Поделиться через

Обзор

Ключ клиента Microsoft 365 поддерживает ключи RSA, хранящиеся в Azure Key Vault управляемом устройстве HSM, решении, совместимом с FIPS 140-2 уровня 3.

Управляемый модуль HSM — это полностью управляемая высокодоступная однотенантная служба, которая помогает защитить криптографические ключи с помощью аппаратных модулей безопасности (HSM) уровня 3, проверенных FIPS 140-2. Она поддерживает облачные приложения, которым требуется защита ключей с высоким уровнем надежности.

Дополнительные сведения о службе см. в статье Общие сведения об управляемом устройстве HSM azure Key Vault.

Настройка ключа клиента с управляемым устройством HSM

Чтобы настроить ключ клиента с помощью управляемого модуля HSM, выполните действия в указанном порядке. В этой статье содержатся подробные рекомендации по конкретным задачам HSM и ссылки на общие шаги по настройке из стандартного процесса ключа клиента.

Важно!

Управляемый модуль HSM использует набор командлетов PowerShell, отличный от классической Key Vault Azure. Убедитесь, что на каждом шаге используются правильные инструменты.

Начните с выполнения следующих общих действий:

  1. Создание двух новых подписок Azure
  2. Регистрация необходимых субъектов-служб

Создание подготовки группы ресурсов и активация управляемого модуля HSM

В отличие от стандартной Key Vault Azure, которая обычно требует трех пар хранилищ ключей (всего шесть) для поддержки всех рабочих нагрузок, управляемому устройству HSM требуется только два экземпляра, по одному на подписку Azure, независимо от того, сколько рабочих нагрузок клиентского ключа вы планируете использовать.

Чтобы подготовить и активировать управляемые экземпляры HSM, выполните действия, описанные в кратком руководстве по управляемому устройству HSM с помощью PowerShell.

Схема упрощенной настройки устройства HSM с двумя экземплярами управляемого модуля HSM

Назначение разрешений каждому управляемому устройству HSM

Управляемое устройство HSM использует локальное управление доступом на основе ролей (RBAC) для управления разрешениями. Чтобы назначить необходимый доступ для ключа клиента, необходимо предоставить роль пользователя шифрования службы шифрования управляемого устройства HSM соответствующему приложению Microsoft 365.

Эта роль предоставляет следующие разрешения на ключ: wrapKey, unwrapKeyи get.

Дополнительные сведения см. в разделе Управляемое управление ролями HSM.

При назначении роли найдите следующие имена приложений Microsoft 365:

  • Несколько рабочих нагрузок: M365DataAtRestEncryption
  • Exchange: Office 365 Exchange Online
  • SharePoint и OneDrive: Office 365 SharePoint Online

Если ожидаемое приложение не отображается в клиенте, убедитесь, что вы зарегистрировали необходимые субъекты-службы.

Дополнительные сведения о назначении ролей см. в статье Управление доступом на основе ролей для управления доступом к ресурсам подписки Azure.

Назначение ролей пользователей управляемому устройству HSM

Администраторы управляемых устройств HSM отвечают за повседневные задачи управления, такие как backup, create, get, import, , listи restore.

Определения ролей и рекомендации по назначению ролей пользователей см. в разделе Назначение ролей пользователей.

Добавление ключа к каждому управляемому устройству HSM

Управляемый модуль HSM поддерживает только ключи, защищенные устройством HSM. При создании ключей для использования с ключом клиента необходимо использовать тип ключа RSA-HSM .

Чтобы создать ключ непосредственно в управляемом модуле HSM, выполните действия, описанные в разделе Add-AzKeyVaultKey.

Если вы предпочитаете создать ключ в локальной среде, а затем импортировать его в управляемый модуль HSM, см. статью Создание и передача ключей, защищенных HSM, для Azure Key Vault.

Используйте эти инструкции, чтобы создать по одному ключу в каждом экземпляре управляемого модуля HSM.

Проверка данных об истечении срока действия управляемых ключей HSM

Чтобы проверка, что у ключей нет даты окончания срока действия, выполните командлет Get-AzKeyVaultKey.

Для azure Key Vault:

Get-AzKeyVaultKey -HsmName <HSM name>

Ключ клиента не может использовать ключи с истекшим сроком действия. Если срок действия ключа истек, любая операция с его использованием завершается сбоем, что может привести к сбою службы. Настоятельно рекомендуется, чтобы срок действия ключей, используемых с ключом клиента, не был указан.

После установки дата окончания срока действия не может быть удалена, но вы можете изменить ее. Если необходимо использовать ключ с датой окончания срока действия, обновите его до 12/31/9999 и используйте устаревший метод подключения. Любое другое значение срока действия не проходит проверку Microsoft 365.

Чтобы изменить дату окончания срока действия на 12/31/9999, используйте командлет Update-AzKeyVaultKey .

Update-AzKeyVaultKey -HsmName <HSM name> -Name <key name> -Expires (Get-Date -Date "12/31/9999")

Резервное копирование управляемого ключа HSM

Сведения о резервном копировании управляемого ключа HSM см. в статье Backup-AzKeyVaultKey.

Получение URI для каждого ключа управляемого модуля HSM

После настройки управляемых модулей HSM и добавления ключей выполните следующую команду, чтобы получить универсальный код ресурса (URI) для каждого ключа. Эти URI требуются при создании и назначении политик шифрования данных (DEP), поэтому не забудьте сохранить их в безопасном месте.

Выполните следующую команду в Azure PowerShell — один раз для каждого хранилища ключей:

(Get-AzKeyVaultKey -HsmName <HSM name>).Id

Подключение к ключу клиента с помощью устаревшего метода

Выполнив все действия по настройке подписок, экземпляров управляемого модуля HSM и ключей, следуйте инструкциям в разделе Подключение к ключу клиента с помощью устаревшего метода.

Дальнейшие действия

После завершения настройки создайте и назначьте политики шифрования данных (DEP). Инструкции см. в разделе Управление ключом клиента.