Titkosítás konfigurálása a Managed HSM-Azure Key Vault tárolt, ügyfél által kezelt kulcsokkal

Az Azure Storage a tárfiókban tárolt összes adatot titkosítja. Az adatok alapértelmezés szerint a Microsoft által kezelt kulcsokkal vannak titkosítva. A titkosítási kulcsok további szabályozása érdekében kezelheti a saját kulcsait. A felhasználó által kezelt kulcsokat felügyelt hardveres biztonsági Azure Key Vault (HSM Key Vault kell tárolni. A Azure Key Vault HSM a FIPS 140-2 3. szintje szerint ellenőrzött HSM.

Ez a cikk bemutatja, hogyan konfigurálhatja a titkosítást a felügyelt HSM-ben tárolt, ügyfél által kezelt kulcsokkal az Azure CLI használatával. A kulcstartóban tárolt, ügyfél által kezelt kulcsokkal való titkosítás konfigurálásával kapcsolatos további információkért lásd: Titkosítás konfigurálása a kulcstartóban tárolt, ügyfél által kezelt kulcsokkal Azure Key Vault.

Megjegyzés

Azure Key Vault és Azure Key Vault Managed HSM ugyanazon API-kat és felügyeleti felületeket támogatja a konfiguráláshoz.

Identitás hozzárendelése a tárfiókhoz

Először rendeljen hozzá egy rendszer által hozzárendelt felügyelt identitást a tárfiókhoz. Ezzel a felügyelt identitással adhat engedélyeket a tárfióknak a felügyelt HSM eléréséhez. A rendszer által hozzárendelt felügyelt identitásokkal kapcsolatos további információkért lásd: Mik azok az Azure-erőforrások felügyelt identitások?.

Ha felügyelt identitást szeretne hozzárendelni az Azure CLI használatával, hívja meg az az storage account update hívást. Ne felejtse el lecserélni a zárójelben lévő helyőrzőket a saját értékeire:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Szerepkör hozzárendelése a tárfiókhoz a felügyelt HSM-hez való hozzáféréshez

Ezután rendelje hozzá a Managed HSM Crypto Service Encryption User szerepkört a tárfiók felügyelt identitásához, hogy a tárfiók jogosultságokkal rendelkezik a felügyelt HSM-hez. A Microsoft azt javasolja, hogy a szerepkör-hozzárendelés hatókörét az egyes kulcsok szintjére kell hatókörbe tenni, hogy a lehető legkisebb jogosultságot adja meg a felügyelt identitásnak.

A tárfiók szerepkör-hozzárendelésének létrehozásához hívja meg az az key vault role assignment create hívást. Ne felejtse el lecserélni a zárójelben lévő helyőrzőket a saját értékeire.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption User" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Titkosítás konfigurálása kulccsal a felügyelt HSM-hez

Végül konfigurálja az Azure Storage felhasználó által kezelt kulcsokkal való titkosítást a felügyelt HSM-ban tárolt kulcs használatára. A támogatott kulcstípusok közé tartoznak a 2048-as, 3072-es és 4096-os RSA-HSM-kulcsok. A kulcsok felügyelt HSM-ben való létrehozásáról a HSM-kulcs létrehozása cikkből olvashat.

Telepítse az Azure CLI 2.12.0-s vagy újabbát, hogy a titkosítást úgy konfigurálja, hogy az ügyfél által felügyelt kulcsot használjon egy felügyelt HSM-ben. További információ: Az Azure CLI telepítése.

Ha automatikusan frissítenie kell egy ügyfél által felügyelt kulcs kulcsverzióját, akkor ne használja a kulcsverziót, amikor ügyfél által kezelt kulcsokkal konfigurálja a titkosítást a tárfiókhoz. Hívja meg az az storage account update parancsot a tárfiók titkosítási beállításainak frissítéséhez az alábbi példában látható módon. Adja hozzá a et, és állítsa be a következőre: , hogy engedélyezze az --encryption-key-source parameter Microsoft.Keyvault ügyfél által kezelt kulcsokat a fiókhoz. Ne felejtse el lecserélni a zárójelben lévő helyőrzőket a saját értékeire.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Az ügyfél által felügyelt kulcs verziójának manuális frissítéséhez adja meg a kulcsverziót a tárfiók titkosításának konfigurálásakor:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Amikor manuálisan frissíti a kulcsverziót, frissítenie kell a tárfiók titkosítási beállításait az új verzió használatára. Először a key vault URI-ját kell lekérdezni az az keyvault showhívásával, a kulcsverzióhoz pedig az az keyvault key list-versions hívásával. Ezután hívja meg az az storage account update parancsot a tárfiók titkosítási beállításainak a kulcs új verziójának használatára való frissítéséhez, ahogy az előző példában is látható.

Következő lépések