Rotación y revocación de claves administradas por el cliente

  • Artículo

Este artículo es la tercera parte de una serie de tutoriales de cuatro partes. La primera parte ofrece una introducción a las claves administradas por el cliente, sus características y las consideraciones a tener en cuenta antes de habilitar una en su registro. En la segunda parte, aprenderá a habilitar una clave administrada por el cliente mediante la CLI de Azure, el Azure Portal o una plantilla de Azure Resource Manager. Este artículo le guiará por la rotación, actualización y revocación de una clave administrada por el cliente.

Rotación de una clave administrada por el cliente

Para rotar una clave, puede actualizar su versión en Azure Key Vault o crear una nueva clave. Al rotar la clave, puede especificar la misma identidad que utilizó para crear el registro.

Como alternativa, puede:

  • Configure una nueva identidad asignada por el usuario para acceder a la clave.
  • Habilitar y especificar la identidad asignada por el sistema al registro.

Nota:

Para habilitar la identidad asignada por el sistema del registro en el portal, seleccione Configuración>Identidad y establezca el estado de la identidad asignada por el sistema en Activado.

Establezca el acceso al almacén de claves necesario para la identidad que configure para el acceso a claves.

Creación o actualización de la versión de la clave mediante la CLI de Azure

Para crear una nueva versión de la clave, ejecute el comando az keyvault key create:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Si se configura el registro para detectar las actualizaciones de la versión de la clave, la clave administrada por el cliente se actualiza automáticamente en una hora.

Si configura el Registro para la actualización manual de una nueva versión de la clave, ejecute el comando az acr encryption rotate-key. Pase el nuevo identificador de clave y la identidad que desea configurar.

Sugerencia

Al ejecutar az-acr-encryption-rotate-key, se puede pasar un identificador de clave versionada o un identificador de clave no versionada. Si se usa un identificador de clave no versionado, el registro se configura para detectar automáticamente las actualizaciones posteriores de la versión de la clave.

Para actualizar manualmente una versión de clave administrada por el cliente, tiene dos opciones:

  • Gire la clave y use una identidad asignada por el usuario.

    Si usa la clave de un almacén de claves diferente, compruebe que principal-id-user-assigned-identity tenga los permisos get, wrap y unwrap para ese almacén de claves.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Gire la llave y use una identidad asignada por el sistema.

    Antes de usar la identidad asignada por el sistema, verifique que los get, wrap y unwrap los permisos estén asignados a ella.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Cree o actualice la versión de la clave mediante el Azure Portal

Use el valor Cifrado del Registro para actualizar el almacén de claves, la clave o la configuración de identidad para una clave administrada por el cliente.

Por ejemplo, para configurar una nueva clave:

  1. En el portal, vaya al registro.

  2. En Configuración, seleccione Cifrado>Cambiar clave.

    Captura de pantalla de las opciones de clave de cifrado en el Azure Portal.

  3. En Cifrado, realice alguna de la siguientes acciones:

    • Seleccione Seleccionar del almacén de claves y, a continuación, seleccione un almacén de claves y una clave existentes o seleccione Crear nuevo. La clave que se selecciona no está versionada y permite la rotación automática de la clave.
    • Seleccione Escribir el URI de la clave y proporcione un identificador de clave directamente. Puede proporcionar un URI de clave versionada (para una clave que debe rotarse manualmente) o un URI de clave no versionada (que permite la rotación automática de la clave).

  4. Complete la selección de claves y, a continuación, seleccione Guardar.

Revocación de una clave administrada por el cliente

Para revocar la clave de cifrado administrada por el cliente, cambie la directiva de acceso o los permisos para el almacén de claves o elimine la clave.

Para cambiar la política de acceso de la identidad administrada que usa el registro, ejecute el comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Para eliminar las versiones individuales de una clave, ejecute el comando az-keyvault-key-delete. Esta operación requiere el permiso keys/delete.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Nota

Al revocar una clave administrada por el cliente se bloqueará el acceso a todos los datos del Registro. Si habilita el acceso a la clave o restaura una clave eliminada, el registro recogerá la clave y podrá recuperar el control del acceso a los datos del registro cifrados.

Pasos siguientes

Vaya al siguiente artículo para solucionar problemas comunes, como los errores al eliminar una identidad administrada, los errores 403 y la eliminación accidental de claves.