Titkosítás konfigurálása az Azure Key Vaultban tárolt, ügyfél által kezelt kulcsokkal

Az Azure Storage a tárfiókban tárolt összes adatot titkosítja. Az adatok alapértelmezés szerint a Microsoft által kezelt kulcsokkal vannak titkosítva. A titkosítási kulcsok további szabályozása érdekében kezelheti a saját kulcsait. Az ügyfél által kezelt kulcsokat felügyelt hardveres biztonsági Azure Key Vault (HSM Key Vault kell tárolni.

Ez a cikk bemutatja, hogyan konfigurálhatja a titkosítást a kulcstartóban tárolt, ügyfél által kezelt kulcsokkal a Azure Portal, a PowerShell vagy az Azure CLI használatával. Ha meg szeretne ismerkedni a titkosítás felügyelt HSM-beli, ügyfél által kezelt kulcsokkal való konfigurálásával, olvassa el a Titkosítás konfigurálása felügyelt HSM-Azure Key Vaulttárolt ügyfél által kezelt kulcsokkal.

Megjegyzés

Azure Key Vault és Azure Key Vault Managed HSM ugyanazon API-kat és felügyeleti felületeket támogatja a konfiguráláshoz.

Kulcstartó konfigurálása

Az ügyfél által kezelt kulcsok tárolására használhat új vagy meglévő kulcstartót. A tárfióknak és a kulcstartónak ugyanabban a régióban kell lennie, de eltérő előfizetésben is lehetnek.

Az ügyfél által felügyelt kulcsok Azure Storage titkosítással való használatához a kulcstartóban a törlési és végleges törlési védelmet is engedélyezni kell. A soft delete alapértelmezés szerint engedélyezve van egy új kulcstartó létrehozásakor, és nem tiltható le. A véglegesen kiürítés elleni védelmet a kulcstartó létrehozásakor vagy annak létrehozása után engedélyezheti.

Ha meg szeretne ismerkedni a kulcstartók Azure Portal kulcstartók használatával való létrehozásáról, olvassa el a Gyors útmutató: Kulcstartó létrehozása a Azure Portal. A kulcstartó létrehozásakor válassza a Végleges kiürítés elleni védelem engedélyezése lehetőséget az alábbi képen látható módon.

Képernyőkép a végleges kiürítés elleni védelem kulcstartó létrehozásakor való engedélyezéséről

A véglegesen kiürítés elleni védelem meglévő kulcstartón való engedélyezéséhez kövesse az alábbi lépéseket:

  1. Lépjen a kulcstartóhoz a Azure Portal.
  2. A Gépház alatt válassza a Tulajdonságok lehetőséget.
  3. A Végleges kiürítés elleni védelem szakaszban válassza a Végleges kiürítés elleni védelem engedélyezése lehetőséget.

Kulcs hozzáadása

Ezután adjon hozzá egy kulcsot a kulcstartóhoz.

Az Azure Storage Encryption a 2048-as, 3072-es és 4096-os RSA- és RSA-HSM-kulcsokat támogatja. A kulcsokkal kapcsolatos további információkért lásd: About keys (Tudnivalók a kulcsokról).

Ha meg szeretne ismerkedni azzal, hogyan adhat hozzá kulcsot a Azure Portal, olvassa el a gyorsútmutató: Kulcs beállítása és lekérése a Azure Key Vault használatával Azure Portal.

Ügyfél által felügyelt kulcsokkal végzett titkosítás konfigurálása

Ezután konfigurálja Azure Storage-fiókját úgy, hogy az ügyfél által felügyelt kulcsokat Azure Key Vault, majd adja meg a tárfiókhoz társítható kulcsot.

Amikor ügyfél által kezelt kulcsokkal konfigurálja a titkosítást, dönthet úgy, hogy automatikusan frissíti az Azure Storage-titkosításhoz használt kulcsverziót, amikor új verzió érhető el a társított kulcstartóban. Azt is megadhatja, hogy mely kulcsverziót kell használni a titkosításhoz, amíg a kulcsverziót manuálisan nem frissíti.

Megjegyzés

Kulcs elforgatása: hozza létre a kulcs új verzióját a Azure Key Vault. Az Azure Storage nem kezeli a kulcs elforgatását a Azure Key Vault-ban, ezért manuálisan kell elforgatnia a kulcsot, vagy létre kell hoznia egy függvényt az ütemezés szerinti rotációhoz.

Titkosítás konfigurálása a kulcsverziók automatikus frissítéséhez

Az Azure Storage automatikusan frissítheti a titkosításhoz használt, felhasználó által kezelt kulcsot a legújabb kulcsverzió használatára. Amikor az ügyfél által felügyelt kulcsot a Azure Key Vault váltja, az Azure Storage automatikusan megkezdi a kulcs legújabb verziójának titkosítását.

Ha az ügyfél által kezelt kulcsokat a kulcsverzió automatikus frissítésével konfigurálja a Azure Portal kövesse az alábbi lépéseket:

  1. Nyissa meg a tárfiókot.

  2. A tárfiók Gépház panelen kattintson a Titkosítás elemre. Alapértelmezés szerint a kulcskezelés a Microsoft Managed Keys (Microsoft által kezelt kulcsok) beállításra van állítva, ahogy az az alábbi képen látható.

    Képernyőkép a portál titkosítási lehetőségről

  3. Válassza a Felhasználó által kezelt kulcsok lehetőséget.

  4. Válassza a Kijelölés a Key Vault lehetőséget.

  5. Válassza a Kulcstartó és kulcs kiválasztása lehetőséget.

  6. Válassza ki a használni kívánt kulcsot tartalmazó kulcstartót.

  7. Válassza ki a kulcsot a kulcstartóból.

    Képernyőkép a kulcstartó és kulcs kiválasztásáról

  8. Mentse a módosításokat.

Miután meghatározta a kulcsot, a Azure Portal jelzi, hogy a kulcsverzió automatikus frissítése engedélyezve van, és megjeleníti a titkosításhoz jelenleg használt kulcsverziót.

Képernyőkép az engedélyezett kulcsverzió automatikus frissítéséről

Titkosítás konfigurálása a kulcsverziók manuális frissítéséhez

Ha manuálisan szeretné frissíteni a kulcsverziót, akkor explicit módon adja meg azt a verziót, amikor az ügyfél által kezelt kulcsokkal való titkosítást konfigurálja. Ebben az esetben az Azure Storage automatikusan frissíti a kulcsverziót, amikor új verziót hoz létre a kulcstartóban. Új kulcsverzió használata előtt manuálisan kell frissítenie az Azure Storage verzióját.

Ha az ügyfél által kezelt kulcsokat a kulcsverzió manuális frissítésével konfigurálja a Azure Portal, adja meg a kulcs URI-ját, beleértve a verziót is. A kulcs URI-ként való megadásához kövesse az alábbi lépéseket:

  1. A kulcs URI-ját úgy keresheti meg a Azure Portal, hogy megkeresi a kulcstartót, és kiválasztja a Kulcsok beállítást. Válassza ki a kívánt kulcsot, majd kattintson rá a verziószámok megtekintéséhez. Válasszon ki egy kulcsverziót az adott verzió beállításainak megtekintéséhez.

  2. Másolja ki a Kulcsazonosító mező értékét, amely az URI-t biztosítja.

    Képernyőkép a Key Vault-kulcs URI-jról

  3. A tárfiók titkosítási kulcsának beállításainál válassza az Enter key URI (Kulcs URI megadása) lehetőséget.

  4. Illessze be a vágólapra másolt URI-t a Kulcs URI mezőbe. A kulcsverzió automatikus frissítésének engedélyezéséhez kihagyja a kulcsverziót az URI-ból.

    Képernyőkép a kulcs URI-ének beíratásról

  5. Adja meg a kulcstartót tartalmazó előfizetést.

  6. Mentse a módosításokat.

Kulcs módosítása

Az Azure-titkosításhoz használt kulcsot bármikor Storage módosíthatja.

Ha módosítania kell a kulcsot a Azure Portal kövesse az alábbi lépéseket:

  1. Lépjen a tárfiókra, és jelenítse meg a Titkosítási beállításokat.
  2. Válassza ki a kulcstartót, és válasszon egy új kulcsot.
  3. Mentse a módosításokat.

Felhasználó által kezelt kulcsok visszavonása

Az ügyfél által felügyelt kulcs visszatartódása megszünteti a tárfiók és a kulcstartó közötti társítást.

Ha az ügyfél által felügyelt kulcsokat a következő Azure Portal szeretné visszavonni, tiltsa le a kulcsot a Felhasználó által kezelt kulcsok letiltása.

Felhasználó által kezelt kulcsok letiltása

Ha letiltja az ügyfél által kezelt kulcsokat, a tárfiókja ismét a Microsoft által kezelt kulcsokkal lesz titkosítva.

Ha le szeretné tiltani az ügyfél által kezelt kulcsokat a Azure Portal kövesse az alábbi lépéseket:

  1. Lépjen a tárfiókra, és jelenítse meg a Titkosítási beállításokat.
  2. Törölje a Saját kulcs használata beállítás melletti jelölőnégyzet jelölését.

Következő lépések