Cifrado del registro con una clave administrada por el cliente
Cuando se almacenan imágenes y otros artefactos en una instancia de Azure Container Registry, Azure cifra automáticamente el contenido del registro en reposo con claves administradas por el servicio. Puede complementar el cifrado predeterminado con una capa de cifrado adicional mediante una clave que se crea y administra en Azure Key Vault (una clave administrada por el cliente). Este artículo le guía a través del proceso mediante la CLI de Azure, Azure Portal o una plantilla de Resource Manager.
Se admite el cifrado de lado servidor con claves administradas por el cliente por medio de la integración con Azure Key Vault:
- Puede crear claves de cifrado propias y almacenarlas en un almacén de claves, o puede usar API de Azure Key Vault para generar claves.
- Con Azure Key Vault, también puede auditar el uso de claves.
- Azure Container Registry admite la rotación automática de claves de cifrado del registro cuando hay disponible una nueva versión de clave en Azure Key Vault. También puede rotar manualmente las claves de cifrado del registro.
Esta característica está disponible en el nivel de servicio de un registro de contenedor Premium. Para obtener información sobre los límites y los niveles de servicio de los registros, vea Niveles de servicio de Azure Container Registry.
Cosas que debe saber
- De momento, solo se puede habilitar una clave administrada por el cliente al crear un registro. Al habilitar la clave, se configura una identidad administrada asignada por el usuario para acceder al almacén de claves. Más adelante, puede habilitar la identidad administrada por el sistema del registro para el acceso al almacén de claves si es necesario.
- Después de habilitar el cifrado con una clave administrada por el cliente en un registro, no es posible deshabilitarlo.
- Azure Container Registry solo admite claves RSA o RSA-HSM. Las claves de curva elíptica no se admiten en este momento.
- Confianza de contenido no se admite actualmente en un registro cifrado con una clave administrada por el cliente.
- En un registro cifrado con una clave administrada por el cliente, los registros de ejecución de ACR Tasks solo se conservan durante 24 horas. Si necesita conservar los registros durante un período más largo, vea la guía para exportar y almacenar registros de ejecución de tareas.
Actualización automática o manual de las versiones de claves
Una consideración importante para la seguridad de un registro cifrado con una clave administrada por el cliente es la frecuencia con que se actualiza (rota) la clave de cifrado. Su organización podría contar con directivas de cumplimiento que requieran la actualización periódica de las versiones de las claves almacenadas en Azure Key Vault cuando se usan como claves administradas por el cliente.
Al configurar el cifrado del registro con una clave administrada por el cliente, tiene dos opciones para actualizar la versión de la clave usada para el cifrado:
Actualizar automáticamente la versión de la clave: Para actualizar automáticamente una clave administrada por el cliente a una nueva versión disponible en Azure Key Vault, omita la versión de la clave al habilitar el cifrado del registro con una clave administrada por el cliente. Cuando un registro se cifra con una clave sin versión, Azure Container Registry comprueba periódicamente el almacén de claves para obtener una nueva versión de clave y actualiza la clave administrada por el cliente en un plazo de 1 hora. Azure Container Registry usa automáticamente la versión más reciente de la clave.
Actualizar manualmente la versión de la clave: Para usar una versión determinada de una clave para el cifrado del registro, especifique esa versión de la clave al habilitar el cifrado del registro con una clave administrada por el cliente. Cuando un registro se cifra con una versión de clave específica, Azure Container Registry usa esa versión para el cifrado hasta que se rota manualmente la clave administrada por el cliente.
Para obtener más información, consulte Elección del identificador de clave con o sin versión de clave y Actualización de la versión de la clave, más adelante en este artículo.
Prerrequisitos
Para aplicar los pasos de la CLI de Azure de este artículo, se necesita la versión 2.2.0 o posterior de la CLI de Azure, o Azure Cloud Shell. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.
Habilitación de una clave administrada por el cliente: CLI
Crear un grupo de recursos
Si es necesario, ejecute el comando az group create a fin de crear un grupo de recursos para la creación del almacén de claves, el registro de contenedor y otros recursos necesarios.
az group create --name <resource-group-name> --location <location>
Crear una identidad administrada asignada por el usuario
Cree una identidad administrada para recursos de Azure asignada por el usuario con el comando az identity create. El registro usa esta identidad para acceder al servicio Key Vault.
az identity create \
--resource-group <resource-group-name> \
--name <managed-identity-name>
En el resultado del comando, anote los siguientes valores: id y principalId. Los va a necesitar en pasos posteriores para configurar el acceso del registro al almacén de claves.
{
"clientId": "xxxx2bac-xxxx-xxxx-xxxx-192cxxxx6273",
"clientSecretUrl": "https://control-eastus.identity.azure.net/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentityname/credentials?tid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&oid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&aid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myresourcegroup",
"location": "eastus",
"name": "myidentityname",
"principalId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"resourceGroup": "myresourcegroup",
"tags": {},
"tenantId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}
Por comodidad, almacene estos valores en variables de entorno:
identityID=$(az identity show --resource-group <resource-group-name> --name <managed-identity-name> --query 'id' --output tsv)
identityPrincipalID=$(az identity show --resource-group <resource-group-name> --name <managed-identity-name> --query 'principalId' --output tsv)
Creación de un Almacén de claves
Cree un almacén de claves con az keyvault create para almacenar una clave administrada por el cliente para el cifrado del registro.
De manera predeterminada, la configuración de eliminación temporal está habilitada automáticamente en un nuevo almacén de claves. Para evitar la pérdida de datos causada por eliminaciones accidentales de la clave o del almacén de claves, habilite la opción de protección de purga.
az keyvault create --name <key-vault-name> \
--resource-group <resource-group-name> \
--enable-purge-protection
Para su uso en pasos posteriores, obtenga el identificador de recurso del almacén de claves:
keyvaultID=$(az keyvault show --resource-group <resource-group-name> --name <key-vault-name> --query 'id' --output tsv)
Habilitación del acceso al almacén de claves mediante servicios de confianza
Si el almacén de claves está protegido con un firewall o una red virtual (punto de conexión privado), habilite la configuración de red para permitir el acceso mediante servicios de Azure de confianza.
Para más información, vea Configuración de redes de Azure Key Vault.
Habilitación del acceso al almacén de claves mediante identidad administrada
Habilitación de la directiva de acceso al almacén de claves
Una opción es configurar una directiva para el almacén de claves de modo que la identidad pueda acceder a él. En el siguiente comando az keyvault set-policy, se pasa el identificador de la entidad de seguridad de la identidad administrada creada, almacenada previamente en una variable de entorno. Establezca los permisos de la clave en get, unwrapKey y wrapKey.
az keyvault set-policy \
--resource-group <resource-group-name> \
--name <key-vault-name> \
--object-id $identityPrincipalID \
--key-permissions get unwrapKey wrapKey
Asignación del rol RBAC
También puede usar Azure RBAC para Key Vault para asignar permisos a la identidad para acceder al almacén de claves. Por ejemplo, asigne el rol de cifrado de servicio criptográfico de Key Vault a la identidad mediante el comando az role assignment create:
az role assignment create --assignee $identityPrincipalID \
--role "Key Vault Crypto Service Encryption User" \
--scope $keyvaultID
Creación de clave y obtención de su identificador
Ejecute el comando az keyvault key create para crear una clave en el almacén de claves.
az keyvault key create \
--name <key-name> \
--vault-name <key-vault-name>
En el resultado del comando, anote el identificador de la clave, kid. Este identificador se usa en el paso siguiente:
[...]
"key": {
"crv": null,
"d": null,
"dp": null,
"dq": null,
"e": "AQAB",
"k": null,
"keyOps": [
"encrypt",
"decrypt",
"sign",
"verify",
"wrapKey",
"unwrapKey"
],
"kid": "https://mykeyvault.vault.azure.net/keys/mykey/<version>",
"kty": "RSA",
[...]
Elección del identificador de clave con o sin versión de clave
Para mayor comodidad, almacene el formato que elija para el identificador de clave en la variable de entorno $keyID. Puede usar un identificador de clave con versión o una clave sin versión.
Rotación manual de claves: id. de clave con versión
Cuando se usa para cifrar un registro con una clave administrada por el cliente, esta clave solo permite la rotación manual de claves en Azure Container Registry.
En este ejemplo se almacena la propiedad kid de la clave:
keyID=$(az keyvault key show \
--name <keyname> \
--vault-name <key-vault-name> \
--query 'key.kid' --output tsv)
Rotación automática de claves: id. de clave que omite la versión
Cuando se usa para cifrar un registro con una clave administrada por el cliente, esta clave permite la rotación automática de claves cuando se detecta una nueva versión de la clave en Azure Key Vault.
En este ejemplo se quita la versión de la propiedad kid de la clave:
keyID=$(az keyvault key show \
--name <keyname> \
--vault-name <key-vault-name> \
--query 'key.kid' --output tsv)
keyID=$(echo $keyID | sed -e "s/\/[^/]*$//")
Creación de un registro con una clave administrada por el cliente
Ejecute el comando az acr create para crear un registro en el nivel de servicio Premium y habilitar la clave administrada por el cliente. Pase el identificador de la identidad administrada y el identificador de clave almacenados previamente en variables de entorno:
az acr create \
--resource-group <resource-group-name> \
--name <container-registry-name> \
--identity $identityID \
--key-encryption-key $keyID \
--sku Premium
Presentación del estado de cifrado
Para mostrar si está habilitado el cifrado del registro con una clave administrada por el cliente, ejecute el comando az acr encryption show:
az acr encryption show --name <registry-name>
Según la clave usada para cifrar el registro, la salida es similar a la siguiente:
{
"keyVaultProperties": {
"identity": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"keyIdentifier": "https://myvault.vault.azure.net/keys/myresourcegroup/abcdefg123456789...",
"keyRotationEnabled": true,
"lastKeyRotationTimestamp": xxxxxxxx
"versionedKeyIdentifier": "https://myvault.vault.azure.net/keys/myresourcegroup/abcdefg123456789...",
},
"status": "enabled"
}
Habilitación de una clave administrada por el cliente: portal
Creación de una entidad administrada
Cree una identidad administrada para recursos de Azure asignada por el usuario en Azure Portal. Para conocer los pasos, vea Creación de una identidad asignada por el usuario.
En los pasos posteriores, use el nombre de la identidad.
Creación de un Almacén de claves
Para conocer los pasos para crear un almacén de claves, vea Inicio rápido: Creación de un almacén de claves mediante Azure Portal.
Al crear un almacén de claves para una clave administrada por el cliente, en la pestaña Datos básicos, habilite el valor Protección de purga. Este valor ayuda a evitar la pérdida de datos causada por eliminaciones accidentales de la clave o del almacén de claves.
Habilitación del acceso al almacén de claves mediante servicios de confianza
Si el almacén de claves está protegido con un firewall o una red virtual (punto de conexión privado), habilite la configuración de red para permitir el acceso mediante servicios de Azure de confianza.
Para más información, vea Configuración de redes de Azure Key Vault.
Habilitación del acceso al almacén de claves mediante identidad administrada
Habilitación de la directiva de acceso al almacén de claves
Una opción es configurar una directiva para el almacén de claves de modo que la identidad pueda acceder a él.
- Vaya al almacén de claves.
- Seleccione Configuración>Directivas de acceso > +Agregar directiva de acceso.
- Seleccione Permisos de clave y Obtener, Desencapsular clave y Encapsular clave.
- En Seleccionar la entidad de seguridad, seleccione el nombre de recurso de la identidad administrada asignada por el usuario.
- Seleccione Agregar y después Guardar.
Asignación del rol RBAC
También puede asignar el rol de usuario de cifrado del servicio criptográfico de Key Vault a la identidad administrada asignada por el usuario en el ámbito del almacén de claves.
Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.
Creación de la clave (opcional)
Opcionalmente, puede crear una clave en el almacén de claves para su uso con el fin de cifrar el registro. Siga estos pasos si desea seleccionar una versión de clave específica como clave administrada por el cliente. También es posible que tenga que crear una clave antes de crear el registro si el acceso al almacén de claves está restringido a un punto de conexión privado o a redes seleccionadas.
- Vaya al almacén de claves.
- Seleccione Configuración>Claves.
- Seleccione +Generar o importar y escriba un nombre único para la clave.
- Acepte los restantes valores predeterminados y seleccione Crear.
- Tras la creación, seleccione la clave y, después, la versión actual. Copie el identificador de clave de la versión de la clave.
Creación de una instancia de Azure Container Registry
- Seleccione Crear un recurso>Contenedores>Registro de contenedor.
- En la pestaña Datos básicos, seleccione o cree un grupo de recursos y escriba un nombre de registro. En SKU, seleccione Premium.
- En la pestaña Cifrado, en Clave administrada por el cliente, seleccione Habilitado.
- En Identidad, seleccione la identidad administrada que ha creado.
- En Cifrado, realice alguna de la siguientes acciones:
- Seleccione Seleccionar de Key Vault y seleccione un almacén de claves y una clave existentes, o bien Crear nuevo. La clave que seleccione no tiene versiones y permite la rotación automática de claves.
- Seleccione Escribir el URI de la clave y proporcione el identificador de una clave existente. Puede proporcionar un URI de clave con versión (para una clave que se debe rotar manualmente) o un URI de clave sin versión (que habilita la rotación automática de claves). Consulte la sección anterior para ver los pasos para crear una clave.
- En la pestaña Cifrado, seleccione Revisar y crear.
- Seleccione Crear para implementar la instancia del registro.
Para ver el estado de cifrado del registro en el portal, vaya al registro. En Configuración, seleccione Cifrado.
Habilitación de una clave administrada por el cliente: plantilla
También puede usar una plantilla de Resource Manager para crear un registro y habilitar el cifrado con una clave administrada por el cliente.
La siguiente plantilla crea un nuevo registro de contenedor y una identidad administrada asignada por el usuario. Copie el siguiente contenido en un archivo nuevo y guárdelo con un nombre de archivo como CMKtemplate.json.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vault_name": {
"defaultValue": "",
"type": "String"
},
"registry_name": {
"defaultValue": "",
"type": "String"
},
"identity_name": {
"defaultValue": "",
"type": "String"
},
"kek_id": {
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.ContainerRegistry/registries",
"apiVersion": "2019-12-01-preview",
"name": "[parameters('registry_name')]",
"location": "[resourceGroup().location]",
"sku": {
"name": "Premium",
"tier": "Premium"
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('identity_name'))]": {}
}
},
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('identity_name'))]"
],
"properties": {
"adminUserEnabled": false,
"encryption": {
"status": "enabled",
"keyVaultProperties": {
"identity": "[reference(resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('identity_name')), '2018-11-30').clientId]",
"KeyIdentifier": "[parameters('kek_id')]"
}
},
"networkRuleSet": {
"defaultAction": "Allow",
"virtualNetworkRules": [],
"ipRules": []
},
"policies": {
"quarantinePolicy": {
"status": "disabled"
},
"trustPolicy": {
"type": "Notary",
"status": "disabled"
},
"retentionPolicy": {
"days": 7,
"status": "disabled"
}
}
}
},
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2018-02-14",
"name": "[concat(parameters('vault_name'), '/add')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('identity_name'))]"
],
"properties": {
"accessPolicies": [
{
"tenantId": "[subscription().tenantId]",
"objectId": "[reference(resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('identity_name')), '2018-11-30').principalId]",
"permissions": {
"keys": [
"get",
"unwrapKey",
"wrapKey"
]
}
}
]
}
},
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"apiVersion": "2018-11-30",
"name": "[parameters('identity_name')]",
"location": "[resourceGroup().location]"
}
]
}
Siga los pasos de las secciones anteriores para crear los siguientes recursos:
- Almacén de claves, identificado por nombre
- Clave del almacén de claves, identificada por identificador de clave
Ejecute el siguiente comando az deployment group create para crear el registro con el archivo de plantilla anterior. Donde se indique, proporcione un nuevo nombre de registro y un nombre de identidad administrada, así como el nombre del almacén de claves y el identificador de clave que ha creado.
az deployment group create \
--resource-group <resource-group-name> \
--template-file CMKtemplate.json \
--parameters \
registry_name=<registry-name> \
identity_name=<managed-identity> \
vault_name=<key-vault-name> \
kek_id=<key-vault-key-id>
Presentación del estado de cifrado
Para mostrar el estado de cifrado del registro, ejecute el comando az acr encryption show:
az acr encryption show --name <registry-name>
Uso del registro
Después de habilitar una clave administrada por el cliente en un registro, puede realizar las mismas operaciones de registro que en un registro que no está cifrado con una clave administrada por el cliente. Por ejemplo, puede autenticarse en el registro e insertar imágenes de Docker. Vea comandos de ejemplo en Inserción y extracción de una imagen.
Rotación de clave
Actualice la versión de la clave en Azure Key Vault o cree una nueva clave, y luego actualice el registro para cifrar los datos mediante la clave. Puede realizar estos pasos con la CLI de Azure o en el portal.
Al girar una clave, normalmente se especifica la misma identidad usada al crear el registro. Opcionalmente, configure una nueva identidad asignada por el usuario para el acceso a la clave o habilite y especifique la identidad asignada por el sistema del registro.
Nota
- Para habilitar la identidad asignada por el sistema del registro en el portal, seleccione Configuración>Identidad y establezca el estado de la identidad asignada por el sistema en Activado.
- Establezca el acceso al almacén de claves necesario para la identidad que configure para el acceso a claves.
Actualización de la versión de la clave
Un escenario común es actualizar la versión de la clave usada como clave administrada por el cliente. En función de cómo se configure el cifrado del registro, la clave administrada por el cliente en Azure Container Registry se actualiza automáticamente o se debe actualizar manualmente.
Azure CLI
Use comandos az keyvault key para crear o administrar las claves del almacén de claves. Para crear una nueva versión de la clave, ejecute el comando az keyvault key create:
# Create new version of existing key
az keyvault key create \
–-name <key-name> \
--vault-name <key-vault-name>
El paso siguiente depende de cómo esté configurado el cifrado del registro:
Si el registro está configurado para detectar las actualizaciones de la versión de la clave, la clave administrada por el cliente se actualiza automáticamente en el plazo de 1 hora.
Si el registro está configurado para requerir la actualización manual de una nueva versión de la clave, ejecute el comando az acr encryption rotate-key, pasando el nuevo identificador de clave y la identidad que quiere configurar:
Para actualizar manualmente la versión de la clave administrada por el cliente:
# Rotate key and use user-assigned identity
az acr encryption rotate-key \
--name <registry-name> \
--key-encryption-key <new-key-id> \
--identity <principal-id-user-assigned-identity>
# Rotate key and use system-assigned identity
az acr encryption rotate-key \
--name <registry-name> \
--key-encryption-key <new-key-id> \
--identity [system]
Sugerencia
Al ejecutar az acr encryption rotate-key, puede pasar un identificador de clave con versión o un identificador de clave sin versión. Si usa un identificador de clave sin versión, el registro se configura para detectar automáticamente las actualizaciones posteriores de la versión de la clave.
Portal
Use el valor Cifrado del registro para actualizar el almacén de claves, la clave o la configuración de identidad usados para la clave administrada por el cliente.
Por ejemplo, para configurar una nueva clave:
En el portal, vaya al registro.
En Configuración, seleccione Cifrado>Cambiar clave.
En Cifrado, realice alguna de la siguientes acciones:
- Seleccione Seleccionar de Key Vault y seleccione un almacén de claves y una clave existentes, o bien Crear nuevo. La clave que seleccione no tiene versiones y permite la rotación automática de claves.
- Seleccione Escribir el URI de la clave y proporcione un identificador de clave directamente. Puede proporcionar un URI de clave con versión (para una clave que se debe rotar manualmente) o un URI de clave sin versión (que habilita la rotación automática de claves).
Complete la selección de claves y seleccione Guardar.
Revocación de clave
Para revocar la clave de cifrado administrada por el cliente, cambie la directiva de acceso o los permisos en el almacén de claves o elimine la clave. Por ejemplo, use el comando az keyvault delete-policy para cambiar la directiva de acceso de la identidad administrada usada por el registro:
az keyvault delete-policy \
--resource-group <resource-group-name> \
--name <key-vault-name> \
--object-id $identityPrincipalID
Al revocar la clave realmente, se bloquea el acceso a todos los datos del registro, ya que este no puede acceder a la clave de cifrado. Si se habilita el acceso a la clave o se restaura la clave eliminada, el registro toma la clave para que se pueda acceder de nuevo a los datos cifrados del registro.
Solución de problemas
Eliminación de una identidad administrada
Si intenta quitar una identidad asignada por el usuario o una asignada por el sistema de un registro que se usa para configurar el cifrado, es posible que vea un mensaje de error similar al siguiente:
Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.
Tampoco podrá cambiar (girar) la clave de cifrado. Los pasos de resolución dependen del tipo de identidad que se usa para el cifrado.
Identidad asignada por el usuario
Si aparece este problema con una identidad asignada por el usuario, reasigne primero la identidad mediante el comando az acr identity assign. Pase el identificador de recurso de la identidad o use el nombre de la identidad cuando esté en el mismo grupo de recursos que el Registro. Por ejemplo:
az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
Después, tras cambiar la clave y asignar otra identidad, puede quitar la identidad asignada por el usuario original.
Identidad asignada por el sistema
Si se produce este problema con una identidad asignada por el sistema, cree una incidencia de soporte técnico de Azure para solicitar ayuda para restaurar la identidad.
Habilitación del firewall del almacén de claves
Si habilita una red virtual o un firewall del almacén de claves después de crear un registro cifrado, es posible que vea HTTP 403 u otros errores con la importación de imágenes o la rotación de claves automatizada. Para corregir este problema, vuelva a configurar la identidad administrada y la clave que usó inicialmente para el cifrado. Configure los pasos en Rotar clave.
Si el problema persiste, póngase en contacto con el Soporte técnico de Azure.
Eliminación accidental del almacén de claves o la clave
La eliminación del almacén de claves, o de la clave, que se usa para cifrar un Registro con una clave administrada por el cliente hará que el contenido del Registro sea inaccesible. Si la eliminación temporal está habilitada en el almacén de claves (la opción predeterminada), puede recuperar un almacén o un objeto del almacén de claves eliminados y reanudar las operaciones del Registro.
Para ver los escenarios de eliminación y recuperación del almacén de claves, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga.
Pasos siguientes
- Obtenga más información sobre el cifrado en reposo en Azure.
- Obtenga más información sobre las directivas de acceso y la Protección del acceso a un almacén de claves.