Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených ve spravovaném HSM služby Azure Key Vault

  • Článek

Azure Storage šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete spravovat vlastní klíče. Klíče spravované zákazníkem musí být uložené ve službě Azure Key Vault nebo ve spravovaném modelu hardwarového zabezpečení služby Key Vault (HSM). Spravovaný HSM služby Azure Key Vault je ověřený HSM úrovně 140–2 ÚROVNĚ 3.

Tento článek ukazuje, jak nakonfigurovat šifrování pomocí klíčů spravovaných zákazníkem uložených ve spravovaném HSM pomocí Azure CLI. Informace o konfiguraci šifrování pomocí klíčů spravovaných zákazníkem uložených v trezoru klíčů najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault.

Poznámka:

Azure Key Vault a spravovaný HSM služby Azure Key Vault podporují stejná rozhraní API a rozhraní pro správu pro konfiguraci.

Přiřazení identity k účtu úložiště

Nejprve přiřaďte spravované identitě přiřazené systémem k účtu úložiště. Tuto spravovanou identitu použijete k udělení oprávnění účtu úložiště pro přístup ke spravovanému HSM. Další informace o spravovaných identitách přiřazených systémem najdete v tématu Co jsou spravované identity pro prostředky Azure?

Pokud chcete přiřadit spravovanou identitu pomocí Azure CLI, zavolejte az storage account update. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --assign-identity

Přiřazení role k účtu úložiště pro přístup ke spravovanému HSM

Dále přiřaďte roli uživatele šifrování spravované kryptografické služby HSM spravované identitě účtu úložiště, aby účet úložiště má oprávnění ke spravovanému HSM. Společnost Microsoft doporučuje určit rozsah přiřazení role na úroveň jednotlivého klíče, aby se udělovala co nejmenší možná oprávnění spravované identitě.

Pokud chcete vytvořit přiřazení role pro účet úložiště, zavolejte az key vault role assignment create. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

storage_account_principal = $(az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query identity.principalId \
    --output tsv)

az keyvault role assignment create \
    --hsm-name <hsm-name> \
    --role "Managed HSM Crypto Service Encryption User" \
    --assignee $storage_account_principal \
    --scope /keys/<key-name>

Konfigurace šifrování pomocí klíče ve spravovaném HSM

Nakonec nakonfigurujte šifrování azure Storage s klíči spravovanými zákazníkem tak, aby používaly klíč uložený ve spravovaném HSM. Mezi podporované typy klíčů patří klíče RSA-HSM velikosti 2048, 3072 a 4096. Informace o vytvoření klíče ve spravovaném HSM najdete v tématu Vytvoření klíče HSM.

Nainstalujte Azure CLI 2.12.0 nebo novější a nakonfigurujte šifrování tak, aby používalo klíč spravovaný zákazníkem ve spravovaném HSM. Další informace najdete v tématu Instalace Azure CLI.

Pokud chcete automaticky aktualizovat verzi klíče pro klíč spravovaný zákazníkem, při konfiguraci šifrování s klíči spravovanými zákazníkem pro účet úložiště vynecháte verzi klíče. Další informace o konfiguraci šifrování pro automatickou obměnu klíčů najdete v tématu Aktualizace verze klíče.

Dále zavolejte az storage account update a aktualizujte nastavení šifrování účtu úložiště, jak je znázorněno v následujícím příkladu. Zahrňte ho --encryption-key-source parameter a nastavte ho tak, aby Microsoft.Keyvault umožňovaly klíče spravované zákazníkem pro účet. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

hsmurl = $(az keyvault show \
    --hsm-name <hsm-name> \
    --query properties.hsmUri \
    --output tsv)

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Pokud chcete ručně aktualizovat verzi klíče spravovaného zákazníkem, při konfiguraci šifrování účtu úložiště zahrňte verzi klíče:

az storage account update
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-name <key> \
    --encryption-key-version $key_version \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $hsmurl

Při ruční aktualizaci verze klíče budete muset aktualizovat nastavení šifrování účtu úložiště tak, aby používala novou verzi. Nejprve se dotazujte na identifikátor URI trezoru klíčů voláním příkazu az keyvault show a verze klíče voláním příkazu az keyvault key list-versions. Potom zavolejte az storage account update a aktualizujte nastavení šifrování účtu úložiště tak, aby používala novou verzi klíče, jak je znázorněno v předchozím příkladu.

Další kroky