Müşteri tarafından yönetilen anahtarlara genel bakış

Azure Container Registry, depoladığınız görüntüleri ve diğer yapıtları otomatik olarak şifreler. Varsayılan olarak Azure, hizmet tarafından yönetilen anahtarları kullanarak bekleyen kayıt defteri içeriğini otomatik olarak şifreler. Müşteri tarafından yönetilen bir anahtar kullanarak, varsayılan şifrelemeyi ek bir şifreleme katmanıyla tamamlayabilirsiniz.

Bu makale, dört bölümlü bir öğretici serisinin birinci bölümüdür. Öğretici şunları kapsar:

• Müşteri tarafından yönetilen anahtarlara genel bakış
• Müşteri tarafından yönetilen anahtarı etkinleştirme
• Müşteri tarafından yönetilen anahtarı döndürme ve iptal etme
• Müşteri tarafından yönetilen anahtar sorunlarını giderme

Müşteri tarafından yönetilen anahtarlar hakkında

Müşteri tarafından yönetilen anahtar, Azure Key Vault kendi anahtarınızı getirme sahipliği sağlar. Müşteri tarafından yönetilen bir anahtarı etkinleştirdiğinizde, dönüşlerini yönetebilir, bu anahtarın kullanımına yönelik erişim ve izinleri denetleyebilir ve kullanımını denetleyebilirsiniz.

Önemli özellikler şunlardır:

• Mevzuat uyumluluğu: Azure bekleyen kayıt defteri içeriğini hizmet tarafından yönetilen anahtarlarla otomatik olarak şifreler, ancak müşteri tarafından yönetilen anahtar şifrelemesi mevzuat uyumluluğu yönergelerini karşılamanıza yardımcı olur.

• Azure Key Vault ile tümleştirme: Müşteri tarafından yönetilen anahtarlar, Azure Key Vault tümleştirmesi aracılığıyla sunucu tarafı şifrelemeyi destekler. Müşteri tarafından yönetilen anahtarlarla kendi şifreleme anahtarlarınızı oluşturabilir ve bunları bir anahtar kasasında depolayabilirsiniz. İsterseniz anahtar oluşturmak için Azure Key Vault API'lerini de kullanabilirsiniz.

• Anahtar yaşam döngüsü yönetimi: Müşteri tarafından yönetilen anahtarları Azure Key Vault ile tümleştirmek, döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü için tam denetim ve sorumluluk sağlar.

Müşteri tarafından yönetilen anahtarı etkinleştirmeden önce

müşteri tarafından yönetilen bir anahtarla Azure Container Registry yapılandırmadan önce aşağıdaki bilgileri göz önünde bulundurun:

• Bu özellik, kapsayıcı kayıt defteri için Premium hizmet katmanında kullanılabilir. Daha fazla bilgi için bkz. Azure Container Registry hizmet katmanları.
• Şu anda yalnızca kayıt defteri oluştururken müşteri tarafından yönetilen anahtarı etkinleştirebilirsiniz.
• Kayıt defterinde müşteri tarafından yönetilen bir anahtarı etkinleştirdikten sonra şifrelemeyi devre dışı bırakamazsınız.
• Anahtar kasasına erişmek için kullanıcı tarafından atanan yönetilen kimliği yapılandırmanız gerekir. Daha sonra gerekirse, anahtar kasası erişimi için kayıt defterinin sistem tarafından atanan yönetilen kimliğini etkinleştirebilirsiniz.
• Azure Container Registry yalnızca RSA veya RSA-HSM anahtarlarını destekler. Üç nokta eğrisi tuşları şu anda desteklenmiyor.
• Müşteri tarafından yönetilen bir anahtarla şifrelenmiş bir kayıt defterinde, Azure Container Registry görevler için günlükleri yalnızca 24 saat saklayabilirsiniz. Günlükleri daha uzun süre saklamak için bkz. Görev çalıştırma günlüklerini görüntüleme ve yönetme.
• İçerik güveni şu anda müşteri tarafından yönetilen bir anahtarla şifrelenmiş bir kayıt defterinde desteklenmemektedir.

Müşteri tarafından yönetilen anahtar sürümünü güncelleştirme

Azure Container Registry, Azure Key Vault'de yeni bir anahtar sürümü kullanılabilir olduğunda kayıt defteri şifreleme anahtarlarının hem otomatik hem de el ile döndürülüp döndürülemez.

Önemli

Anahtar sürümlerini sık sık güncelleştirmek (döndürmek) için müşteri tarafından yönetilen anahtar şifrelemesine sahip bir kayıt defteri için önemli bir güvenlik konusudur. Azure Key Vault müşteri tarafından yönetilen bir anahtarı depolarken anahtar sürümlerini düzenli olarak güncelleştirmek için kuruluşunuzun uyumluluk ilkelerini izleyin.

• Anahtar sürümünü otomatik olarak güncelleştirme: Kayıt defteri sürümsüz bir anahtarla şifrelendiğinde, Azure Container Registry anahtar kasasını düzenli olarak yeni bir anahtar sürümü için denetler ve müşteri tarafından yönetilen anahtarı bir saat içinde güncelleştirir. Müşteri tarafından yönetilen bir anahtarla kayıt defteri şifrelemesini etkinleştirdiğinizde anahtar sürümünü atlamanızı öneririz. Azure Container Registry daha sonra en son anahtar sürümünü otomatik olarak kullanır ve güncelleştirir.

• Anahtar sürümünü el ile güncelleştirme: Kayıt defteri belirli bir anahtar sürümüyle şifrelendiğinde, Azure Container Registry siz müşteri tarafından yönetilen anahtarı el ile döndürene kadar bu sürümü şifreleme için kullanır. Müşteri tarafından yönetilen bir anahtarla kayıt defteri şifrelemesini etkinleştirirken anahtar sürümünü belirtmenizi öneririz. Azure Container Registry daha sonra kayıt defteri şifrelemesi için anahtarın belirli bir sürümünü kullanır.

Ayrıntılar için bkz . Anahtar döndürme ve Anahtar sürümünü güncelleştirme.

Sonraki adımlar

• Azure CLI, Azure portal veya Azure Resource Manager şablonu kullanarak kapsayıcı kayıt defterinizi müşteri tarafından yönetilen bir anahtarla etkinleştirmek için sonraki makaleye geçin: Müşteri tarafından yönetilen anahtarı etkinleştirme.
• Azure'da bekleyen şifreleme hakkında daha fazla bilgi edinin.
• Erişim ilkeleri ve anahtar kasasına erişimin güvenliğini sağlama hakkında daha fazla bilgi edinin.