Az ügyfél által felügyelt kulcsok áttekintése

Azure Container Registry automatikusan titkosítja a tárolt képeket és egyéb összetevőket. Alapértelmezés szerint az Azure automatikusan titkosítja a beállításjegyzék inaktív tartalmát szolgáltatás által felügyelt kulcsok használatával. Az ügyfél által felügyelt kulcs használatával kiegészítheti az alapértelmezett titkosítást egy további titkosítási réteggel.

Ez a cikk egy négyrészes oktatóanyag-sorozat első része. Az oktatóanyag a következőket ismerteti:

• Az ügyfél által felügyelt kulcsok áttekintése
• Ügyfél által felügyelt kulcs engedélyezése
• Ügyfél által felügyelt kulcs elforgatása és visszavonása
• Ügyfél által felügyelt kulcs hibaelhárítása

Tudnivalók az ügyfél által kezelt kulcsokról

Az ügyfél által felügyelt kulcsok tulajdonjogot adnak, hogy saját kulcsot hozzon létre az Azure Key Vault. Ha engedélyezi az ügyfél által kezelt kulcsokat, kezelheti annak rotációit, szabályozhatja a használathoz való hozzáférést és engedélyeket, valamint naplózhatja a használatát.

A legfontosabb funkciók a következők:

• Jogszabályi megfelelőség: Az Azure automatikusan titkosítja az inaktív beállításjegyzék-tartalmakat szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcstitkosítás segít megfelelni a jogszabályi megfelelőségre vonatkozó irányelveknek.

• Integráció az Azure Key Vault:Az ügyfél által felügyelt kulcsok támogatják a kiszolgálóoldali titkosítást az Azure Key Vault integrációja révén. Az ügyfél által kezelt kulcsokkal létrehozhatja saját titkosítási kulcsait, és egy kulcstartóban tárolhatja őket. Vagy használhatja az Azure Key Vault API-kat kulcsok létrehozásához.

• Kulcséletciklus-kezelés: Az ügyfél által felügyelt kulcsok azure-Key Vault való integrálása teljes körű ellenőrzést és felelősséget biztosít a kulcs életciklusáért, beleértve a rotációt és a felügyeletet is.

Ügyfél által felügyelt kulcs engedélyezése előtt

Mielőtt ügyfél által felügyelt kulccsal konfigurálja a Azure Container Registry, vegye figyelembe a következő információkat:

• Ez a funkció a tárolóregisztrációs adatbázis Prémium szolgáltatási szintjén érhető el. További információ: az Azure Container Registry szolgáltatásszintjei.
• Jelenleg csak a beállításjegyzék létrehozásakor engedélyezheti az ügyfél által kezelt kulcsokat.
• Nem tilthatja le a titkosítást, miután engedélyezte az ügyfél által felügyelt kulcsot egy beállításjegyzékben.
• A kulcstartó eléréséhez konfigurálnia kell egy felhasználó által hozzárendelt felügyelt identitást. Később, ha szükséges, engedélyezheti a beállításjegyzék rendszer által hozzárendelt felügyelt identitását a Key Vault-hozzáféréshez.
• Azure Container Registry csak RSA- vagy RSA-HSM-kulcsokat támogat. Az elliptikus görbe billentyűk jelenleg nem támogatottak.
• Az ügyfél által felügyelt kulccsal titkosított beállításjegyzékben Azure Container Registry feladatok naplóit csak 24 órán át őrizheti meg. Ha hosszabb ideig szeretné megőrizni a naplókat, olvassa el a Feladatfuttatási naplók megtekintése és kezelése című témakört.
• A tartalommegbízhatóság jelenleg nem támogatott olyan beállításjegyzékben, amely ügyfél által felügyelt kulccsal van titkosítva.

Az ügyfél által felügyelt kulcs verziójának frissítése

Azure Container Registry támogatja a beállításjegyzék-titkosítási kulcsok automatikus és manuális rotálását is, ha új kulcsverzió érhető el az Azure Key Vault.

Fontos

Fontos biztonsági szempont az ügyfél által felügyelt kulcstitkosítással rendelkező beállításjegyzékek esetében a kulcsverziók gyakori frissítése (rotálása). Kövesse a szervezet megfelelőségi szabályzatát a kulcsverziók rendszeres frissítéséhez, miközben ügyfél által felügyelt kulcsot tárol az Azure Key Vault.

• Kulcsverzió automatikus frissítése: Ha egy beállításjegyzék nem verziószámozott kulccsal van titkosítva, Azure Container Registry rendszeresen ellenőrzi a kulcstartó új kulcsverzióját, és egy órán belül frissíti az ügyfél által kezelt kulcsot. Javasoljuk, hogy hagyja ki a kulcsverziót, ha ügyfél által felügyelt kulccsal engedélyezi a beállításjegyzék titkosítását. Azure Container Registry ezután automatikusan a legújabb kulcsverziót fogja használni és frissíteni.

• A kulcs verziójának manuális frissítése: Ha egy beállításjegyzék egy adott kulcsverzióval van titkosítva, Azure Container Registry ezt a verziót használja a titkosításhoz, amíg az ügyfél által felügyelt kulcsot manuálisan nem forgatja el. Javasoljuk, hogy adja meg a kulcs verzióját, amikor ügyfél által felügyelt kulccsal engedélyezi a beállításjegyzék titkosítását. Azure Container Registry a kulcs egy adott verzióját fogja használni a beállításjegyzék titkosításához.

További részletekért lásd: Kulcsrotálás és kulcsverzió frissítése.

Következő lépések

• Ha ügyfél által felügyelt kulccsal szeretné engedélyezni a tárolóregisztrációs adatbázist az Azure CLI, a Azure Portal vagy egy Azure Resource Manager-sablon használatával, folytassa a következő cikkel: Ügyfél által felügyelt kulcs engedélyezése.
• További információ az Inaktív adatok titkosításáról az Azure-ban.
• További információ a hozzáférési szabályzatokról és a kulcstartóhoz való hozzáférés biztonságossá tételéről.