Rest 'de verilerin kişiselleştirici hizmeti şifrelemesi

Kişiselleştirici hizmeti, buluta kalıcı hale geldiğinde verilerinizi otomatik olarak şifreler. Kişiselleştirici hizmeti şifrelemesi, verilerinizi korur ve kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamanıza yardımcı olur.

Bilişsel hizmetler şifreleme hakkında

Fıps 140-2 uyumlu 256 bit AES şifrelemesi kullanılarak veriler şifrelenir ve şifresi çözülür. Şifreleme ve şifre çözme saydamdır, bu da şifreleme ve erişimin sizin için yönetilip yönetilmediğini belirtir. Verileriniz varsayılan olarak koruma altındadır ve şifrelemeden yararlanmak için kodunuzu veya uygulamalarınızı değiştirmenize gerek yoktur.

Şifreleme anahtarı yönetimi hakkında

Aboneliğiniz varsayılan olarak Microsoft tarafından yönetilen şifreleme anahtarlarını kullanır. Aboneliğinizi, müşteri tarafından yönetilen anahtarlar (CMK) adlı kendi anahtarlarınız ile yönetme seçeneği de vardır. CMK, erişim denetimlerini oluşturma, döndürme, devre dışı bırakma ve iptal etme için daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz. Aboneliğiniz için CMK yapılandırıldıysa, ikinci bir koruma katmanı sunan ve Azure Key Vault şifreleme anahtarını denetlemenizi sağlayan çift şifreleme sağlanır.

Önemli

Müşteri tarafından yönetilen anahtarlar yalnızca E0 fiyatlandırma katmanında kullanılabilir. Müşteri tarafından yönetilen anahtarları kullanma yeteneği istemek için, Kişiselleştirme hizmeti Customer-Managed anahtar Isteği formunudoldurun ve gönderebilirsiniz. İsteğinizin durumunu öğrenmek yaklaşık 3-5 iş günü sürer. Talebe bağlı olarak, bir kuyruğa yerleştirilmiş ve alan kullanılabilir olduğunda onaylanmış olabilir. Kişiselleştirici hizmeti ile CMK kullanmaya onaylandıktan sonra, yeni bir kişiselleştirici kaynak oluşturmanız ve fiyatlandırma katmanı olarak E0 ' ı seçmeniz gerekir. E0 fiyatlandırma katmanı ile kişiselleştirici kaynağınız oluşturulduktan sonra, yönetilen kimliğinizi ayarlamak için Azure Key Vault kullanabilirsiniz.

Azure Key Vault ile müşteri tarafından yönetilen anahtarlar

Müşteri tarafından yönetilen anahtarları depolamak için Azure Key Vault kullanmanız gerekir. Kendi anahtarlarınızı oluşturabilir ve bunları bir anahtar kasasında saklayabilir veya Azure Key Vault API 'Lerini kullanarak anahtarlar oluşturabilirsiniz. Bilişsel hizmetler kaynağı ve Anahtar Kasası aynı bölgede ve aynı Azure Active Directory (Azure AD) kiracısında olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault nedir?.

Yeni bir bilişsel hizmetler kaynağı oluşturulduğunda, Microsoft tarafından yönetilen anahtarlar kullanılarak her zaman şifrelenir. Kaynağın oluşturulduğu sırada müşteri tarafından yönetilen anahtarların etkinleştirilmesi mümkün değildir. Müşteri tarafından yönetilen anahtarlar Azure Key Vault depolanır ve anahtar kasasının bilişsel hizmetler kaynağıyla ilişkili yönetilen kimliğe anahtar izinleri veren erişim ilkeleriyle sağlanması gerekir. Yönetilen kimlik yalnızca kaynak, CMK için gereken fiyatlandırma katmanı kullanılarak oluşturulduktan sonra kullanılabilir.

Müşteri tarafından yönetilen anahtarların etkinleştirilmesi, bir Azure AD 'nin bir özelliği olan bir sistem tarafından atanmış yönetilen kimliğide etkinleştirir. Sistem tarafından atanan yönetilen kimlik etkinleştirildikten sonra, bu kaynak Azure Active Directory kaydedilir. Kaydolduktan sonra yönetilen kimliğe, müşteri tarafından yönetilen anahtar kurulumu sırasında seçilen Key Vault erişim verilir.

Önemli

Sistem tarafından atanan yönetilen kimlikleri devre dışı bırakırsanız, anahtar kasasına erişim kaldırılır ve müşteri anahtarlarıyla şifrelenen verilere artık erişilemeyecektir. Bu verilere bağımlı olan özellikler çalışmayı durdurur.

Önemli

Yönetilen kimlikler Şu anda çapraz dizin senaryolarını desteklemez. Azure portal müşteri tarafından yönetilen anahtarları yapılandırırken, bir yönetilen kimlik, kapakların altında otomatik olarak atanır. Daha sonra aboneliği, kaynak grubunu veya kaynağı bir Azure AD dizininden diğerine taşırsanız, kaynakla ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşterinin yönettiği anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz. SSS 'de Azure AD dizinleri arasında bir abonelik aktarma ve Azure kaynakları için yönetilen kimliklerle ilgili bilinen sorunlar.

Azure Key Vault'u yapılandırma

Müşteri tarafından yönetilen anahtarların kullanılması, anahtar kasasında iki özellik ayarlanmasını, geçici silme ve Temizleme işlemi yapılmasını gerektirir. Bu özellikler varsayılan olarak etkinleştirilmez, ancak yeni veya var olan bir anahtar kasasında PowerShell veya Azure CLı kullanılarak etkinleştirilebilir.

Önemli

Yumuşak silme ve Temizleme özellikleri etkin değilse ve anahtarınızı silerseniz, bilişsel hizmet kaynağınızın verilerini kurtaramazsınız.

Mevcut bir anahtar kasasında bu özellikleri etkinleştirmeyi öğrenmek için aşağıdaki makalelerden birinde geçici silme özelliğini etkinleştirme ve Temizleme korumasını etkinleştirme başlıklı bölümlere bakın:

Azure depolama şifrelemesi ile yalnızca 2048 boyutundaki RSA anahtarları desteklenir. Anahtarlar hakkında daha fazla bilgi için bkz. Azure Key Vault anahtarlar, gizli diziler ve sertifikalar hakkında Key Vault anahtarlar .

Kaynağınız için müşteri tarafından yönetilen anahtarları etkinleştirin

Azure portal müşteri tarafından yönetilen anahtarları etkinleştirmek için şu adımları izleyin:

  1. Bilişsel hizmetler kaynağına gidin.

  2. Bilişsel hizmetler kaynağınızın Ayarlar dikey penceresinde şifreleme' ye tıklayın. Aşağıdaki şekilde gösterildiği gibi, müşteri tarafından yönetilen anahtarlar seçeneğini belirleyin.

    Müşteri tarafından yönetilen anahtarların nasıl seçileceğini gösteren ekran görüntüsü

Bir anahtar belirtin

Müşteri tarafından yönetilen anahtarları etkinleştirdikten sonra bilişsel hizmetler kaynağıyla ilişkilendirilecek bir anahtar belirtme fırsatına sahip olacaksınız.

URI olarak bir anahtar belirtin

Bir anahtarı URI olarak belirtmek için şu adımları izleyin:

  1. Azure portal anahtar URI 'sini bulmak için, anahtar kasanıza gidin ve anahtarlar ayarını seçin. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtara tıklayın. Bu sürümün ayarlarını görüntülemek için bir anahtar sürüm seçin.

  2. URI sağlayan anahtar tanımlayıcı alanının değerini kopyalayın.

    Anahtar Kasası anahtar URI 'sini gösteren ekran görüntüsü

  3. Depolama hesabınızın şifreleme ayarları ' nda anahtar URI 'si girin seçeneğini belirleyin.

  4. Kopyaladığınız URI 'yi anahtar URI alanına yapıştırın.

    Anahtar URI 'sini girmeyi gösteren ekran görüntüsü

  5. Anahtar kasasını içeren aboneliği belirtin.

  6. Yaptığınız değişiklikleri kaydedin.

Anahtar kasasından anahtar belirtme

Anahtar kasasından bir anahtar belirtmek için öncelikle anahtar içeren bir anahtar kasanızın olduğundan emin olun. Anahtar kasasından bir anahtar belirtmek için şu adımları izleyin:

  1. Key Vault seçin seçeneğini belirleyin.

  2. Kullanmak istediğiniz anahtarı içeren anahtar kasasını seçin.

  3. Anahtar kasasından anahtarı seçin.

    Müşteri tarafından yönetilen anahtar seçeneğini gösteren ekran görüntüsü

  4. Yaptığınız değişiklikleri kaydedin.

Anahtar sürümünü güncelleştirme

Bir anahtarın yeni bir sürümünü oluşturduğunuzda, bilişsel hizmetler kaynağını yeni sürümü kullanacak şekilde güncelleştirin. Şu adımları izleyin:

  1. Bilişsel hizmetler kaynağınız ' ne gidin ve şifreleme ayarlarını görüntüleyin.
  2. Yeni anahtar sürümünün URI 'sini girin. Alternatif olarak, sürümü güncelleştirmek için anahtar kasasını ve anahtarı yeniden seçebilirsiniz.
  3. Yaptığınız değişiklikleri kaydedin.

Farklı bir anahtar kullanın

Şifreleme için kullanılan anahtarı değiştirmek için şu adımları izleyin:

  1. Bilişsel hizmetler kaynağınız ' ne gidin ve şifreleme ayarlarını görüntüleyin.
  2. Yeni anahtar için URI girin. Alternatif olarak, anahtar kasasını seçip yeni bir anahtar seçebilirsiniz.
  3. Yaptığınız değişiklikleri kaydedin.

Müşteri tarafından yönetilen anahtarları döndür

Azure Key Vault, müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Anahtar döndürüldüğünde, bilişsel hizmetler kaynağını yeni anahtar URI 'sini kullanacak şekilde güncelleştirmeniz gerekir. Azure portal, anahtarın yeni bir sürümünü kullanmak üzere güncelleştirme hakkında bilgi edinmek için bkz. anahtar sürümünü güncelleştirme.

Anahtarın döndürülmesi kaynaktaki verilerin yeniden şifrelenmesini tetiklemez. Kullanıcıdan başka bir eylem gerekli değildir.

Müşterinin yönettiği anahtarlara erişimi iptal etme

Müşteri tarafından yönetilen anahtarlara erişimi iptal etmek için PowerShell veya Azure CLı kullanın. Daha fazla bilgi için bkz. PowerShell veya Azure Key Vault clı Azure Key Vault . Erişim iptal edildiğinde bilişsel hizmetler kaynağındaki tüm verilere erişimi etkin bir şekilde engeller. Bu, şifreleme anahtarına bilişsel hizmetler tarafından erişilemez.

Müşteri tarafından yönetilen anahtarları devre dışı bırak

Müşteri tarafından yönetilen anahtarları devre dışı bıraktığınızda, bilişsel hizmetler kaynağınız daha sonra Microsoft tarafından yönetilen anahtarlarla şifrelenir. Müşteri tarafından yönetilen anahtarları devre dışı bırakmak için şu adımları izleyin:

  1. Bilişsel hizmetler kaynağınız ' ne gidin ve şifreleme ayarlarını görüntüleyin.
  2. Kendi anahtarınızı kullanın ayarının yanındaki onay kutusunun işaretini kaldırın.

Sonraki adımlar