Configuración de la rotación automática de claves en HSM administrado de Azure
Información general
Nota
La rotación automática de claves requiere la versión 2.42.0 o posterior de la CLI de Azure.
La rotación automatizada de claves en HSM administrado permite a los usuarios configurar HSM administrado para generar automáticamente una nueva versión de la clave con una frecuencia especificada. Puede establecer una directiva de rotación para configurar la rotación de cada clave individual y, opcionalmente, rotar las claves a petición. La recomendación es girar las claves de cifrado al menos cada dos años para cumplir con los procedimientos recomendados criptográficos. Para obtener instrucciones y recomendaciones adicionales, consulte NIST SP 800-57, parte 1.
Esta característica permite una rotación integral sin interacción para el cifrado en reposo de los servicios de Azure con claves administradas por el cliente (CMK) almacenadas en HSM administrado de Azure. Consulte la documentación específica del servicio de Azure para ver si el servicio cubre el giro de un extremo a otro.
Precios
La rotación de claves de HSM administrado se ofrece sin costo adicional. Para más información, consulte la página de precios de Azure Key Vault.
Advertencia
HSM administrado tiene un límite de 100 versiones por clave. Las versiones de la clave creadas como parte de la rotación automática o manual cuentan para este límite.
Permisos necesarios
La rotación de una clave o la configuración de una directiva de rotación de claves requiere permisos de administración de claves específicos. Puede asignar el rol "Usuario criptográfico de HSM administrado" para obtener permisos suficientes para administrar la directiva de rotación y la rotación a petición.
Para más información sobre cómo configurar permisos de RBAC local en HSM administrado, consulte Administración de roles de HSM administrado.
Nota
La configuración de una directiva de rotación requiere el permiso "Escritura de clave". La rotación de una clave a petición requiere permisos de "Rotación". Ambos se incluyen con el rol integrado "Usuario criptográfico de HSM administrado".
Directiva de giro de claves
La directiva de rotación de claves permite a los usuarios configurar intervalos de rotación y establecer el intervalo de expiración para las claves rotadas. Debe estar establecido para que las claves se puedan rotar a petición.
Nota
HSM administrado no admite notificaciones de Event Grid.
Configuración de directiva de giro de claves:
- Hora de expiración: intervalo de expiración de la clave (mínimo 28 días). Se usa para establecer la fecha de expiración de una clave recién rotada (por ejemplo, después de la rotación, la nueva clave se establece para que expire en 30 días).
- Tipos de rotación:
- Renovación automática en un momento determinado después de la creación
- Renovación automática en un momento determinado antes de la expiración. Se debe establecer la "fecha de expiración' de la clave para que se desencadene este evento.
Advertencia
Una directiva de rotación automática no puede exigir que las nuevas versiones de clave se creen con más frecuencia que una vez cada 28 días. Para las directivas de rotación basadas en la creación, esto significa que el valor mínimo de timeAfterCreate
es P28D
. Para las directivas de rotación basadas en la expiración, el valor máximo de timeBeforeExpiry
depende del valor de expiryTime
. Por ejemplo, si expiryTime
es P56D
, timeBeforeExpiry
puede ser como máximo P28D
.
Configuración de una directiva de rotación de claves
Azure CLI
Escriba una directiva de rotación de claves y guárdela en un archivo. Use formatos de duración ISO8601 para especificar los intervalos de tiempo. En la sección siguiente, se proporcionan algunas directivas de ejemplo. Use el siguiente comando para aplicar la directiva a una clave.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Directivas de ejemplo
Rotar la clave 18 meses después de la creación y establecer la nueva clave para que expire después de dos años.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Rotar la clave 28 días antes de la expiración y establecer la nueva clave para que expire después de un año.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Quitar la directiva de rotación de claves (se hace estableciendo una directiva en blanco)
{
"lifetimeActions": [],
"attributes": {}
}
Giro a petición
Una vez establecida una directiva de rotación para la clave, también puede rotar la clave a petición. Primero debe establecer una directiva de rotación de claves.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>