Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Автоматизируя смену криптографического ключа в Key Vault, можно настроить Key Vault для автоматического создания новой версии ключа с выбранной частотой. Чтобы настроить поворот, используйте политику смены ключей, которую можно определить для каждого отдельного ключа.
Чтобы следовать рекомендациям по шифрованию, смените ключи шифрования по крайней мере каждые два года.
Дополнительные сведения о том, как Key Vault выполняет управление версиями объектов, см. в разделе объекты Key Vault, идентификаторы и версии. Для полного понимания концепций автоповорота в разных типах активов в Azure Key Vault см. раздел Понимание автоповорота в Azure Key Vault.
Интеграция со службами Azure
Эта функция обеспечивает сквозную автоматическую ротацию для шифрования данных в состоянии покоя для служб Azure с использованием ключа, управляемого клиентом (CMK), хранящегося в Azure Key Vault. Проверьте конкретную документацию по службе Azure, чтобы узнать, поддерживает ли служба сквозную смену.
Примечание.
При смене ключей, управляемых клиентом, которые используют службы Azure, время, необходимое каждой службе для обнаружения и применения новой версии ключа, варьируется (от одного часа до 24 часов или более). Обратитесь к определенной документации по службе Azure, чтобы узнать, когда после смены можно безопасно отключить старую версию ключа.
Дополнительные сведения о шифровании данных в Azure см. в следующем разделе:
- Azure шифрование данных в покое
- Таблица поддержки шифрования данных служб Azure
Ценообразование
Для каждой запланированной смены ключей взимается дополнительная плата. Дополнительные сведения см. на странице цен Azure Key Vault.
Необходимые разрешения
Для функции смены ключей Key Vault требуются разрешения на управление ключами. Назначьте роль крипто-офицера Key Vault для управления политикой ротации и ротацией по запросу.
Дополнительные сведения об использовании Azure RBAC для Key Vault и назначении ролей Azure см. в статье Использование Azure RBAC для управления доступом к ключам, сертификатам и секретам.
Примечание.
Если вы используете модель разрешений политик доступа, задайте разрешения "Повернуть", "Задать политику поворота" и "Получить политику поворота" для управления политикой смены ключей.
Политика смены ключей
Политика ротации ключей позволяет настроить ротацию и уведомления от Event Grid для уведомлений о скором истечении срока действия.
Параметры политики смены ключей:
- Срок действия: интервал окончания срока действия для ключа. Он задает дату окончания срока действия только что вращаемого ключа. Это не влияет на текущий ключ.
- Включено или отключено: флаг для включения или отключения поворота ключа.
- Типы поворотов:
- Автоматическое продление в определенное время после создания (по умолчанию).
- Автоматическое продление в заданный момент времени перед окончанием срока действия. При этом для политики смены нужно задать значение "Срок действия", а для ключа — "Дата окончания срока действия".
- Время поворота: интервал поворота ключа. Минимальное значение — семь дней от создания и семи дней с момента истечения срока действия.
- Время уведомления: интервал времени до события скорого истечения срока действия ключа для уведомления в Event Grid. При этом для политики смены нужно задать значение "Срок действия", а для ключа — "Дата окончания срока действия".
Это важно
Смена ключа позволяет создать новую версию существующего ключа с новыми ключевыми данными. Целевые службы должны использовать URI ключа без указания версии для автоматического обновления до его последней версии. Убедитесь, что ваше решение для шифрования данных хранит URI версии ключа вместе с данными, чтобы указывать на один и тот же криптографический материал для операций дешифровки или распаковки и избежать сбоев в работе ваших служб. Все службы Azure в настоящее время следуют этому шаблону для шифрования данных.
Смена ключей повторно упаковывает ключи шифрования данных (DEK) с новой версией ключа— она не повторно шифрует базовые данные. Старые и новые версии ключей должны оставаться включёнными до завершения повторной упаковки, так как существующие данные остаются зашифрованными под DEK, упакованными старой версией ключа.
Настройка политики смены ключей
Настройте политику смены ключей в момент создания ключа.
Настройте политику вращения для существующих ключей.
Azure CLI
Сохраните политику ротации ключей в файл. Вот пример политики ротации ключей.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Задайте политику ротации для ключа, используя ранее сохраненный файл, с помощью команды Azure CLI az keyvault key rotation-policy update.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Задайте политику поворота с помощью командлета Azure PowerShell Set-AzKeyVaultKeyRotationPolicy.
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Вращение по запросу
Можно вручную вызвать смену ключа.
Портал
Нажмите кнопку "Повернуть сейчас" , чтобы начать процесс поворота.
Azure CLI
Для ротации ключа используйте команду Azure CLI az keyvault key rotate.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Используйте командлет Azure PowerShell Invoke-AzKeyVaultKeyRotation для смены ключа.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Настройка уведомления о скором окончании срока действия ключа
Вы можете настроить уведомление об истечении срока действия для ключа сетки событий почти на момент истечения срока действия. Если автоматическая смена не может использоваться, например при импорте ключа из локального устройства HSM, вы можете настроить уведомление о истечении срока действия в качестве напоминания о смене вручную или в качестве триггера для пользовательской автоматической смены с помощью интеграции с Сеткой событий. Вы можете настроить уведомление, чтобы оно срабатывало за дни, месяцы или годы до истечения срока действия ключа.
Для получения дополнительных сведений о сетевых уведомлениях в Хранилище ключей Azure см. Azure Key Vault в качестве источника сетевых событий.
Настройка ротации ключей с помощью шаблона ARM
Политику смены ключей можно настроить с помощью шаблонов ARM.
Примечание.
Чтобы развернуть ключ с помощью плоскости управления, вам потребуется роль Key Vault Contributor на Key Vault, настроенном с помощью Azure RBAC.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation, for example, P30D, P1M, P2Y."
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version, for example, P90D, P2M, P3Y."
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification, for example, P30D."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2024-11-01",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Настройка управления политикой смены ключей
Используя службу Политика Azure, вы можете управлять жизненным циклом ключей и убедиться, что все ключи настроены для смены в течение указанного количества дней.
Создание и назначение определения политики
- Перейдите к ресурсу политики.
- Выберите Assignments в разделе Authoring в левой части страницы Политика Azure.
- Выберите " Назначить политику " в верхней части страницы. Эта кнопка откроется на странице назначения политики.
- Введите следующие данные:
- Определите область политики, выбрав подписку и группу ресурсов, над которой применяется политика. Выберите, нажав кнопку с тремя точками в поле "Область ".
- Выберите имя определения политики: "Ключи должны иметь политику смены, гарантируя, что их смена запланирована в течение указанного числа дней после создания".
- Перейдите на вкладку "Параметры" в верхней части страницы.
- Задайте максимальное число дней для смены параметра в нужное число дней, например 730.
- Определите требуемый эффект политики (аудит или отключение).
- Заполните все дополнительные поля. Перейдите на вкладки, нажав кнопки "Назад " и "Далее " в нижней части страницы.
- Выберите Review + create.
- Нажмите кнопку "Создать".
После назначения встроенной политики может потребоваться до 24 часов, чтобы завершить проверку. По завершении сканирования вы увидите результаты соответствия, как показано ниже.
Использование искусственного интеллекта для настройки политик смены ключей
GitHub Copilot поможет вам создать настраиваемые политики смены ключей для конкретных требований соответствия требованиям или интеграции служб Azure.
I need to configure a key rotation policy for my Azure Key Vault key that's used for Azure Storage encryption. Help me create the rotation policy with these requirements:
- Key vault name: my-storage-kv
- Key name: storage-encryption-key
- Rotate the key every 180 days
- Send a notification 30 days before expiry
- Set key expiration to 2 years
Provide both Azure CLI commands and a JSON policy file I can use with the Azure CLI.
GitHub Copilot работает на ИИ, поэтому возможны как неожиданные результаты, так и ошибки. Дополнительные сведения см. в разделе Copilot часто задаваемые вопросы.
Ресурсы
- Мониторинг Key Vault при помощи Сетка событий Azure
- Понимание авторотации в Azure Key Vault
- Использовать Azure RBAC для управления доступом к ключам, сертификатам и секретам
- Шифрование данных в покое в Azure
- шифрование служба хранилища Azure
- Шифрование дисков Azure
- Автоматическая смена ключей для прозрачного шифрования данных