsou součástí předdefinované role "Spravovaný kryptografický uživatel HSM".
Zásady obměně klíčů
Zásady obměny klíčů umožňují uživatelům konfigurovat intervaly obměny a nastavit interval vypršení platnosti pro obměněné klíče. Musí být nastaven před otáčením klíčů na vyžádání.
Poznámka
Spravovaný modul HSM nepodporuje oznámení služby Event Grid
Nastavení zásad obměna klíčů:
- Doba vypršení platnosti: Interval vypršení platnosti klíče (minimálně 28 dnů). Slouží k nastavení data vypršení platnosti u nově obměněných klíčů (např. po obměně je nový klíč nastavený tak, aby vypršel do 30 dnů).
- Typy otočení:
- Automatické prodlužování v daném okamžiku po vytvoření
- Automatické prodlužování v daném čase před vypršením platnosti. Aby se tato událost aktivovaná, musí být u klíče nastaveno datum vypršení platnosti.
Upozornění
Zásady automatické obměně nemohou nařídit, aby se nové verze klíčů vytvářely častěji než jednou za 28 dní. U zásad obměty založené na vytváření to znamená, že minimální hodnota pro timeAfterCreate je P28D. U zásad rotace na základě vypršení platnosti závisí maximální hodnota pro timeBeforeExpiry na hodnotě expiryTime. Pokud je P56Dnapříklad expiryTime , timeBeforeExpiry může být maximálně P28D.
Konfigurace zásad obměně klíčů
Azure CLI
Napište zásadu obměně klíčů a uložte ji do souboru. K určení časových intervalů použijte formáty doby trvání ISO8601. Některé ukázkové zásady najdete v další části. Pomocí následujícího příkazu použijte zásadu na klíč.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Příklady zásad
Obměňte klíč 18 měsíců po vytvoření a nastavte jeho platnost po dvou letech.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Obměňte klíč 28 dní před vypršením platnosti a nastavte jeho platnost tak, aby vypršela po jednom roce.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Odeberte zásadu obměně klíčů (provedete tak, že nastavíte prázdnou zásadu).
{
"lifetimeActions": [],
"attributes": {}
}
Obměně na vyžádání
Jakmile je pro klíč nastavená zásada obměna, můžete klíč také otočit na vyžádání. Nejprve musíte nastavit zásadu obměně klíčů.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>