Metodtips vid användning av Managed HSM
Kontrollera åtkomsten till din hanterade HSM
Managed HSM är en molntjänst som skyddar krypteringsnycklar. Eftersom dessa nycklar är känsliga och affärskritiska bör du se till att skydda åtkomsten till dina hanterade HSM:er genom att endast tillåta auktoriserade program och användare. Den här artikeln innehåller en översikt över åtkomstmodellen. Här förklaras autentisering och auktorisering samt rollbaserad åtkomstkontroll.
- Skapa en Azure Active Directory säkerhetsgrupp för HSM-administratörerna (i stället för att tilldela rollen Administratör till enskilda användare). Detta förhindrar "utlåsning av administration" om ett enskilt konto tas bort.
- Lås åtkomst till dina hanteringsgrupper, prenumerationer, resursgrupper och hanterade HSM:er – Använd Azure RBAC för att styra åtkomsten till dina hanteringsgrupper, prenumerationer och resursgrupper
- Skapa rolltilldelningar per nyckel med hjälp av hanterad HSM lokal RBAC.
- Undvik att tilldela flera roller till samma huvudnamn för att upprätthålla uppdelningen av uppgifter.
- Använd minsta behörighet för åtkomst till huvudnamn för att tilldela roller.
- Skapa en anpassad rolldefinition med en exakt uppsättning behörigheter.
Välja regioner som stöder tillgänglighetszoner
- För att säkerställa bästa möjliga tillgänglighet och zonåter återhämtning väljer du Azure-regioner där Tillgänglighetszoner stöds. Dessa regioner visas som "Rekommenderade regioner" i Azure Portal.
Backup
- Se till att du gör regelbundna säkerhetskopior av din HSM. Säkerhetskopieringar kan göras på HSM-nivå och för specifika nycklar.
Aktivera loggning
- Aktivera loggning för din HSM. Konfigurera även aviseringar.
Aktivera återställningsalternativ
- Mjuk borttagning är på som standard. Du kan välja en kvarhållningsperiod mellan 7 och 90 dagar.
- Aktivera rensningsskydd för att förhindra omedelbar permanent borttagning av HSM eller nycklar. När rensningsskydd finns på HSM eller nycklar förblir i borttagna tillstånd tills kvarhållningsdagarna har passerat.
Generera och importera nycklar från lokal HSM
Anteckning
Nycklar som skapas eller importeras till Managed HSM kan inte exporteras.
- För att säkerställa långsiktig portabilitet och nyckeltillförlitlighet genererar du nycklar i din lokala HSM och importerar dem till Managed HSM. Du kommer att ha en kopia av din nyckel på ett säkert sätt lagrat i din lokala HSM för framtida användning.
Nästa steg
- Se Fullständig säkerhetskopiering/återställning för information om fullständig säkerhetskopiering/återställning av HSM.
- Se Hanterad HSM-loggning för att lära dig hur du använder Azure Monitor för att konfigurera loggning
- Se Hantera hanterade HSM-nycklar för nyckelhantering.
- Se Hanterad HSM-rollhantering för att hantera rolltilldelningar.
- Återställningsalternativ finns i Översikt över mjuk borttagning för Managed HSM.