Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym Azure Key Vault HSM (wersja zapoznawcza)

Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu w spoczynku. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz zarządzać własnymi kluczami. Klucze zarządzane przez klienta muszą być przechowywane w programie Azure Key Vault lub Key Vault Zarządzany sprzętowy model zabezpieczeń (HSM) (wersja zapoznawcza). Zarządzany Azure Key Vault HSM to moduł HSM zweryfikowany w programie FIPS 140-2 poziom 3.

W tym artykule pokazano, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta przechowywanych w zarządzanym modułze HSM przy użyciu interfejsu wiersza polecenia platformy Azure. Aby dowiedzieć się, jak skonfigurować szyfrowanie przy użyciu kluczy zarządzanych przez klienta przechowywanych w magazynie kluczy, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w Azure Key Vault.

Ważne

Szyfrowanie kluczami zarządzanymi przez klienta przechowywanymi w zarządzanym Azure Key Vault HSM jest obecnie dostępne w wersji ZAPOZNAWCZEJ. Dodatkowe warunki użytkowania wersji zapoznawczych usługi Microsoft Azure dotyczą postanowień prawnych, które dotyczą funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Azure Key Vault i Azure Key Vault HSM obsługują te same interfejsy API i interfejsy zarządzania dla konfiguracji.

Przypisywanie tożsamości do konta magazynu

Najpierw przypisz przypisaną przez system tożsamość zarządzaną do konta magazynu. Użyjesz tej tożsamości zarządzanej, aby udzielić kontu magazynu uprawnień dostępu do zarządzanego modułu HSM. Aby uzyskać więcej informacji na temat tożsamości zarządzanych przypisanych przez system, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

Aby przypisać tożsamość zarządzaną przy użyciu interfejsu wiersza polecenia platformy Azure, wywołaj az storage account update. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Przypisywanie roli do konta magazynu w celu uzyskania dostępu do zarządzanego modułu HSM

Następnie przypisz rolę Szyfrowanie usługi kryptograficznej zarządzanego modułu HSM do tożsamości zarządzanej konta magazynu, aby konto magazynu ma uprawnienia do zarządzanego modułu HSM. Firma Microsoft zaleca, aby zawęzimy zakres przypisania roli do poziomu pojedynczego klucza, aby udzielić tożsamości zarządzanej jak najmniej uprawnień.

Aby utworzyć przypisanie roli dla konta magazynu, wywołaj funkcję az key vault role assignment create. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Konfigurowanie szyfrowania za pomocą klucza w zarządzanym hsm

Na koniec skonfiguruj szyfrowanie usługi Azure Storage przy użyciu kluczy zarządzanych przez klienta, aby użyć klucza przechowywanego w zarządzanym hsm. Obsługiwane typy kluczy obejmują klucze RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby dowiedzieć się, jak utworzyć klucz w zarządzanym hsm, zobacz Tworzenie klucza HSM.

Zainstaluj interfejs wiersza polecenia platformy Azure w wersji 2.12.0 lub nowszej, aby skonfigurować szyfrowanie do używania klucza zarządzanego przez klienta w zarządzanym hsm. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Aby automatycznie zaktualizować wersję klucza zarządzanego przez klienta, należy pominąć wersję klucza podczas konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta dla konta magazynu. Wywołaj pozycję az storage account update, aby zaktualizować ustawienia szyfrowania konta magazynu, jak pokazano w poniższym przykładzie. Uwzględnij --encryption-key-source parameter wartość i ustaw ją na , aby włączyć klucze zarządzane przez klienta dla Microsoft.Keyvault konta. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Aby ręcznie zaktualizować wersję klucza zarządzanego przez klienta, uwzględnij wersję klucza podczas konfigurowania szyfrowania dla konta magazynu:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

W przypadku ręcznej aktualizacji wersji klucza należy zaktualizować ustawienia szyfrowania konta magazynu, aby korzystać z nowej wersji. Najpierw przeszukaj zapytanie o numer URI magazynu kluczy, wywołując element az keyvault showi dla wersji klucza, wywołując element az keyvault key list-versions. Następnie wywołaj element az storage account update, aby zaktualizować ustawienia szyfrowania konta magazynu w celu użycia nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Następne kroki