Přehled klíčů spravovaných zákazníkem
Azure Container Registry automaticky šifruje image a další artefakty, které ukládáte. Azure ve výchozím nastavení automaticky šifruje neaktivní uložený obsah registru pomocí klíčů spravovaných službou. Pomocí klíče spravovaného zákazníkem můžete doplnit výchozí šifrování další vrstvou šifrování.
Tento článek je první částí čtyřdílné série kurzů. Tento kurz se věnuje:
- Přehled klíčů spravovaných zákazníkem
- Povolení klíče spravovaného zákazníkem
- Obměna a odvolání klíče spravovaného zákazníkem
- Řešení potíží s klíčem spravovaným zákazníkem
Informace o klíčích spravovaných zákazníkem
Klíč spravovaný zákazníkem vám dává vlastnictví k používání vlastního klíče ve službě Azure Key Vault. Když povolíte klíč spravovaný zákazníkem, můžete spravovat jeho obměny, řídit přístup a oprávnění k jeho používání a auditovat jeho použití.
Mezi klíčové funkce patří:
Dodržování právních předpisů: Azure automaticky šifruje neaktivní uložený obsah registru pomocí klíčů spravovaných službou, ale šifrování klíčů spravovaných zákazníkem pomáhá splňovat pokyny pro dodržování právních předpisů.
Integrace se službou Azure Key Vault: Klíče spravované zákazníkem podporují šifrování na straně serveru prostřednictvím integrace se službou Azure Key Vault. Pomocí klíčů spravovaných zákazníkem můžete vytvořit vlastní šifrovací klíče a uložit je do trezoru klíčů. K vygenerování klíčů můžete také použít rozhraní API služby Azure Key Vault.
Správa životního cyklu klíčů: Integrace klíčů spravovaných zákazníkem se službou Azure Key Vault poskytuje úplnou kontrolu a zodpovědnost za životní cyklus klíčů, včetně obměny a správy.
Před povolením klíče spravovaného zákazníkem
Před konfigurací služby Azure Container Registry s klíčem spravovaným zákazníkem zvažte následující informace:
- Tato funkce je k dispozici na úrovni služby Premium pro registr kontejneru. Další informace najdete v článku Úrovně služby Azure Container Registry.
- Klíč spravovaný zákazníkem můžete v současné době povolit pouze při vytváření registru.
- Šifrování nemůžete zakázat po povolení klíče spravovaného zákazníkem v registru.
- Pro přístup k trezoru klíčů musíte nakonfigurovat spravovanou identitu přiřazenou uživatelem. V případě potřeby můžete později povolit spravovanou identitu přiřazenou systémem registru pro přístup k trezoru klíčů.
- Azure Container Registry podporuje pouze klíče RSA nebo RSA-HSM. Klávesy se třemi tečkami nejsou v současné době podporovány.
- V registru, který je šifrovaný pomocí klíče spravovaného zákazníkem, můžete uchovávat protokoly pro úlohy služby Azure Container Registry pouze po dobu 24 hodin. Pokud chcete uchovávat protokoly po delší dobu, přečtěte si téma Zobrazení a správa protokolů spuštění úloh.
- Důvěryhodnost obsahu se v registru, který je šifrovaný pomocí klíče spravovaného zákazníkem, v současné době nepodporuje.
Aktualizace verze klíče spravovaného zákazníkem
Azure Container Registry podporuje automatickou i ruční obměnu šifrovacích klíčů registru, když je ve službě Azure Key Vault dostupná nová verze klíče.
Důležité
Důležitým aspektem zabezpečení registru s šifrováním klíčů spravovaným zákazníkem je časté aktualizace (obměna) verzí klíčů. Při pravidelné aktualizaci verzí klíčů při ukládání klíče spravovaného zákazníkem ve službě Azure Key Vault dodržujte zásady dodržování předpisů vaší organizace.
Automatická aktualizace verze klíče: Pokud je registr šifrovaný pomocí klíče, který není ve verzi, azure Container Registry pravidelně kontroluje trezor klíčů pro novou verzi klíče a aktualizuje klíč spravovaný zákazníkem do jedné hodiny. Doporučujeme vynechat verzi klíče, když povolíte šifrování registru pomocí klíče spravovaného zákazníkem. Azure Container Registry pak automaticky použije a aktualizuje nejnovější verzi klíče.
Ruční aktualizace verze klíče: Pokud je registr zašifrovaný pomocí konkrétní verze klíče, Azure Container Registry tuto verzi používá k šifrování, dokud ručně neotáčíte klíč spravovaný zákazníkem. Doporučujeme zadat verzi klíče, když povolíte šifrování registru pomocí klíče spravovaného zákazníkem. Azure Container Registry pak použije pro šifrování registru konkrétní verzi klíče.
Podrobnosti najdete v tématu Obměně klíčů a aktualizace verze klíče.
Další kroky
- Pokud chcete registr kontejneru povolit pomocí klíče spravovaného zákazníkem pomocí Azure CLI, webu Azure Portal nebo šablony Azure Resource Manageru, přejděte k dalšímu článku: Povolení klíče spravovaného zákazníkem.
- Přečtěte si další informace o šifrování neaktivních uložených dat v Azure.
- Přečtěte si další informace o zásadách přístupu a o tom, jak zabezpečit přístup k trezoru klíčů.