Konfigurieren der Schlüsselrotation

Abgeschlossen

Anhand der automatischen Kryptografieschlüsselrotation in Key Vault können Benutzer Key Vault so konfigurieren, dass in einem festgelegten Intervall automatisch eine neue Schlüsselversion generiert wird. Zum Konfigurieren der Rotation können Sie die Schlüsselrotationsrichtlinie verwenden, die für jeden einzelnen Schlüssel definiert werden kann.

Es wird empfohlen, Verschlüsselungsschlüssel mindestens alle zwei Jahre zu wechseln, um kryptografische bewährte Methoden zu erfüllen.

Weitere Informationen zur Versionsverwaltung von Objekten in Key Vault finden Sie unter Objekte, Bezeichner und Versionsverwaltung.

Integration in Azure-Dienste

Dieses Feature ermöglicht End-to-End-Rotation ohne Benutzereingriff für die Verschlüsselung ruhender Daten für Azure-Dienste mit kundenseitig verwaltetem Schlüssel (CMK), der in Azure Key Vault gespeichert ist. In der Dokumentation der jeweiligen Azure-Dienste finden Sie Informationen dazu, ob der betreffende Dienst End-to-End-Rotation ermöglicht.

Weitere Informationen zur Datenverschlüsselung in Azure finden Sie unter folgenden Links:

• Azure-Datenverschlüsselung ruhender Daten
• Unterstützende Dienste

Preise

Pro geplanter Schlüsselrotation fallen zusätzliche Kosten an.

Erforderliche Berechtigungen

Das Schlüsselrotationsfeature von Key Vault erfordert Berechtigungen für die Schlüsselverwaltung. Sie können die Rolle „Kryptografiebeauftragter für Schlüsseltresore“ zuweisen, um die Rotationsrichtlinie und Rotation bei Bedarf zu verwalten.

Richtlinie für Schlüsselrotation

Mit der Schlüsselrotationsrichtlinie können Benutzer Rotations- und Event Grid-Benachrichtigungen für fast abgelaufene Schlüssel konfigurieren.

Einstellungen der Richtlinie für Schlüsselrotation:

• Ablaufzeit: Das Schlüsselablaufintervall. Diese Angabe wird verwendet, um das Ablaufdatum für den neu rotierten Schlüssel festzulegen. Dieser Wert wirkt sich nicht auf einen aktuellen Schlüssel aus.

• Aktiviert/Deaktiviert: Flag zum Aktivieren oder Deaktivieren der Rotation für den Schlüssel.

• Rotationstypen:

  • Automatisch erneuern zu einer bestimmten Zeit nach der Erstellung (Standardeinstellung).
  • Automatisch erneuern zu einer bestimmten Zeit vor dem Ablauf. Dazu müssen „Ablaufzeit“ für die Rotationsrichtlinie und „Ablaufdatum“ für den Schlüssel festgelegt werden.

• Rotationszeit: Das Schlüsselrotationsintervall. Der Mindestwert ist sieben Tage ab Erstellung und sieben Tage vor der Ablaufzeit.

• Benachrichtigungszeit: Das Intervall für das Ereignis „Schlüssel fast abgelaufen“ für die Event Grid-Benachrichtigung. Dazu müssen „Ablaufzeit“ für die Rotationsrichtlinie und „Ablaufdatum“ für den Schlüssel festgelegt werden.

Bei der Schlüsselrotation wird eine neue Schlüsselversion eines vorhandenen Schlüssels mit neuem Schlüsselmaterial generiert. Zieldienste sollten versionslose Schlüssel-URIs verwenden, damit ein automatisches Update auf die neueste Schlüsselversion erfolgt. Stellen Sie sicher, dass Ihre Datenverschlüsselungslösung einen Schlüssel-URI mit Versionsverwaltung verwendet, dessen Daten auf das gleiche Schlüsselmaterial für das Entschlüsseln/Aufheben der Umschließung wie für das Verschlüsseln/Umschließen verweisen, um Dienstunterbrechungen zu vermeiden. Alle Azure-Dienste folgen derzeit diesem Muster für die Datenverschlüsselung.

Konfigurieren der Schlüsselrotationsrichtlinie

Konfigurieren Sie die Schlüsselrotationsrichtlinie während der Schlüsselerstellung.

Konfigurieren der Benachrichtigung bei fast abgelaufenem Schlüssel

Konfiguration der Ablaufbenachrichtigung für das Event Grid-Ereignis „Schlüssel fast abgelaufen“. Wenn eine automatisierte Rotation nicht möglich ist – beispielsweise, wenn ein Schlüssel aus einem lokalen HSM importiert wurde –, können Sie eine Benachrichtigung bei nahendem Ablauf konfigurieren. Diese dient als Erinnerung an die manuelle Rotation oder als Trigger für eine benutzerdefinierte automatisierte Rotation über die Integration in Event Grid. Sie können für die Benachrichtigung Tage, Monate und Jahre vor Ablauf konfigurieren, um das Ereignis „Fast abgelaufen“ auszulösen.

Konfigurieren der Schlüsselrotations-Richtliniengovernance

Mithilfe des Azure Policy-Diensts können Sie den Schlüssellebenszyklus steuern und sicherstellen, dass alle Schlüssel so konfiguriert sind, dass sie innerhalb einer angegebenen Anzahl von Tagen rotiert werden.

Erstellen und Zuweisen einer Richtliniendefinition

1. Navigieren zur Richtlinienressource

2. Wählen Sie links auf der Seite „Azure Policy“ unter Erstellung die Option Zuweisungen.

3. Wählen Sie oben auf der Seite Richtlinie zuweisen aus. Über diese Schaltfläche gelangen Sie zur Seite „Richtlinienzuweisung“.

4. Geben Sie Folgendes ein:

   • Definieren Sie den Bereich der Richtlinie, für den die Richtlinie durchgesetzt werden soll, indem Sie das Abonnement und die Ressourcengruppe auswählen. Wählen Sie die Option aus, indem Sie im FeldBereich auf die Schaltfläche mit den drei Punkten klicken.

   • Wählen Sie den Namen der Richtliniendefinition aus: „Für Schlüssel sollte eine Rotationsrichtlinie vorhanden sein, damit die Rotation innerhalb der angegebenen Anzahl von Tagen nach der Erstellung geplant ist. "

   • Gehen Sie am oberen Seitenrand zur Registerkarte Parameter.

     • Legen Sie den Parameter Maximale Anzahl von zu routierenden Tagen auf die gewünschte Anzahl von Tagen fest, z. B. 730.
     • Definieren Sie die gewünschte Auswirkung der Richtlinie (Überprüfung oder Deaktiviert).

5. Füllen Sie alle zusätzlichen Felder aus. Navigieren Sie durch die Registerkarten, indem Sie unten auf der Seite auf die Schaltflächen Zurück und Weiter klicken.

6. Klicken Sie auf Überprüfen + erstellen.

7. Klicken Sie auf Erstellen.

Nach dem Hinzufügen einer integrierten Richtlinie kann die Überprüfung bis zu 24 Stunden dauern. Nach Abschluss der Überprüfung werden Konformitätsergebnisse wie die folgenden angezeigt.

Konfigurieren Sie die Rotationsrichtlinie für vorhandene Schlüssel.

Azure CLI

Speichern Sie die Richtlinie für Schlüsselrotation in einer Datei.

Legen Sie mithilfe des Azure CLI-Befehls az keyvault key rotation-policy update die Rotationsrichtlinie für einen Schlüssel fest, der eine zuvor gespeicherte Datei übergibt.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Festlegen der Wechselrichtlinie mithilfe des Azure PowerShell Set-AzKeyVaultKeyRotationPolicy-Cmdlets.

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

Rotation bei Bedarf

Schlüsselrotation kann manuell aufgerufen werden.

Portal

Klicken Sie auf „Jetzt rotieren“, um die Rotation aufzurufen.

Azure CLI

Verwenden Sie den Azure CLI-Befehl az keyvault key rotate zum Rotieren des Schlüssels.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Verwenden Sie das Azure PowerShell-Cmdlet Invoke-AzKeyVaultKeyRotation.

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Konfigurieren der Benachrichtigung bei fast abgelaufenem Schlüssel

Konfiguration der Ablaufbenachrichtigung für das Event Grid-Ereignis „Schlüssel fast abgelaufen“. Wenn eine automatisierte Rotation nicht möglich ist – beispielsweise, wenn ein Schlüssel aus einem lokalen HSM importiert wurde –, können Sie eine Benachrichtigung bei nahendem Ablauf konfigurieren. Diese dient als Erinnerung an die manuelle Rotation oder als Trigger für eine benutzerdefinierte automatisierte Rotation über die Integration in Event Grid. Sie können für die Benachrichtigung Tage, Monate und Jahre vor Ablauf konfigurieren, um das Ereignis „Fast abgelaufen“ auszulösen.

Weitere Informationen zu Event Grid-Benachrichtigungen in Key Vault finden Sie unter Azure Key Vault als Event Grid-Quelle.