Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault Managed HSM (Vorschau) gespeichert sind

Azure Storage verschlüsselt alle Daten in einem ruhenden Speicherkonto. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um zusätzliche Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie eigene Schlüssel verwalten. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder im Key Vault Managed Hardware Security Model (HSM) gespeichert werden. Ein Azure Key Vault Managed HSM ist ein HSM mit FIPS 140-2 Level 3-Zertifizierung.

In diesem Artikel erfahren Sie, wie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in einem verwalteten HSM gespeichert sind, mithilfe der Azure-Befehlszeilenschnittstelle konfiguriert werden. Informationen zum Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in einem Schlüsseltresor gespeichert sind, finden Sie unter Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault gespeichert sind.

Hinweis

Azure Key Vault und Azure Key Vault Managed HSM unterstützen dieselben APIs und Verwaltungsschnittstellen für die Konfiguration.

Zuweisen einer Identität zum Speicherkonto

Weisen Sie zunächst dem Speicherkonto eine systemseitig zugewiesene verwaltete Identität zu. Diese Identität wird verwendet, um dem Speicherkonto die Zugriffsberechtigungen für das verwaltete Hardwaresicherheitsmodul (HSM) zu gewähren. Weitere Informationen zu systemseitig zugewiesenen verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

Rufen Sie az storage account update auf, um eine verwaltete Identität mit der Azure CLI zuzuweisen. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Zuweisen einer Rolle zum Speicherkonto für den Zugriff auf das verwaltete HSM

Weisen Sie als Nächstes der verwalteten Identität des Speicherkontos die Rolle Managed HSM Crypto Service Encryption User (Kryptografiedienstverschlüsselung für verwaltete HSMs) zu, sodass das Speicherkonto über Berechtigungen für das verwaltete HSM verfügt. Microsoft empfiehlt, die Rollenzuweisung auf die Ebene des einzelnen Schlüssels festzulegen, sodass der verwalteten Identität nur die notwendigsten Berechtigungen erteilt werden.

Um die Rollenzuweisung für das Speicherkonto zu erstellen, rufen Sie az keyvault role assignment create auf. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption User" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Konfigurieren der Verschlüsselung mit einem Schlüssel im verwalteten HSM

Konfigurieren Sie abschließend die Azure Storage-Verschlüsselung mit kundenseitig verwalteten Schlüsseln für die Verwendung eines im verwalteten HSM gespeicherten Schlüssels. Folgende Schlüsseltypen werden unterstützt: RSA-HSM-Schlüssel der Größen 2048, 3072 und 4096. Informationen zum Erstellen eines Schlüssels in einem verwalteten HSM finden Sie unter Erstellen eines HSM-Schlüssels.

Installieren Sie die Azure CLI 2.12.0 oder höher, um die Verschlüsselung für die Verwendung eines kundenseitig verwalteten Schlüssels in einem verwalteten HSM zu konfigurieren. Weitere Informationen finden Sie unter Installieren der Azure-Befehlszeilenschnittstelle.

Um die Schlüsselversion für einen kundenseitig verwalteten Schlüssel automatisch zu aktualisieren, lassen Sie die Schlüsselversion aus, wenn Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln für das Speicherkonto konfigurieren. Rufen Sie az storage account update wie im folgenden Beispiel gezeigt auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren. Fügen Sie den Parameter --encryption-key-source parameter ein, und legen Sie ihn auf Microsoft.Keyvault fest, um kundenseitig verwaltete Schlüssel für das Speicherkonto zu aktivieren. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Um die Version für einen kundenseitig verwalteten Schlüssel manuell zu aktualisieren, beziehen Sie die Schlüsselversion ein, wenn Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln für das Speicherkonto konfigurieren.

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Wenn Sie die Schlüsselversion manuell aktualisieren, müssen Sie die Verschlüsselungseinstellungen des Speicherkontos aktualisieren, damit die neue Version verwendet wird. Rufen Sie zunächst az keyvault show zum Abfragen des Schlüsseltresor-URIs und az keyvault key list-versions zum Abfragen der Schlüsselversion auf. Rufen Sie dann az storage account update auf, um die Verschlüsselungseinstellungen des Speicherkontos zu aktualisieren, damit wie im vorherigen Beispiel gezeigt die neue Version des Schlüssels verwendet wird.

Nächste Schritte