Configurare le chiavi gestite dal cliente nello stesso tenant per un nuovo account di archiviazione
Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile usare chiavi gestite dal cliente. Le chiavi gestite dal cliente devono essere archiviate in un'istanza di Azure Key Vault o in un modulo di protezione hardware gestito da Azure Key Vault.
Questo articolo illustra come configurare la crittografia con chiavi gestite dal cliente al momento della creazione di un nuovo account di archiviazione. Le chiavi gestite dal cliente vengono archiviate in un insieme di credenziali delle chiavi.
Per informazioni su come configurare le chiavi gestite dal cliente per un account di archiviazione esistente, vedere Configurare chiavi gestite dal cliente in un insieme di credenziali delle chiavi di Azure per un account di archiviazione esistente.
Nota
Azure Key Vault e il modulo di protezione hardware gestito da Azure Key Vault supportano le stesse API e interfacce di gestione per la configurazione delle chiavi gestite dal cliente. Qualsiasi azione supportata per Azure Key Vault è supportata anche per il modulo di protezione hardware gestito da Azure Key Vault.
Configurare l'insieme di credenziali delle chiavi
È possibile usare un insieme di credenziali delle chiavi nuovo o esistente per archiviare le chiavi gestite dal cliente. L'account di archiviazione e l'insieme di credenziali delle chiavi possono trovarsi in aree o sottoscrizioni diverse nello stesso tenant. Per altre informazioni su Azure Key Vault, vedere Panoramica di Azure Key Vault e Che cos'è Azure Key Vault?.
L'uso delle chiavi gestite dal cliente con la crittografia Archiviazione di Azure richiede che sia l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate per l'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non può essere disabilitata. È possibile abilitare la protezione dall'eliminazione quando si crea l'insieme di credenziali delle chiavi o dopo la creazione.
Azure Key Vault supporta l'autorizzazione con il controllo degli accessi in base al ruolo di Azure tramite un modello di autorizzazione del controllo degli accessi in base al ruolo di Azure. Microsoft consiglia di usare il modello di autorizzazione del controllo degli accessi in base al ruolo di Azure sui criteri di accesso dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Concedere alle applicazioni l'autorizzazione per accedere a un insieme di credenziali delle chiavi di Azure usando il controllo degli accessi in base al ruolo di Azure.
Per informazioni su come creare un insieme di credenziali delle chiavi con il portale di Azure, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando il portale di Azure. Quando si crea l'insieme di credenziali delle chiavi, selezionare Abilita ripulitura protezione, come illustrato nell'immagine seguente.
Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente, seguire questa procedura:
- Passare all'insieme di credenziali delle chiavi nel portale di Azure.
- In Impostazioni, scegliere Proprietà.
- Nella sezione Protezione dalla rimozione definitiva, scegliere Abilita protezione dalla rimozione definitiva.
Aggiungere una chiave
Aggiungere quindi una chiave all'insieme di credenziali delle chiavi. Prima di aggiungere la chiave, assicurarsi di aver assegnato a se stessi il ruolo di Responsabile della crittografia di Key Vault.
Archiviazione di Azure crittografia supporta chiavi RSA e RSA-HSM di dimensioni 2048, 3072 e 4096. Per altre informazioni sui tipi di chiave supportati, vedere Informazioni sulle chiavi.
Per informazioni su come aggiungere una chiave con il portale di Azure, vedere Avvio rapido: Impostare e recuperare una chiave da Azure Key Vault usando il portale di Azure.
Usare un'identità gestita assegnata dall'utente per autorizzare l'accesso all'insieme di credenziali delle chiavi
Quando si abilitano le chiavi gestite dal cliente per un nuovo account di archiviazione, è necessario specificare un'identità gestita assegnata dall'utente. Un account di archiviazione esistente supporta l'uso di un'identità gestita assegnata dall'utente o di un'identità gestita assegnata dal sistema per configurare le chiavi gestite dal cliente.
Quando si configurano le chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, l'identità gestita assegnata dall'utente viene usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. È necessario creare l'identità assegnata dall'utente prima di configurare le chiavi gestite dal cliente.
Un'identità gestita assegnata dall'utente è una risorsa di Azure autonoma. Per altre informazioni sulle identità gestite assegnate dall'utente, vedere Tipi di identità gestita. Per informazioni su come creare e gestire un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.
L'identità gestita assegnata dall'utente deve avere le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. Assegnare il ruolo utente Crittografia servizio di crittografia dell'insieme di credenziali delle chiavi all'identità gestita assegnata dall'utente con ambito dell'insieme di credenziali delle chiavi per concedere queste autorizzazioni.
Prima di poter configurare le chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, è necessario assegnare il ruolo utente Crittografia servizio crittografia crittografia key vault all'identità gestita assegnata dall'utente, con ambito all'insieme di credenziali delle chiavi. Questo ruolo concede all'identità gestita assegnata dall'utente le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. Per altre informazioni sull'assegnazione dei ruoli controllo degli accessi in base al ruolo di Azure con il portale di Azure, vedere Assegnare ruoli di Azure usando il portale di Azure.
Quando si configurano chiavi gestite dal cliente con il portale di Azure, è possibile selezionare un'identità assegnata dall'utente esistente tramite l'interfaccia utente del portale.
Configurare le chiavi gestite dal cliente per un nuovo account di archiviazione
Quando si configura la crittografia con chiavi gestite dal cliente per un nuovo account di archiviazione, è possibile scegliere di aggiornare automaticamente la versione della chiave usata per la crittografia Archiviazione di Azure ogni volta che è disponibile una nuova versione nell'insieme di credenziali delle chiavi associato. In alternativa, è possibile specificare in modo esplicito una versione della chiave da usare per la crittografia fino a quando la versione della chiave non viene aggiornata manualmente.
È necessario usare un'identità gestita assegnata dall'utente esistente per autorizzare l'accesso all'insieme di credenziali delle chiavi quando si configurano le chiavi gestite dal cliente durante la creazione dell'account di archiviazione. L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Eseguire l'autenticazione in Azure Key Vault.
Configurare la crittografia per l'aggiornamento automatico delle versioni delle chiavi
Archiviazione di Azure possibile aggiornare automaticamente la chiave gestita dal cliente usata per la crittografia per usare la versione più recente della chiave dall'insieme di credenziali delle chiavi. Archiviazione di Azure controlla ogni giorno l'insieme di credenziali delle chiavi per una nuova versione della chiave. Quando una nuova versione diventa disponibile, Archiviazione di Azure inizia automaticamente a usare la versione più recente della chiave per la crittografia.
Importante
Archiviazione di Azure controlla l'insieme di credenziali delle chiavi per verificare la disponibilità di una nuova versione della chiave una sola volta al giorno. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.
Per configurare le chiavi gestite dal cliente per un nuovo account di archiviazione con l'aggiornamento automatico della versione della chiave, seguire questa procedura:
Nella portale di Azure passare alla pagina Account di archiviazione e selezionare il pulsante Crea per creare un nuovo account.
Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Informazioni di base, Avanzate, Rete e Protezione dei dati.
Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente.
Selezionare Chiavi gestite dal cliente in Tipo di crittografia.
Nel campo Chiave di crittografia scegliere Selezionare un insieme di credenziali delle chiavi e una chiave e specificare l'insieme di credenziali delle chiavi e la chiave.
Per il campo Identità assegnata dall'utente, selezionare un'identità gestita assegnata dall'utente esistente.
Selezionare il pulsante Rivedi per convalidare e creare l'account.
È anche possibile configurare chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave quando si crea un nuovo account di archiviazione. Seguire i passaggi descritti in Configurare la crittografia per l'aggiornamento manuale delle versioni delle chiavi.
Configurare la crittografia per l'aggiornamento manuale delle versioni delle chiavi
Se si preferisce aggiornare manualmente la versione della chiave, specificare in modo esplicito la versione quando si configura la crittografia con chiavi gestite dal cliente durante la creazione dell'account di archiviazione. In questo caso, Archiviazione di Azure non aggiornerà automaticamente la versione della chiave quando viene creata una nuova versione nell'insieme di credenziali delle chiavi. Per usare una nuova versione della chiave, è necessario aggiornare manualmente la versione usata per la crittografia Archiviazione di Azure.
È necessario usare un'identità gestita assegnata dall'utente esistente per autorizzare l'accesso all'insieme di credenziali delle chiavi quando si configurano le chiavi gestite dal cliente durante la creazione dell'account di archiviazione. L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Eseguire l'autenticazione in Azure Key Vault.
Per configurare le chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave nel portale di Azure, specificare l'URI della chiave, inclusa la versione, durante la creazione dell'account di archiviazione. Per specificare una chiave come URI, seguire questa procedura:
Nella portale di Azure passare alla pagina Account di archiviazione e selezionare il pulsante Crea per creare un nuovo account.
Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Informazioni di base, Avanzate, Rete e Protezione dei dati.
Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente.
Selezionare Chiavi gestite dal cliente in Tipo di crittografia.
Per individuare l'URI della chiave nel portale di Azure, andare all'insieme di credenziali delle chiavi e selezionare l'impostazione Chiavi. Selezionare la chiave desiderata, quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le relative impostazioni.
Copiare il valore del campo Identificatore della chiave, che fornisce l'URI.
Nelle impostazioni della chiave di crittografia per l'account di archiviazione scegliere l'opzione Immettere l'URI della chiave.
Incollare l'URI copiato nel campo chiave URI. Includere la versione della chiave nell'URI per configurare l'aggiornamento manuale della versione della chiave.
Specificare un'identità gestita assegnata dall'utente scegliendo il collegamento Selezionare un'identità .
Selezionare il pulsante Rivedi per convalidare e creare l'account.
Modificare la chiave
È possibile modificare la chiave usata per la crittografia di Archiviazione di Azure in qualsiasi momento.
Nota
Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure rimangono sempre crittografati. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La modifica della chiave o la rotazione della versione della chiave non influisce sulle prestazioni. Non sono previsti tempi di inattività associati alla modifica della chiave o alla rotazione della versione della chiave.
Per modificare la chiave usando il portale di Azure, seguire questa procedura:
- Passare all'account di archiviazione e visualizzare le impostazioni di Crittografia.
- Selezionare l'insieme di credenziali delle chiavi e scegliere una nuova chiave.
- Salva le modifiche.
Se la nuova chiave si trova in un insieme di credenziali delle chiavi differente, è necessario concedere all'identità gestita l'accesso alla chiave nel nuovo insieme di credenziali. Se si sceglie l'aggiornamento manuale della versione della chiave, sarà necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.
Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente
Per revocare temporaneamente l'accesso a un account di archiviazione che usa chiavi gestite dal cliente, disabilitare la chiave attualmente usata nell'insieme di credenziali delle chiavi. La disabilitazione e la riabilitazione della chiave non comporta alcun impatto sulle prestazioni o tempi di inattività.
Dopo aver disabilitato la chiave, i client non possono chiamare operazioni che leggono o scrivono in un BLOB o nei relativi metadati. Per informazioni sulle operazioni che avranno esito negativo, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.
Attenzione
Quando si disabilita la chiave nell'insieme di credenziali delle chiavi, i dati nell'account di archiviazione di Azure rimangono crittografati, ma diventa inaccessibile fino a quando non si riabilita la chiave.
Per disabilitare una chiave gestita dal cliente nel portale di Azure, seguire questa procedura:
Passare all'insieme di credenziali delle chiavi che contiene la chiave.
In Oggetti, selezionare Chiavi.
Fare clic con il pulsante destro del mouse sulla chiave e scegliere Disabilita.
La disabilitazione della chiave causerà l'esito negativo dei tentativi di accesso ai dati nell'account di archiviazione con codice di errore 403 (Accesso negato). Per un elenco delle operazioni dell'account di archiviazione che saranno interessate dalla disabilitazione della chiave, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.
Passare nuovamente alle chiavi gestite da Microsoft
È possibile passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft in qualsiasi momento, usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.
Per passare nuovamente dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft nel portale di Azure, seguire questa procedura:
Passa all'account di archiviazione.
In Sicurezza e rete selezionare Crittografia.
Impostare Tipo di crittografia su Chiavi gestite da Microsoft.
Passaggi successivi
- Crittografia del servizio di archiviazione di Azure per dati inattivi
- Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure
- Configurare le chiavi gestite dal cliente in un insieme di credenziali delle chiavi di Azure per un account di archiviazione esistente
- Configurare la crittografia con chiavi gestite dal cliente archiviate nel modulo di protezione hardware gestito di Azure Key Vault