Versleuteling configureren met door de klant beheerde sleutels die zijn Azure Key Vault beheerde HSM (preview)

Azure Storage versleutelt alle gegevens in een opslagaccount at rest. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in Azure Key Vault of Key Vault Managed Hardware Security Model (HSM) (preview). Een Azure Key Vault beheerde HSM is een met FIPS 140-2 Niveau 3 gevalideerde HSM.

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels die zijn opgeslagen in een beheerde HSM met behulp van Azure CLI. Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in een sleutelkluis voor meer informatie over het configureren van versleuteling met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault.

Belangrijk

Versleuteling met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault Beheerde HSM is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die b├Ętaversies, preview-functies of anderszins nog niet algemeen beschikbaar zijn.

Azure Key Vault en Azure Key Vault beheerde HSM ondersteunen dezelfde API's en beheerinterfaces voor configuratie.

Een identiteit toewijzen aan het opslagaccount

Wijs eerst een door het systeem toegewezen beheerde identiteit toe aan het opslagaccount. U gebruikt deze beheerde identiteit om het opslagaccount toegang te verlenen tot de beheerde HSM. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie over door het systeem toegewezen beheerde identiteiten.

Als u een beheerde identiteit wilt toewijzen met behulp van Azure CLI, roept u az storage account update aan. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Een rol toewijzen aan het opslagaccount voor toegang tot de beheerde HSM

Wijs vervolgens de rol Crypto Service Encryption van de beheerde HSM toe aan de beheerde identiteit van het opslagaccount, zodat het opslagaccount machtigingen heeft voor de beheerde HSM. Microsoft raadt u aan de roltoewijzing te beperken tot het niveau van de afzonderlijke sleutel om zo weinig mogelijk bevoegdheden te verlenen aan de beheerde identiteit.

Als u de roltoewijzing voor het opslagaccount wilt maken, roept u az key vault role assignment create aan. Vergeet niet om de waarden van de tijdelijke aanduiding tussen haakjes te vervangen door uw eigen waarden.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Versleuteling configureren met een sleutel in de beheerde HSM

Configureer tot slot Azure Storage versleuteling met door de klant beheerde sleutels om een sleutel te gebruiken die is opgeslagen in de beheerde HSM. Ondersteunde sleuteltypen zijn RSA-HSM-sleutels van grootten 2048, 3072 en 4096. Zie Een HSM-sleutel maken voor meer informatie over het maken van een sleutel in een beheerde HSM.

Installeer Azure CLI 2.12.0 of hoger om versleuteling te configureren voor het gebruik van een door de klant beheerde sleutel in een beheerde HSM. Zie De Azure CLI installeren voor meer informatie.

Als u de sleutelversie voor een door de klant beheerde sleutel automatisch wilt bijwerken, laat u de sleutelversie weg wanneer u versleuteling configureert met door de klant beheerde sleutels voor het opslagaccount. Roep az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken, zoals wordt weergegeven in het volgende voorbeeld. Neem de --encryption-key-source parameter op en stel deze in op om door de klant Microsoft.Keyvault beheerde sleutels voor het account in teschakelen. Vergeet niet om de waarden van de tijdelijke aanduiding tussen vierkante haken te vervangen door uw eigen waarden.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Als u de versie voor een door de klant beheerde sleutel handmatig wilt bijwerken, moet u de sleutelversie opnemen wanneer u versleuteling voor het opslagaccount configureert:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van het opslagaccount bijwerken om de nieuwe versie te gebruiken. Zoek eerst naar de sleutelkluis-URI door az keyvault showaan te roepen en voor de sleutelversie door az keyvault key list-versions aan te roepen. Roep vervolgens az storage account update aan om de versleutelingsinstellingen van het opslagaccount bij te werken om de nieuwe versie van de sleutel te gebruiken, zoals wordt weergegeven in het vorige voorbeeld.

Volgende stappen