Configurar a troca automática de chave no HSM gerenciado pelo Azure
Visão geral
Observação
A rotação automática de chaves requer a CLI do Azure versão 2.42.0 ou superior.
A troca automática de chave no HSM gerenciado permite que os usuários configurem o HSM gerenciado para gerar automaticamente uma nova versão da chave em uma frequência especificada. Você pode definir uma política de troca para configurar a troca de cada chave individual e, opcionalmente, trocar as chaves sob demanda. Nossa recomendação é girar as chaves de criptografia pelo menos a cada dois anos para atender às práticas recomendadas de criptografia. Para obter diretrizes e recomendações adicionais, confira NIST SP 800-57 Parte 1.
Esse recurso habilita a troca sem intervenção humana de ponta a ponta para criptografia de dados inativos nos serviços do Azure com CMK (chave gerenciada pelo cliente) armazenados no HSM gerenciado do Azure. Confira a documentação específica do serviço do Azure para ver se o serviço abrange a rotação de ponta a ponta.
Preços
A troca de chave HSM gerenciado é oferecida sem custo adicional. Para obter mais informações sobre o HSM gerenciado, confira a página de preços do Azure Key Vault
Aviso
O HSM gerenciado tem um limite de 100 versões por chave. As versões de chave criadas na troca automática ou manual contam com relação a esse limite.
Permissões necessárias
A troca de uma chave ou a definição de uma política de troca de chave requer permissões específicas de gerenciamento de chaves. Você pode atribuir a função "Usuário de Criptografia do HSM Gerenciado" para obter permissões suficientes para gerenciar a política de troca e a troca sob demanda.
Para obter mais informações sobre como configurar permissões RBAC locais no HSM gerenciado, confira: Gerenciamento de função do HSM gerenciado
Observação
A definição de uma política de troca requer a permissão "Gravação de Chave". A troca de chave sob demanda requer permissões de "Troca". Ambas estão incluídas com a função interna "Usuário de Criptografia do HSM Gerenciado"
Política de rotação de chaves
A política de troca de chaves permite que os usuários configurem intervalos de troca e definam o intervalo de expiração para chaves trocadas. Ela precisa ser definida para que as chaves possam ser trocadas sob demanda.
Observação
O HSM gerenciado não dá suporte a notificações da Grade de Eventos
Configurações da política de rotação de chaves:
- Tempo de expiração: intervalo de expiração da chave (mínimo de 28 dias). Ele é usado para definir a data de validade em uma chave recém-trocada (por exemplo, após a troca, a nova chave é definida para expirar em 30 dias).
- Tipos de rotação:
- Renovar automaticamente em um determinado momento após a criação
- Renovar automaticamente em um determinado momento antes da expiração. A 'Data de Validade' precisa ser definida na chave para que esse evento seja disparado.
Aviso
Uma política de rotação automática não pode exigir que novas versões principais sejam criadas com mais frequência do que uma vez a cada 28 dias. Para políticas de troca baseadas em criação, isso significa que o valor timeAfterCreate
mínimo é P28D
. Para políticas de troca baseadas em expiração, o valor máximo para timeBeforeExpiry
depende do expiryTime
. Por exemplo, se expiryTime
for P56D
, timeBeforeExpiry
poderá ser no máximo P28D
.
Configurar uma política de troca de chaves
CLI do Azure
Crie uma política de troca de chaves e salve-a em um arquivo. Use formatos de duração ISO8601 para especificar intervalos de tempo. Algumas políticas de exemplo são fornecidas na próxima seção. Use o comando a seguir para aplicar a política a uma chave.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Exemplo de políticas
Trocar a chave 18 meses após a criação e definir a nova chave para expirar após dois anos.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Trocar a chave 28 dias antes da expiração e definir a nova chave para expirar após um anos.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Remover a política de troca de chaves (definindo uma política em branco)
{
"lifetimeActions": [],
"attributes": {}
}
Rotação sob demanda
Depois que uma política de troca é definida para a chave, você também pode trocar a chave sob demanda. Você precisa definir uma política de troca de chaves.
CLI do Azure
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>