Поделиться через


Настройка ключей, управляемых клиентом, в том же клиенте для новой учетной записи хранения

Служба хранилища Azure шифрует все данные в неактивных учетных записях хранения. По умолчанию данные шифруются с помощью ключей, управляемых Майкрософт. Для дополнительного контроля над ключами шифрования можно управлять собственными ключами. Ключи, управляемые клиентом, должны храниться в Azure Key Vault или в HSM — управляемом Azure Key Vault аппаратном модуле безопасности.

В этой статье показано, как настроить шифрование с помощью ключей, управляемых клиентом, во время создания учетной записи хранения. Ключи, управляемые клиентом, хранятся в хранилище ключей.

Сведения о настройке ключей, управляемых клиентом, для существующей учетной записи хранения см. в статье Настройка ключей, управляемых клиентом, в хранилище ключей Azure для существующей учетной записи хранения.

Примечание.

Azure Key Vault и Управляемый HSM Azure Key Vault поддерживают одни и те же ИНТЕРФЕЙСы API и интерфейсы управления для настройки ключей, управляемых клиентом. Все действия, поддерживаемые Для Azure Key Vault, также поддерживаются для управляемого HSM в Azure Key Vault.

Настройка хранилища ключей

Для хранения ключей, управляемых клиентом, можно использовать новое или существующее хранилище ключей. Учетная запись хранения и хранилище ключей могут находиться в разных регионах или подписках одного клиента. Дополнительные сведения об Azure Key Vault см. в статьях Общие сведения об Azure Key Vault и Что такое Azure Key Vault.

Для использования ключей, управляемых клиентом, с шифрованием службы хранилища Azure требуется включить для хранилища ключей обратимое удаление и защиту от очистки. Обратимое удаление активируется по умолчанию при создании хранилища ключей, отключить его нельзя. Защиту от очистки можно включить при создании хранилища ключей или позднее.

Azure Key Vault поддерживает авторизацию с помощью Azure RBAC с помощью модели разрешений Azure RBAC. Корпорация Майкрософт рекомендует использовать модель разрешений Azure RBAC для политик доступа к хранилищу ключей. Дополнительные сведения см. в статье "Предоставление разрешений приложениям для доступа к хранилищу ключей Azure" с помощью Azure RBAC.

О том, как создать хранилище ключей с помощью портала Azure см. в этом кратком руководстве. При создании хранилища ключей выберите Включить защиту от очистки, как показано на следующем рисунке.

Снимок экрана: включение защиты от очистки при создании хранилища ключей.

Чтобы включить защиту от очистки в существующем хранилище ключей, выполните следующие действия.

  1. Откройте хранилище ключей на портале Azure.
  2. В разделе Параметры выберите Свойства.
  3. В разделе Защита от очистки выберите Включить защиту от очистки.

Добавление ключа

Далее добавьте ключ в хранилище ключей. Прежде чем добавить ключ, убедитесь, что вы назначили себе роль офицера шифрования Key Vault.

Шифрование службы хранилища Azure поддерживает ключи RSA и RSA-HSM размером 2048, 3072 и 4096. Дополнительные сведения о поддерживаемых типах ключей см. в статье Общие сведениях о ключах.

О том, как добавить ключ с помощью портала Azure, см. в статье Краткое руководство. Настройка и получение ключа из Azure Key Vault с помощью портала Azure.

Использование управляемого удостоверения, назначаемого пользователем, для авторизации доступа к хранилищу ключей

При настройке ключей, управляемых клиентом, для новой учетной записи хранения необходимо указать управляемое удостоверение, назначаемое пользователем. Существующая учетная запись хранения поддерживает использование управляемого удостоверения, назначаемого пользователем, или управляемого удостоверения, назначаемого системой, для настройки ключей, управляемых клиентом.

При настройке ключей, управляемых клиентом, с помощью управляемого удостоверения, назначаемого пользователем, используется управляемое удостоверение, назначаемое пользователем, для авторизации доступа к хранилищу ключей, содержащего ключ. Прежде чем настраивать ключи, управляемые клиентом, необходимо создать назначаемое пользователем удостоверение.

Управляемое удостоверение, назначаемое пользователем, является автономным ресурсом Azure. Дополнительные сведения об управляемых удостоверениях, назначаемых пользователем, см. в разделе Типы управляемых удостоверений. Дополнительные сведения о том, как создать управляемое удостоверение, назначаемое пользователем, и управлять им, см. в статье Управление управляемым удостоверением, назначаемым пользователем.

Управляемое удостоверение, назначаемое пользователем, должно иметь разрешения на доступ к ключу в хранилище ключей. Назначьте роль пользователя шифрования службы шифрования key Vault управляемому удостоверению, назначаемого пользователем, с областью хранилища ключей, чтобы предоставить эти разрешения.

Прежде чем настроить управляемые клиентом ключи с помощью управляемого удостоверения, назначаемого пользователем, необходимо назначить роль пользователя шифрования службы шифрования Key Vault управляемому удостоверению, назначенному пользователем, в хранилище ключей. Эта роль предоставляет разрешения на управляемое удостоверение, назначаемое пользователем, для доступа к ключу в хранилище ключей. Дополнительные сведения о назначении ролей Azure RBAC с помощью портал Azure см. в статье "Назначение ролей Azure с помощью портал Azure".

При настройке ключей, управляемых клиентом, с помощью портала Azure вы можете выбрать существующее назначаемое пользователем удостоверение через пользовательский интерфейс портала.

Настройка ключей, управляемых клиентом, для новой учетной записи хранения

При настройке шифрования с помощью ключей, управляемых клиентом, для новой учетной записи хранения вы можете настроить автоматическое обновление версии ключа, используемой для шифрования службы хранилища Azure, всякий раз, когда новая версия будет доступной в связанном хранилище ключей. Либо можно явно указать версию ключа, которая будет использоваться для шифрования до тех пор, пока вы не обновите ее вручную.

Вы должны использовать существующее управляемое удостоверение, назначаемое пользователем, для авторизации доступа к хранилищу ключей при настройке ключей, управляемых клиентом, во время создания учетной записи хранения. Управляемое удостоверение, назначаемое пользователем, должно иметь соответствующие разрешения для доступа к хранилищу ключей. Дополнительные сведения см. в статье Проверка подлинности в Azure Key Vault.

Настройка шифрования для автоматического обновления версий ключа

Служба хранилища Azure может автоматически обновлять ключ, управляемый клиентом, применяемый для шифрования, чтобы использовать последнюю версию ключа из хранилища ключей. Служба хранилища Azure ежедневно проверяет хранилище ключей на наличие новой версии ключа. Когда новая версия будет доступна, служба хранилища Azure автоматически начинает использовать последнюю версию ключа для шифрования.

Внимание

Служба хранилища Azure проверяет хранилище ключей на наличие новой версии ключа только один раз в день. После смены ключа подождите 24 часа, прежде чем отключить старую версию.

Чтобы настроить ключи, управляемые клиентом, для новой учетной записи хранения с автоматическим обновлением версии ключа:

  1. На портале Azure перейдите на страницу Учетные записи хранения и нажмите кнопку Создать, чтобы создать новую учетную запись.

  2. Выполните шаги, описанные в разделе Создание учетной записи хранения, чтобы заполнить поля на вкладках Основные сведения, Дополнительно, Сеть и Защита данных.

  3. На вкладке Шифрование укажите, для каких служб вы хотите включить поддержку ключей, управляемых клиентом, в поле Включить поддержку ключей, управляемых клиентом.

  4. В поле Тип шифрования выберите Ключи, управляемые клиентом (CMK).

  5. В поле Ключ шифрования щелкните Выберите хранилище ключей и ключ и укажите хранилище ключей и ключ.

  6. В поле Назначаемое пользователем удостоверение выберите существующее управляемое удостоверение, назначаемое пользователем.

    Снимок экрана: настройка ключа, управляемого клиентом, для новой учетной записи хранения на портале Azure.

  7. Нажмите кнопку Просмотреть для проверки и создания учетной записи.

Вы также можете настроить ключи, управляемые клиентом, с обновлением версии ключа вручную во время создания новой учетной записи хранения. Выполните действия, описанные в разделе Настройка шифрования для обновления версий ключей вручную.

Настройка шифрования для обновления версий ключа вручную

Если вы предпочитаете обновлять версию ключа вручную, необходимо в явной форме указать ее версию при настройке шифрования с ключами, управляемыми клиентом, при создании учетной записи хранения. В этом случае служба хранилища Azure не будет автоматически обновлять версию ключа при создании новой версии в хранилище ключей. Чтобы использовать новую версию ключа, необходимо вручную обновить версию, используемую для шифрования службы хранилища Azure.

Вы должны использовать существующее управляемое удостоверение, назначаемое пользователем, для авторизации доступа к хранилищу ключей при настройке ключей, управляемых клиентом, во время создания учетной записи хранения. Управляемое удостоверение, назначаемое пользователем, должно иметь соответствующие разрешения для доступа к хранилищу ключей. Дополнительные сведения см. в статье Проверка подлинности в Azure Key Vault.

Чтобы настроить ручное обновление версий ключей, управляемых клиентом, с помощью портале Azure, укажите URI ключа, включая версию, при создании учетной записи хранения. Чтобы указать ключ с помощью URI, выполните следующие действия.

  1. На портале Azure перейдите на страницу Учетные записи хранения и нажмите кнопку Создать, чтобы создать новую учетную запись.

  2. Выполните шаги, описанные в разделе Создание учетной записи хранения, чтобы заполнить поля на вкладках Основные сведения, Дополнительно, Сеть и Защита данных.

  3. На вкладке Шифрование укажите, для каких служб вы хотите включить поддержку ключей, управляемых клиентом, в поле Включить поддержку ключей, управляемых клиентом.

  4. В поле Тип шифрования выберите Ключи, управляемые клиентом (CMK).

  5. Чтобы найти URI ключа на портале Azure, перейдите в хранилище ключей и выберите параметр Ключи. Выберите нужный ключ, а затем щелкните его, чтобы просмотреть его версии. Выберите версию ключа для просмотра ее параметров.

  6. Скопируйте значение поля Идентификатор ключа, которое предоставляет универсальный код ресурса (URI).

    Снимок экрана: URI ключа в хранилище ключей на портале Azure.

  7. В параметрах раздела Ключ шифрования для учетной записи хранения нажмите Введите URI ключа.

  8. Вставьте скопированный URI в поле URI ключа. Включите версию ключа в URI для настройки обновления версии ключа вручную.

  9. Укажите управляемое удостоверение, назначаемое пользователем, выбрав ссылку Выбрать удостоверение.

    Снимок экрана: ввод URI ключа на портале Azure.

  10. Нажмите кнопку Просмотреть для проверки и создания учетной записи.

Изменение ключа

Ключ, используемый для шифрования службы хранилища Azure, можно изменить в любое время.

Примечание.

При изменении версии ключа или ключа защита корневого ключа шифрования изменяется, но данные в вашей учетной записи служба хранилища Azure все время шифруются. С вашей стороны не требуется никаких дополнительных действий для обеспечения защиты ваших данных. Изменение ключа или смена версии ключа не влияет на производительность. Простой не связан с изменением ключа или поворотом версии ключа.

Чтобы изменить ключ с помощью портала Azure, выполните следующие действия:

  1. Перейдите к своей учетной записи хранения и откройте раздел параметров Шифрование.
  2. Выберите хранилище ключей, а затем — новый ключ.
  3. Сохранение изменений.

Если новый ключ находится в другом хранилище ключей, необходимо предоставить управляемому удостоверению доступ к ключу в новом хранилище. При выборе ручного обновления версии ключа также потребуется обновить универсальный код ресурса (URI) хранилища ключей.

Отмена доступа к учетной записи хранения, использующая ключи, управляемые клиентом

Чтобы временно отменить доступ к учетной записи хранения, использующую ключи, управляемые клиентом, отключите ключ, используемый в настоящее время в хранилище ключей. Нет влияния на производительность или простоя, связанного с отключением и повторной настройкой ключа.

После отключения ключа клиенты не могут вызывать операции, которые считываются или записываются в большой двоичный объект или его метаданные. Сведения о том, какие операции завершаются сбоем, см. в статье "Отзыв доступа к учетной записи хранения, использующую ключи, управляемые клиентом".

Внимание

При отключении ключа в хранилище ключей данные в учетной записи служба хранилища Azure остаются зашифрованными, но он становится недоступным, пока не будет повторно добавлен ключ.

Чтобы отключить управляемый клиентом ключ с помощью портал Azure, выполните следующие действия.

  1. Перейдите в хранилище ключей, содержащее ключ.

  2. В разделе "Объекты" выберите "Ключи".

  3. Щелкните правой кнопкой мыши ключ и выберите "Отключить".

    Снимок экрана: отключение ключа, управляемого клиентом, в хранилище ключей.

Отключение ключа приведет к сбою попыток доступа к данным в учетной записи хранения с кодом ошибки 403 (запрещено). Список операций с учетной записью хранения, которые будут затронуты отключением ключа, см. в разделе "Отмена доступа к учетной записи хранения" с использованием ключей, управляемых клиентом.

Вернуться к ключам, управляемым Корпорацией Майкрософт

Ключи, управляемые клиентом, можно переключаться с ключей, управляемых корпорацией Майкрософт, в любое время с помощью портал Azure, PowerShell или Azure CLI.

Чтобы перейти с ключей, управляемых клиентом, обратно в управляемые корпорацией Майкрософт ключи в портал Azure, выполните следующие действия.

  1. Перейдите к учетной записи хранилища.

  2. В разделе "Безопасность и сеть" выберите "Шифрование".

  3. Измените тип шифрования на ключи, управляемые корпорацией Майкрософт.

    Снимок экрана: переход на управляемые Корпорацией Майкрософт ключи для учетной записи хранения.

Следующие шаги