Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault

Azure Storage mengenkripsi semua data dalam akun penyimpanan saat tidak aktif. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda dapat mengelola kunci Anda sendiri. Kunci yang dikelola pelanggan harus disimpan di Azure Key Vault atau Key Vault Managed Hardware Security Model (HSM).

Artikel ini menunjukkan cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di brankas kunci dengan menggunakan portal Microsoft Azure, PowerShell, atau Azure CLI. Untuk mempelajari cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di HSM terkelola, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM.

Catatan

Azure Key Vault dan Azure Key Vault Managed HSM mendukung API dan antarmuka manajemen yang sama untuk konfigurasi.

Mengonfigurasi brankas kunci

Anda dapat menggunakan brankas kunci baru atau yang ada untuk menyimpan kunci yang dikelola pelanggan. Akun penyimpanan dan brankas kunci harus berada di wilayah yang sama, tetapi mereka dapat berada di langganan yang berbeda.

Menggunakan kunci yang dikelola pelanggan dengan enkripsi Azure Storage mengharuskan penghapusan sementara dan perlindungan hapus menyeluruh diaktifkan untuk brankas kunci. Penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru dan tidak dapat dinonaktifkan. Anda dapat mengaktifkan perlindungan hapus menyeluruh baik saat membuat brankas kunci atau setelah dibuat.

Untuk mempelajari cara membuat brankas kunci dengan portal Microsoft Azure, lihat Mulai cepat: Membuat Azure Key Vault menggunakan portal Microsoft Azure. Saat Anda membuat brankas kunci, pilih Aktifkan perlindungan hapus menyeluruh, seperti yang ditunjukkan pada gambar berikut.

Cuplikan layar memperlihatkan cara mengaktifkan perlindungan terhadap penghapusan menyeluruh saat membuat brankas kunci

Untuk mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada, ikuti langkah-langkah berikut:

  1. Navigasi ke brankas kunci Anda di portal Microsoft Azure.
  2. Di bawah Pengaturan, pilih Properti.
  3. Di bagian Perlindungan hapus menyeluruh, pilih Aktifkan perlindungan hapus menyeluruh.

Menambahkan kunci

Selanjutnya, tambahkan kunci di brankas kunci.

Enkripsi Azure Storage mendukung kunci RSA dan RSA-HSM dengan ukuran 2048, 3072, dan 4096. Untuk informasi selengkapnya tentang kunci, lihat Tentang kunci.

Untuk mempelajari cara menambahkan kunci dengan portal Microsoft Azure, lihat Mulai cepat: Mengatur dan mengambil kunci dari Azure Key Vault menggunakan portal Microsoft Azure.

Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan

Selanjutnya, konfigurasikan akun Azure Storage Anda untuk menggunakan kunci yang dikelola pelanggan dengan Azure Key Vault, kemudian tentukan kunci untuk dikaitkan dengan akun penyimpanan.

Saat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan, Anda dapat memilih untuk memperbarui versi kunci yang digunakan secara otomatis untuk enkripsi Azure Storage setiap kali versi baru tersedia di brankas kunci terkait. Secara bergantian, Anda dapat secara eksplisit menentukan versi kunci yang akan digunakan untuk enkripsi hingga versi kunci diperbarui secara manual.

Catatan

Untuk memutar kunci, buat versi baru kunci di Azure Key Vault. Azure Storage tidak menangani perputaran kunci di Azure Key Vault, jadi Anda perlu memutar kunci secara manual atau membuat fungsi untuk memutarnya sesuai jadwal.

Mengonfigurasi enkripsi untuk pembaruan otomatis versi kunci

Azure Storage dapat memperbarui secara otomatis kunci yang dikelola pelanggan yang digunakan untuk enkripsi agar menggunakan versi kunci terbaru. Saat kunci yang dikelola pelanggan diputar di Azure Key Vault, Azure Storage akan secara otomatis mulai menggunakan versi terbaru kunci untuk enkripsi.

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan otomatis versi kunci di portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda.

  2. Pada bilah Pengaturan untuk akun penyimpanan, klik Enkripsi. Secara default, manajemen kunci diatur ke Kunci yang Dikelola Microsoft, seperti yang ditunjukkan pada gambar berikut.

    Cuplikan layar portal memperlihatkan opsi enkripsi

  3. Pilih opsi Kunci yang Dikelola Pelanggan.

  4. Pilih opsi Pilih dari Key Vault.

  5. Pilih Pilih brankas kunci dan kunci.

  6. Pilih brankas kunci yang berisi kunci yang ingin Anda gunakan.

  7. Pilih kunci dari brankas kunci.

    Cuplikan layar memperlihatkan cara memilih brankas kunci dan kunci

  8. Simpan perubahan Anda.

Setelah Anda menentukan kunci, portal Microsoft Azure menunjukkan bahwa pembaruan otomatis versi kunci diaktifkan dan menampilkan versi kunci yang saat ini digunakan untuk enkripsi.

Cuplikan layar menunjukkan pembaruan otomatis versi kunci diaktifkan

Mengonfigurasi enkripsi untuk pembaruan manual versi kunci

Jika Anda lebih suka memperbarui versi kunci secara manual, maka secara eksplisit tentukan versi pada saat Anda mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan. Dalam hal ini, Azure Storage tidak akan memperbarui versi kunci secara otomatis saat versi baru dibuat di brankas kunci. Untuk menggunakan versi kunci baru, Anda harus memperbarui secara manual versi yang digunakan untuk enkripsi Azure Storage.

Untuk mengonfigurasi kunci yang dikelola pelanggan dengan pembaruan manual versi kunci di portal Microsoft Azure, tentukan URI kunci, termasuk versinya. Untuk menentukan kunci sebagai URI, ikuti langkah-langkah berikut:

  1. Untuk menemukan URI kunci di portal Azure, navigasi ke brankas kunci Anda, dan pilih pengaturan Kunci. Pilih kunci yang diinginkan, lalu klik kunci untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut.

  2. Salin nilai bidang Pengidentifikasi Kunci yang memberikan URI.

    Cuplikan layar memperlihatkan URI kunci brankas kunci

  3. Di pengaturan Kunci enkripsi untuk akun penyimpanan Anda, pilih opsi Masukkan URI kunci.

  4. Tempel URI yang Anda salin ke bidang URI Kunci. Abaikan versi kunci dari URI untuk mengaktifkan pembaruan otomatis versi kunci.

    Cuplikan layar memperlihatkan cara memasukkan URI kunci

  5. Tentukan langganan yang berisi brankas kunci.

  6. Simpan perubahan Anda.

Mengubah kunci

Anda dapat mengubah kunci yang Anda gunakan untuk enkripsi Azure Storage kapan saja.

Untuk mengubah kunci dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
  2. Pilih brankas kunci dan pilih kunci baru.
  3. Simpan perubahan Anda.

Mencabut kunci yang dikelola pelanggan

Mencabut kunci yang dikelola pelanggan akan menghapus asosiasi antara akun penyimpanan dan brankas kunci.

Untuk mencabut kunci yang dikelola pelanggan dengan portal Microsoft Azure, nonaktifkan kunci seperti yang dijelaskan di Menonaktifkan kunci yang dikelola pelanggan.

Menonaktifkan kunci yang dikelola pelanggan

Saat Anda menonaktifkan kunci yang dikelola pelanggan, akun penyimpanan Anda sekali lagi dienkripsi dengan kunci yang dikelola Microsoft.

Untuk menonaktifkan kunci yang dikelola pelanggan di portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
  2. Batal pilih kotak centang di samping pengaturan Gunakan kunci Anda sendiri.

Langkah berikutnya