Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Informazioni generali
La rotazione automatica delle chiavi crittografiche in Key Vault consente agli utenti di configurare Key Vault per generare automaticamente una nuova versione della chiave a una frequenza specificata. Per configurare la rotazione, è possibile usare i criteri di rotazione, definibili in ogni singola chiave.
È consigliabile ruotare le chiavi di crittografia almeno ogni due anni per soddisfare le procedure consigliate per la crittografia.
Per altre informazioni sul modo in cui gli oggetti in Key Vault sono soggetti al controllo delle versioni, vedere Oggetti, identificatori e controllo delle versioni di Key Vault. Per una conoscenza completa dei concetti di autorotazione in diversi tipi di asset in Azure Key Vault, vedere Informazioni sull'autorotazione in Azure Key Vault.
Integrazione con servizi di Azure
Questa funzionalità consente la rotazione zero-touch end-to-end per la crittografia dei dati inattivi per i servizi di Azure con chiave gestita dal cliente archiviata in Azure Key Vault. Vedere la documentazione specifica del servizio di Azure per verificare se copre la rotazione end-to-end.
Per altre informazioni sulla crittografia dei dati in Azure, vedere:
- Crittografia Azure dei dati inattivi
- Tabella di supporto per la crittografia dei dati dei servizi di Azure
Tariffazione
È previsto un costo aggiuntivo per la rotazione delle chiavi pianificata. Per altre informazioni, vedere la pagina dei prezzi di Azure Key Vault
Autorizzazioni necessarie
La funzionalità di rotazione delle chiavi di Key Vault richiede autorizzazioni per la gestione delle chiavi. È possibile assegnare un ruolo di "Responsabile della crittografia Key Vault" per gestire il criterio di rotazione e la rotazione su richiesta.
Per altre informazioni su come usare il modello di autorizzazione RBAC (Role-Based Access Control) di Key Vault e assegnare ruoli di Azure, vedere Utilizzare un RBAC di Azure per controllare l'accesso a chiavi, certificati e segreti
Annotazioni
Se si usa un modello di autorizzazione dei criteri di accesso, è necessario impostare le autorizzazioni di chiave "Ruota", "Imposta criteri di rotazione" e "Ottieni criteri di rotazione" per gestire i criteri di rotazione per le chiavi.
Criteri di rotazione delle chiavi
Il criterio di rotazione delle chiavi consente agli utenti di configurare la rotazione e le notifiche di Griglia di eventi in prossimità della notifica di scadenza.
Impostazioni dei criteri di rotazione delle chiavi:
- Ora di scadenza: intervallo di scadenza della chiave. Viene usato per impostare la data di scadenza nella chiave appena ruotata. Non influisce su una chiave corrente.
- Abilitata/disabilitata: flag per abilitare o disabilitare la rotazione della chiave
- Tipi di rotazione:
- Rinnovo automatico in un determinato momento dopo la creazione (impostazione predefinita)
- Rinnovo automatico in un determinato momento prima della scadenza. Richiede l'impostazione di "Ora di scadenza" nel criterio di rotazione e di "Data di scadenza" nella chiave.
- Tempo di rotazione: intervallo di rotazione della chiave, il cui valore minimo è sette giorni dalla creazione e sette giorni dalla scadenza
- Tempo di notifica: intervallo di eventi di imminente scadenza della chiave per la notifica di Griglia di eventi. Richiede l'impostazione di "Ora di scadenza" nel criterio di rotazione e di "Data di scadenza" nella chiave.
Importante
La rotazione delle chiavi genera una nuova versione di una chiave esistente con nuovo materiale della chiave. I servizi di destinazione devono usare l'URI della chiave senza versione per eseguire automaticamente l'aggiornamento all’ultima versione della chiave. Assicurarsi che la soluzione di crittografia dei dati archivi l'URI della chiave con controllo delle versioni con i dati per puntare allo stesso materiale della chiave per decrittografare/annullare il wrapping usato per le operazioni di crittografia/wrapping per evitare interruzioni dei servizi. Tutti i servizi di Azure attualmente seguono questo modello di crittografia dei dati.
Configurare il criterio di rotazione della chiave
Configurare il criterio di rotazione della chiave durante la creazione della chiave.
Configurare i criteri di rotazione per le chiavi esistenti.
Interfaccia CLI di Azure
Salvare i criteri di rotazione delle chiavi in un file. Esempio di politica di rotazione delle chiavi:
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Impostare i criteri di rotazione su una chiave passando un file salvato in precedenza usando il comando az keyvault key rotation-policy updatedell'interfaccia della riga di comando di Azure.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Impostare i criteri di rotazione usando il cmdlet Set-AzKeyVaultKeyRotationPolicy di Azure PowerShell.
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Rotazione su richiesta
La rotazione delle chiavi può essere richiamata manualmente.
Portale
Fare clic su "Ruota ora" per richiamare la rotazione.
Interfaccia CLI di Azure
Usare il comando az keyvault key rotate dell'interfaccia della riga di comando di Azure per ruotare la chiave.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Usare il cmdlet Invoke-AzKeyVaultKeyRotation di Azure PowerShell.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Configurare la notifica di imminente scadenza della chiave
Configurazione della notifica di scadenza per l'evento di imminente scadenza della chiave di Griglia di eventi. Nel caso in cui non sia possibile usare la rotazione automatica, ad esempio quando una chiave viene importata dal modulo di protezione hardware locale, è possibile configurare la notifica di imminente scadenza come promemoria per la rotazione manuale o come trigger per la rotazione automatica personalizzata tramite l'integrazione con Griglia di eventi. È possibile configurare la notifica giorni, mesi e anni prima della scadenza per attivare l'evento di imminente scadenza.
Per altre informazioni sulle notifiche relative a Griglia di eventi in Key Vault, vedere Azure Key Vault come origine Griglia di eventi
Configurare la rotazione delle chiavi con il modello ARM
La politica di rotazione delle chiavi può anche essere configurata usando i modelli di Azure Resource Manager.
Annotazioni
Richiede il ruolo di *Collaboratore Key Vault* su Key Vault configurato con RBAC di Azure per distribuire una chiave attraverso il piano di controllo.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Configurare la governance del criterio di rotazione della chiave
Usando il servizio Criteri di Azure, è possibile gestire il ciclo di vita delle chiavi e assicurarsi che tutte le chiavi siano configurate per la rotazione entro un numero specificato di giorni.
Creare e assegnare la definizione del criterio
- Passare alla risorsa Criteri
- Selezionare Assegnazioni in Creazione sul lato sinistro della pagina Criteri di Azure.
- Selezionare Assegna criteri nella parte superiore della pagina. Questo pulsante viene aperto nella pagina Assegnazione dei criteri.
- Immettere le informazioni seguenti:
- Definire l'ambito dei criteri scegliendo la sottoscrizione e il gruppo di risorse su cui verranno applicati i criteri. Selezionare facendo clic sul pulsante a tre punti nel campo Ambito .
- Selezionare il nome della definizione dei criteri: "Le chiavi devono avere un criterio di rotazione in modo che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione".
- Passare alla scheda Parametri nella parte superiore della schermata.
- Impostare il parametro Numero massimo di giorni per la rotazione sul numero di giorni desiderato, ad esempio 730.
- Definire l'effetto desiderato del criterio (Controllo o Disabilitazione).
- Compilare eventuali campi aggiuntivi. Esplorare le schede facendo clic sui pulsanti Indietro e Avanti nella parte inferiore della pagina.
- Selezionare Revisiona e crea
- Selezionare Crea
Dopo aver assegnato i criteri predefiniti, il completamento dell'analisi può richiedere fino a 24 ore. Al termine dell'analisi, è possibile visualizzare i risultati di conformità come indicato di seguito.
Risorse
- Monitoraggio di Key Vault con Azure Event Grid
- Informazioni sull'autorotazione in Azure Key Vault
- Usare Azure RBAC (controllo degli accessi in base al ruolo) per controllare l'accesso a chiavi, certificati e segreti
- Crittografia dei dati inattivi di Azure
- Crittografia dell'Archiviazione di Azure
- Crittografia dischi di Azure
- Rotazione automatica delle chiavi per Transparent Data Encryption