Konfigurowanie szyfrowania za pomocą kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu w spoczynku. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz zarządzać własnymi kluczami. Klucze zarządzane przez klienta muszą być przechowywane w programie Azure Key Vault lub Key Vault Zarządzany sprzętowy model zabezpieczeń (HSM) (wersja zapoznawcza).

W tym artykule pokazano, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta przechowywanych w magazynie kluczy przy użyciu Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby dowiedzieć się, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym modułze HSM, zobacz Configure encryption with customer-managed keys stored in Azure Key Vault Managed HSM (preview) (Konfigurowanieszyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym modułem HSM (wersja zapoznawcza) ).

Uwaga

Azure Key Vault i Azure Key Vault HSM obsługują te same interfejsy API i interfejsy zarządzania dla konfiguracji.

Konfigurowanie magazynu kluczy

Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Konto magazynu i magazyn kluczy muszą znajdować się w tym samym regionie, ale mogą znajdować się w różnych subskrypcjach.

Używanie kluczy zarządzanych przez klienta z szyfrowaniem usługi Azure Storage wymaga, aby dla magazynu kluczy włączono zarówno ochronę usuwania nie soft, jak i ochrony przed przeczyszczaniami. Usuwanie nieuprawniane jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przed przeczyszczaniem można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu.

Aby dowiedzieć się, jak utworzyć magazyn kluczy za pomocą Azure Portal, zobacz Szybki start:tworzenie magazynu kluczy przy użyciu Azure Portal . Podczas tworzenia magazynu kluczy wybierz pozycję Włącz ochronę przed przeczyszczaniem, jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający sposób włączania ochrony przed przeczyszczaniem podczas tworzenia magazynu kluczy

Aby włączyć ochronę przed przeczyszczaniem w istniejącym magazynie kluczy, wykonaj następujące kroki:

  1. Przejdź do magazynu kluczy w Azure Portal.
  2. W obszarze Ustawienia wybierz pozycję Właściwości.
  3. W sekcji Ochrona przed przeczyszczaniem wybierz pozycję Włącz ochronę przed przeczyszczaniem.

Dodawanie klucza

Następnie dodaj klucz w magazynie kluczy.

Szyfrowanie usługi Azure Storage obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat kluczy, zobacz About keys (Informacje o kluczach).

Aby dowiedzieć się, jak dodać klucz za pomocą Azure Portal, zobacz Szybki start:ustawianie i pobieranie klucza z usługi Azure Key Vault pomocą Azure Portal .

Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta

Następnie skonfiguruj konto usługi Azure Storage do używania kluczy zarządzanych przez klienta z usługą Azure Key Vault, a następnie określ klucz do skojarzenia z kontem magazynu.

Podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta możesz wybrać opcję automatycznego aktualizowania wersji klucza używanej do szyfrowania usługi Azure Storage zawsze wtedy, gdy nowa wersja jest dostępna w skojarzonym magazynie kluczy. Alternatywnie można jawnie określić wersję klucza, która ma być używana do szyfrowania, dopóki wersja klucza nie zostanie zaktualizowana ręcznie.

Uwaga

Aby obrócić klucz, utwórz nową wersję klucza w Azure Key Vault. Usługa Azure Storage nie obsługuje rotacji klucza w Azure Key Vault, dlatego należy obrócić klucz ręcznie lub utworzyć funkcję, aby obrócić go zgodnie z harmonogramem.

Konfigurowanie szyfrowania w celu automatycznego aktualizowania wersji kluczy

Usługa Azure Storage może automatycznie aktualizować klucz zarządzany przez klienta, który jest używany do szyfrowania, aby używać najnowszej wersji klucza. Gdy klucz zarządzany przez klienta zostanie obrócony w Azure Key Vault, usługa Azure Storage automatycznie rozpocznie korzystanie z najnowszej wersji klucza do szyfrowania.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu automatycznego aktualizowania wersji klucza w Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu.

  2. W bloku Ustawienia dla konta magazynu kliknij pozycję Szyfrowanie. Domyślnie zarządzanie kluczami jest ustawione na wartość Klucze zarządzane przez firmę Microsoft, jak pokazano na poniższej ilustracji.

    Zrzut ekranu portalu przedstawiający opcję szyfrowania

  3. Wybierz opcję Klucze zarządzane przez klienta.

  4. Wybierz opcję Wybierz Key Vault wybierz pozycję.

  5. Wybierz pozycję Wybierz magazyn kluczy i klucz.

  6. Wybierz magazyn kluczy zawierający klucz, którego chcesz użyć.

  7. Wybierz klucz z magazynu kluczy.

    Zrzut ekranu przedstawiający sposób wybierania magazynu kluczy i klucza

  8. Zapisz zmiany.

Po podano klucz, klucz Azure Portal, że automatyczne aktualizowanie wersji klucza jest włączona i wyświetla wersję klucza aktualnie używaną do szyfrowania.

Zrzut ekranu przedstawiający automatyczne aktualizowanie włączonej wersji klucza

Konfigurowanie szyfrowania w celu ręcznego aktualizowania wersji kluczy

Jeśli wolisz ręcznie zaktualizować wersję klucza, jawnie określ wersję w czasie konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta. W takim przypadku usługa Azure Storage nie zaktualizuje automatycznie wersji klucza po utworzeniu nowej wersji w magazynie kluczy. Aby użyć nowej wersji klucza, należy ręcznie zaktualizować wersję używaną do szyfrowania usługi Azure Storage.

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza w Azure Portal, określ klucz URI, w tym wersję. Aby określić klucz jako wartość URI, wykonaj następujące kroki:

  1. Aby zlokalizować klucz URI w Azure Portal, przejdź do magazynu kluczy i wybierz ustawienie Klucze. Wybierz żądany klucz, a następnie kliknij go, aby wyświetlić jego wersje. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.

  2. Skopiuj wartość pola Identyfikator klucza, która zawiera identyfikator URI.

    Zrzut ekranu przedstawiający URI klucza magazynu kluczy

  3. W ustawieniach Klucz szyfrowania dla konta magazynu wybierz opcję Wprowadź klucz URI.

  4. Wklej skopiowany adres URI w polu Key URI (Klucz URI). Pomiń wersję klucza z URI, aby umożliwić automatyczne aktualizowanie wersji klucza.

    Zrzut ekranu przedstawiający sposób wprowadzania klucza URI

  5. Określ subskrypcję zawierającą magazyn kluczy.

  6. Zapisz zmiany.

Zmienianie klucza

W dowolnym momencie możesz zmienić klucz, który jest ci przy użyciu szyfrowania usługi Azure Storage.

Aby zmienić klucz za pomocą Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu i wyświetl ustawienia szyfrowania.
  2. Wybierz magazyn kluczy i wybierz nowy klucz.
  3. Zapisz zmiany.

Odwoływanie kluczy zarządzanych przez klienta

Odwołanie klucza zarządzanego przez klienta powoduje usunięcie skojarzenia między kontem magazynu i magazynem kluczy.

Aby odwołać klucze zarządzane przez klienta za pomocą Azure Portal, wyłącz klucz zgodnie z opisem w tece Wyłączanie kluczy zarządzanych przez klienta.

Wyłączanie kluczy zarządzanych przez klienta

Po wyłączeniu kluczy zarządzanych przez klienta twoje konto magazynu zostanie ponownie zaszyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.

Aby wyłączyć klucze zarządzane przez klienta w Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu i wyświetl ustawienia szyfrowania.
  2. Usuń zaznaczenie pola wyboru obok ustawienia Użyj własnego klucza.

Następne kroki