Konfigurace automatické obměně klíčů ve službě Azure Managed HSM
Přehled
Poznámka:
Automatické obměně klíčů vyžaduje Azure CLI verze 2.42.0 nebo vyšší.
Automatizovaná obměně klíčů ve spravovaném HSM umožňuje uživatelům nakonfigurovat spravovaný HSM tak, aby automaticky vygenerovala novou verzi klíče zadanou frekvencí. Můžete nastavit zásadu obměna tak, aby se pro každý jednotlivý klíč nastavil obměna a volitelně obměna klíčů na vyžádání. V rámci osvědčených postupů z hlediska kryptografie doporučujeme obměňovat šifrovací klíče alespoň každé dva roky. Další pokyny a doporučení najdete v tématu NIST SP 800-57 Část 1.
Tato funkce umožňuje komplexní obměnu nulového dotykového ovládání pro šifrování neaktivních uložených uložených klíčů spravovaných zákazníkem (CMK) pro služby Azure s využitím klíčů spravovaných zákazníkem (CMK). Pokud chcete zjistit, jestli konkrétní služba Azure zajišťuje kompletní obměnu, projděte si dokumentaci k dané službě.
Ceny
Obměně spravovaných klíčů HSM se nabízí bez dalších poplatků. Další informace o cenách spravovaného HSM najdete na stránce s cenami služby Azure Key Vault.
Upozorňující
Spravovaný HSM má limit 100 verzí na klíč. Klíčové verze vytvořené jako součást automatického nebo ručního otočení se započítávají do tohoto limitu.
Požadována oprávnění
Obměně klíče nebo nastavení zásad obměně klíčů vyžaduje specifická oprávnění ke správě klíčů. Roli Spravovaného uživatele kryptografických modulů HSM můžete přiřadit, abyste získali dostatečná oprávnění ke správě zásad obměn a obměně na vyžádání.
Další informace o konfiguraci místních oprávnění RBAC ve spravovaném HSM najdete v tématu: Správa rolí spravovaného HSM
Poznámka:
Nastavení zásad obměnky vyžaduje oprávnění k zápisu klíče. Obměně klíče na vyžádání vyžaduje oprávnění "Otočení". Obě jsou součástí předdefinované role "Managed HSM Crypto User"
Zásady obměně klíčů
Zásady obměny klíčů umožňují uživatelům konfigurovat intervaly obměny a nastavit interval vypršení platnosti pro otočené klíče. Před otočením klíčů na vyžádání je nutné ho nastavit.
Poznámka:
Managed HSM nepodporuje oznámení Event Gridu
Nastavení zásad obměna klíčů:
- Doba vypršení platnosti: interval vypršení platnosti klíče (minimálně 28 dnů). Slouží k nastavení data vypršení platnosti u nově otočeného klíče (např. po obměně je nový klíč nastavený na vypršení platnosti za 30 dnů).
- Typy otočení:
- Automatické prodlužování v daném okamžiku po vytvoření
- Automatické prodlužování v daném čase před vypršením platnosti. Datum vypršení platnosti musí být nastaveno na klíč, aby se tato událost aktivovalo.
Upozorňující
Zásady automatické obměně nemůžou nařídit, aby se nové verze klíčů vytvářely častěji než jednou za 28 dní. Pro zásady obměně založené na vytváření to znamená, že minimální hodnota je timeAfterCreate P28D. Pro zásady obměně založené na vypršení platnosti závisí maximální hodnota timeBeforeExpiry na hodnotě expiryTime. Pokud je P56Dnapříklad , expiryTime timeBeforeExpiry může být maximálně P28D.
Konfigurace zásad obměně klíčů
Azure CLI
Napište zásadu obměně klíčů a uložte ji do souboru. K určení časových intervalů použijte formáty ISO8601 Doba trvání. Některé ukázkové zásady jsou uvedené v další části. Pomocí následujícího příkazu použijte zásadu na klíč.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Ukázkové zásady
Otočte klíč o 18 měsíců po vytvoření a nastavte jeho platnost po dvou letech.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Otočte klíč 28 dní před vypršením platnosti a nastavte nový klíč tak, aby platnost vypršela po jednom roce.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Odebrání zásad obměn klíčů (provedené nastavením prázdné zásady)
{
"lifetimeActions": [],
"attributes": {}
}
Obměně na vyžádání
Jakmile je pro klíč nastavená zásada obměna, můžete klíč také otočit na vyžádání. Nejdřív musíte nastavit zásadu obměně klíčů.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>