Kunci yang dikelola pelanggan untuk enkripsi Azure Storage

Anda dapat menggunakan kunci enkripsi Anda sendiri untuk melindungi data di akun penyimpanan Anda. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih besar untuk mengelola kontrol akses.

Anda harus menggunakan salah satu penyimpanan kunci Azure berikut ini untuk menyimpan kunci yang dikelola pelanggan Anda:

Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci atau HSM terkelola, atau Anda dapat menggunakan API Azure Key Vault untuk membuat kunci. Akun penyimpanan dan brankas kunci atau HSM terkelola harus berada di wilayah dan di penyewa Azure Active Directory (Azure AD) yang sama, tetapi mereka dapat berada di langganan yang berbeda.

Catatan

Azure Key Vault dan Azure Key Vault Managed HSM mendukung API dan antarmuka manajemen yang sama untuk konfigurasi.

Tentang kunci yang dikelola pelanggan

Diagram berikut ini memperlihatkan cara Azure Storage menggunakan Azure Active Directory dan brankas kunci atau HSM terkelola untuk membuat permintaan menggunakan kunci yang dikelola pelanggan:

Diagram memperlihatkan cara kerja kunci yang dikelola pelanggan di Azure Storage

Daftar berikut ini menjelaskan langkah-langkah bernomor dalam diagram:

  1. Admin Azure Key Vault memberikan izin kunci enkripsi ke identitas terkelola yang terkait dengan akun penyimpanan.
  2. Admin Azure Storage mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan.
  3. Azure Storage menggunakan identitas terkelola yang terkait dengan akun penyimpanan untuk mengautentikasi akses ke Azure Key Vault melalui Azure Active Directory.
  4. Azure Storage membungkus kunci enkripsi akun dengan kunci yan dikelola pelanggan di Azure Key Vault.
  5. Untuk operasi baca/tulis, Azure Storage mengirimkan permintaan ke Azure Key Vault untuk membongkar kunci enkripsi akun demi melakukan operasi enkripsi dan dekripsi.

Identitas terkelola yang terkait dengan akun penyimpanan harus memiliki izin ini minimal untuk mengakses kunci yang dikelola pelanggan di Azure Key Vault:

  • wrapkey
  • unwrapkey
  • get

Untuk informasi selengkapnya tentang izin kunci, lihat Jenis kunci, algoritma, dan operasi.

Azure Policy menyediakan kebijakan bawaan untuk mengharuskan akun penyimpanan menggunakan kunci yang dikelola pelanggan untuk beban kerja Azure Blob Storage dan Azure Files. Untuk informasi selengkapnya, lihat bagian Penyimpanan di definisi kebijakan bawaan Azure Policy.

Kunci yang dikelola pelanggan untuk antrean dan tabel

Data yang disimpan dalam penyimpanan Antrean dan Tabel tidak secara otomatis dilindungi oleh kunci yang dikelola pelanggan saat kuncinya diaktifkan untuk akun penyimpanan. Anda dapat secara opsional mengonfigurasi layanan ini untuk disertakan dalam perlindungan pada saat Anda membuat akun penyimpanan.

Untuk informasi selengkapnya tentang cara membuat akun penyimpanan yang mendukung kunci yang dikelola pelanggan untuk antrean dan tabel, lihat Membuat akun yang mendukung kunci yang dikelola pelanggan untuk tabel dan antrean.

Data dalam penyimpanan Blob dan File Azure selalu dilindungi oleh kunci yang dikelola pelanggan saat kuncinya dikonfigurasi untuk akun penyimpanan.

Aktifkan kunci yang dikelola pelanggan untuk akun penyimpanan

Saat Anda mengonfigurasi kunci yang dikelola pelanggan, Azure Storage membungkus kunci enkripsi data root untuk akun dengan kunci yang dikelola pelanggan di brankas kunci terkait atau HSM terkelola. Mengaktifkan kunci yang dikelola pelanggan tidak memengaruhi performa, dan segera berlaku.

Saat Anda mengaktifkan atau menonaktifkan kunci yang dikelola pelanggan, atau ketika Anda memodifikasi kunci atau versi kunci, perlindungan kunci enkripsi root berubah, tetapi data di akun Azure Storage Anda tidak perlu dienkripsi ulang.

Kunci yang dikelola pelanggan hanya dapat diaktifkan di akun penyimpanan yang ada. Brankas kunci atau HSM terkelola harus dikonfigurasi untuk memberikan izin ke identitas terkelola yang terkait dengan akun penyimpanan. Identitas terkelola hanya tersedia setelah akun penyimpanan dibuat.

Anda dapat beralih antara kunci yang dikelola pelanggan dan kunci yang dikelola Microsoft kapan saja. Untuk informasi selengkapnya tentang kunci yang dikelola Microsoft, lihat Tentang manajemen kunci enkripsi.

Untuk mempelajari cara mengonfigurasi enkripsi Azure Storage dengan kunci yang dikelola pelanggan dalam brankas kunci, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault. Untuk mengonfigurasi kunci yang dikelola pelanggan dalam HSM terkelola, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM (pratinjau).

Penting

Kunci yang dikelola pelanggan bergantung pada identitas terkelola untuk sumber daya Azure, yaitu fitur Azure AD. Identitas terkelola saat ini tidak mendukung skenario lintas direktori. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Azure, identitas terkelola secara otomatis diam-diam ditetapkan ke akun penyimpanan Anda. Jika Anda memindahkan langganan, grup sumber daya, atau akun penyimpanan dari satu direktori Azure AD ke direktori lainnya, identitas terkelola yang terkait dengan akun penyimpanan tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Azure AD di FAQ dan masalah umum dengan identitas terkelola untuk sumber daya Azure.

Enkripsi penyimpanan Azure mendukung kunci RSA dan RSA-HSM ukuran 2048, 3072 dan 4096. Untuk informasi selengkapnya tentang kunci, lihat Tentang kunci.

Menggunakan brankas kunci atau HSM terkelola memiliki biaya terkait. Untuk informasi selengkapnya, lihat harga Key Vault.

Perbarui versi kunci

Saat mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan, Anda memiliki dua opsi untuk memperbarui versi kunci:

  • Memperbarui versi kunci secara otomatis: Untuk memperbarui kunci yang dikelola pelanggan secara otomatis saat versi baru tersedia, hilangkan versi kunci saat Anda mengaktifkan enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan. Jika versi kunci dihilangkan, Azure Storage akan memeriksa Azure Key Vault atau HSM terkelola setiap hari demi kunci yang dikelola pelanggan versi baru. Azure Storage secara otomatis menggunakan versi terbaru kunci.

  • Memperbarui versi kunci secara manual: Untuk menggunakan versi kunci tertentu untuk enkripsi Azure Storage, tentukan versi kunci tersebut saat Anda mengaktifkan enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan. Jika Anda menentukan versi kunci, maka Azure Storage menggunakan versi tersebut untuk enkripsi hingga Anda memperbarui versi kunci secara manual.

    Ketika versi kunci secara eksplisit ditentukan, maka Anda harus memperbarui akun penyimpanan secara manual untuk menggunakan URI versi kunci baru saat versi baru dibuat. Untuk mempelajari cara memperbarui akun penyimpanan demi menggunakan versi kunci baru, lihat Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault atau Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault Managed HSM.

Saat Anda memperbarui versi kunci, perlindungan kunci enkripsi root berubah, tetapi data di akun Azure Storage Anda tidak dienkripsi ulang. Tidak ada tindakan lebih lanjut yang diperlukan dari pengguna.

Catatan

Untuk memutar kunci, buat versi baru kunci di kubah kunci atau HSM terkelola, sesuai dengan kebijakan kepatuhan Anda. Anda dapat memutar kunci secara manual atau membuat fungsi untuk memutarnya sesuai jadwal.

Cabut akses ke kunci yang dikelola pelanggan

Anda dapat mencabut akses akun penyimpanan ke kunci yang dikelola pelanggan kapan saja. Setelah akses ke kunci yang dikelola pelanggan dicabut, atau setelah kunci dinonaktifkan atau dihapus, klien tidak dapat memanggil operasi yang membaca dari atau menulis ke blob atau metadatanya. Upaya untuk memanggil salah satu operasi berikut akan gagal dengan kode galat 403 (Terlarang) untuk semua pengguna:

Untuk memanggil operasi ini lagi, pulihkan akses ke kunci yang dikelola pelanggan.

Semua operasi data yang tidak tercantum di bagian ini dapat dilanjutkan setelah kunci yang dikelola pelanggan dicabut atau dinonaktifkan atau dihapus.

Untuk mencabut akses ke kunci yang dikelola pelanggan, gunakan PowerShell atau Azure CLI.

Kunci yang dikelola pelanggan untuk cakram yang dikelola Azure

Kunci yang dikelola pelanggan juga tersedia untuk mengelola enkripsi cakram yang dikelola Azure. Kunci yang dikelola pelanggan berperilaku berbeda untuk cakram terkelola alih-alih sumber daya Azure Storage. Untuk informasi selengkapnya, lihat Enkripsi sisi server cakram terkelola Azure untuk Windows atau Enkripsi sisi server dari cakram terkelola Azure untuk Linux.

Langkah berikutnya