Configurare la rotazione automatica delle chiavi in un HSM gestito di Azure

Panoramica

Nota

La rotazione automatica delle chiavi richiede l'interfaccia della riga di comando di Azure CLI 2.42.0 o versioni successive.

La rotazione automatica delle chiavi nell'HSM gestito consente agli utenti di configurare il modulo HSM affinché possa generare automaticamente una nuova versione della chiave con una frequenza specificata. È possibile impostare un criterio di rotazione per configurare la rotazione per ogni singola chiave e, facoltativamente, per ruotare le chiavi su richiesta. È consigliabile ruotare le chiavi di crittografia almeno ogni due anni per soddisfare le procedure consigliate per la crittografia. Per altro materiale sussidiario ed elementi consigliati, vedere NIST SP 800-57 Part 1.

Questa funzionalità consente la rotazione senza tocco end-to-end per la crittografia dei dati inattivi per i servizi di Azure con chiavi gestite dal cliente (CMK) archiviate nell'HSM gestito di Azure. Vedere la documentazione specifica del servizio di Azure per verificare se copre la rotazione end-to-end.

Prezzi

La rotazione delle chiavi nell'HSM gestito è disponibile senza costi aggiuntivi. Per altre informazioni sui prezzi dell'HSM gestito, vedere la pagina dei prezzi di Azure Key Vault

Avviso

L'HSM gestito ha un limite di 100 versioni per chiave. Le versioni delle chiavi create come parte del conteggio della rotazione automatica o manuale verso questo limite.

Autorizzazioni obbligatorie

La rotazione di una chiave o l'impostazione dei criteri di rotazione delle chiavi richiede autorizzazioni di gestione delle chiavi specifiche. È possibile assegnare il ruolo "Managed HSM Crypto User" per ottenere le autorizzazioni sufficienti per gestire i criteri di rotazione e la rotazione su richiesta.

Per altre informazioni sulle procedure di configurazione delle autorizzazioni locali di controllo degli accessi in base al ruolo nell'HSM gestito, vedere Gestione dei ruoli dell'HSM gestito

Nota

Per impostare un criterio di rotazione è richiesta l'autorizzazione "Scrittura chiave". La rotazione di una chiave su richiesta richiede le autorizzazioni "Rotazione". Entrambi i casi sono inclusi nel ruolo predefinito "Managed HSM Crypto User"

Criteri di rotazione delle chiavi

I criteri di rotazione delle chiavi consentono agli utenti di configurare gli intervalli di rotazione e di impostare l'intervallo di scadenza per le chiavi ruotate. Tali criteri devono essere impostati prima di poter eseguire la rotazione su richiesta delle chiavi.

Nota

L'HSM gestito non supporta le notifiche della Griglia di eventi

Impostazioni dei criteri di rotazione delle chiavi:

  • Scadenza: intervallo di scadenza della chiave (minimo 28 giorni). Si utilizza per impostare la data di scadenza su una chiave appena ruotata. Ad esempio, dopo la rotazione, la scadenza della nuova chiave viene impostata su 30 giorni.
  • Tipi di rotazione:
    • Rinnovo automatico in un determinato momento dopo la creazione
    • Rinnovo automatico in un determinato momento prima della scadenza. L'impostazione "Data di scadenza" della chiave è necessaria per attivare l'evento.

Avviso

Un criterio di rotazione automatica non può imporre che la creazione di nuove versioni di chiavi avvenga più frequentemente di una volta ogni 28 giorni. Per i criteri di rotazione basati sulla creazione, ciò significa che il valore minimo per timeAfterCreate è P28D. Per i criteri di rotazione basati sulla scadenza, il valore massimo di timeBeforeExpiry dipende da expiryTime. Ad esempio, se expiryTime è P56D, timeBeforeExpiry può essere al massimo P28D.

Configurare un criterio di rotazione delle chiavi

Interfaccia della riga di comando di Azure

Scrivere un criterio di rotazione delle chiavi e salvarlo in un file. Utilizzare i formati di durata ISO8601 per specificare gli intervalli di tempo. Nella sezione successiva sono riportati alcuni criteri di esempio. Utilizzare il comando seguente per applicare il criterio a una chiave.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Criteri di esempio

Ruotare la chiave 18 mesi dopo la creazione e impostare una scadenza di due anni per la nuova chiave.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Ruotare la chiave 28 giorni prima della scadenza e impostare una scadenza di un anno per la nuova chiave.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Rimuovere i criteri di rotazione delle chiavi impostando un criterio vuoto

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotazione su richiesta

Dopo avere impostato un criterio di rotazione per la chiave, è anche possibile ruotare la chiave su richiesta. In primo luogo, impostare un criterio di rotazione delle chiavi.

Interfaccia della riga di comando di Azure

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Risorse