Introducción a las claves administradas por el cliente

Azure Container Registry cifra automáticamente las imágenes y otros artefactos que almacena. De manera predeterminada, Azure cifra automáticamente el contenido del registro en reposo con claves administradas por el servicio. Al usar una clave administrada por el cliente, puede complementar el cifrado predeterminado con una capa de cifrado adicional.

Este artículo es la primera parte de una serie de tutoriales de cuatro partes. El tutorial abarca lo siguiente:

• Introducción a las claves administradas por el cliente
• Habilitación de una clave administrada por el cliente
• Rotación o revocación de una clave administrada por el cliente
• Solución de problemas de una clave administrada por el cliente

Acerca de las claves administradas por el cliente

Una clave administrada por el cliente le proporciona la propiedad para aportar su propia clave en Azure Key Vault. Al habilitar una clave administrada por el cliente, puede administrar sus rotaciones, controlar el acceso y los permisos para usarlos y auditar su uso.

Características clave:

• Cumplimiento normativo: Azure cifra automáticamente el contenido del Registro en reposo con claves administradas por el servicio, pero el cifrado de claves administradas por el cliente le ayuda a cumplir las directrices de cumplimiento normativo.

• Integración con Azure Key Vault: las claves administradas por el cliente admiten el cifrado del lado servidor mediante la integración con Azure Key Vault. Con las claves administradas por el cliente, puede crear sus propias claves de cifrado y almacenarlas en un almacén de claves. O bien, usar las API de Azure Key Vault para generar las claves.

• Administración del ciclo de vida de las claves: la integración de las claves administradas por el cliente con Azure Key Vault le da el control y la responsabilidad totales del ciclo de vida de las claves, incluidas la rotación y la administración.

Antes de habilitar una clave administrada por el cliente

Antes de configurar Azure Container Registry con una clave administrada por el cliente, tenga en cuenta la siguiente información:

• Esta característica está disponible en el nivel de servicio Premium para un registro de contenedores. Para más información, consulte Niveles de servicio de Azure Container Registry.
• De momento, solo puede habilitar una clave administrada por el cliente al crear un registro.
• No se puede desactivar el cifrado después de activar una clave administrada por el cliente en un registro.
• Tiene que configurar una identidad administrada asignada por el usuario para acceder al almacén de claves. Más adelante, puede habilitar la identidad administrada asignada por el sistema del registro para obtener acceso al almacén de claves si es necesario.
• Azure Container Registry solo admite claves RSA o RSA-HSM. Las claves de curva elíptica no se admiten en este momento.
• En un registro cifrado con una clave administrada por el cliente, puede conservar los registros de las tareas del Azure Container Registry durante solo 24 horas. Para conservar los registros durante un período más largo, consulte Ver y administrar los registros de ejecución de tareas.
• Confianza de contenido no se admite actualmente en un registro cifrado con una clave administrada por el cliente.

Actualización de la versión de la clave administrada por el cliente

Azure Container Registry admite la rotación automática y manual de claves de cifrado del registro cuando hay disponible una nueva versión de clave en Azure Key Vault.

Importante

Es importante tener en cuenta la seguridad de un registro con cifrado de clave administrada por el cliente para actualizar con frecuencia (rotar) las versiones de la clave. Siga las directivas de cumplimiento de su organización para actualizar periódicamente las versiones de clave, al tiempo que almacena una clave administrada por el cliente en Azure Key Vault.

• Actualización automática de la versión de clave: cuando un registro está cifrado con una clave sin versión, Azure Container Registry comprueba periódicamente el almacén de claves en busca de una nueva versión de la clave y actualiza la clave administrada por el cliente en el plazo de una hora. Le sugerimos que omita la versión de la clave cuando active el cifrado del registro con una clave administrada por el cliente. Azure Container Registry usará y actualizará automáticamente la versión de clave más reciente.

• Actualización manual de la versión de clave: cuando un registro se cifra con una versión de clave específica, Azure Container Registry usa esa versión para el cifrado hasta que se rota manualmente la clave administrada por el cliente. Le sugerimos que especifique la versión de la clave cuando active el cifrado del registro con una clave administrada por el cliente. Azure Container Registry usará una versión específica de una clave para el cifrado del Registro.

Para más información, consulte Rotación de claves y Actualización de la versión de la clave.

Pasos siguientes

• Para habilitar el registro de contenedor con una clave administrada por el cliente mediante la CLI de Azure, el Azure Portal o una plantilla de Azure Resource Manager, pase al siguiente artículo: Habilitación de una clave administrada por el cliente.
• Obtenga más información sobre el cifrado en reposo en Azure.
• Obtenga más información sobre las directivas de acceso y la Protección del acceso a un almacén de claves.