Condividi tramite

Ruotare e revocare una chiave gestita dal cliente

  • Articolo

Questo articolo è la terza parte di una serie di esercitazioni in quattro parti. La prima parte offre una panoramica delle chiavi gestite dal cliente, delle relative funzionalità e delle considerazioni di cui tenere conto prima di abilitarne una nel registro. Nella seconda parte si apprenderà come abilitare una chiave gestita dal cliente tramite l'interfaccia della riga di comando di Azure, il portale di Azure o un modello di Azure Resource Manager. Questo articolo illustra la procedura dettagliata per la rotazione, l'aggiornamento e la revoca di una chiave gestita dal cliente.

Ruotare una chiave gestita dal cliente

Per ruotare una chiave, è possibile aggiornare la versione della chiave in Azure Key Vault o creare una nuova chiave. Durante la rotazione della chiave, è possibile specificare la stessa identità usata per creare il registro.

Facoltativamente, è possibile:

  • Configurare una nuova identità assegnata dall'utente per accedere alla chiave.
  • Abilitare e specificare l'identità assegnata dal sistema nel registro.

Nota

Per abilitare l'identità assegnata dal sistema nel registro, selezionare Impostazioni>Identità e impostare lo stato dell'identità assegnata dal sistema su Attivata.

Verificare che l’accesso dell'insieme di credenziali delle chiavi richiesto sia impostato per l'identità configurata per l'accesso alla chiave.

Creare o aggiornare la versione della chiave tramite l'interfaccia della riga di comando di Azure

Per creare una nuova versione della chiave, eseguire il comando az keyvault key create:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Se si configura il registro per rilevare gli aggiornamenti delle versioni delle chiavi, la chiave gestita dal cliente viene aggiornata automaticamente entro un'ora.

Se si configura il registro per l'aggiornamento manuale per una nuova versione della chiave, eseguire il comando az-acr-encryption-rotate-key. Passare il nuovo ID chiave e l'identità da configurare.

Suggerimento

Quando si esegue az-acr-encryption-rotate-key, è possibile passare un ID chiave con versione o un ID chiave senza versione. Se si usa un ID chiave senza versione, il registro viene quindi configurato per rilevare automaticamente gli aggiornamenti delle versioni delle chiavi successivi.

Per aggiornare manualmente una versione della chiave gestita dal cliente, sono disponibili tre opzioni:

  • Ruotare la chiave e usare un ID client di un'identità gestita.

Se si usa la chiave di un insieme di credenziali delle chiavi diverso, verificare che identity disponga delle autorizzazioni get, wrap e unwrap per tale insieme di credenziali delle chiavi.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Ruotare la chiave e usare un'identità assegnata dall'utente.

Prima di usare l'identità assegnata dall'utente, verificare che le autorizzazioni get, wrap e unwrap siano assegnate.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Ruotare la chiave e usare un'identità assegnata dal sistema.

Prima di usare l'identità assegnata dal sistema, verificare che le autorizzazioni get, wrap e unwrap siano assegnate.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Creare o aggiornare la versione della chiave tramite il portale di Azure

Usare le impostazioni Crittografia del registro per aggiornare le impostazioni dell'insieme di credenziali delle chiavi, della chiave o dell'identità per una chiave gestita dal cliente.

Ad esempio, per configurare una nuova chiave:

  1. Nel portale passare al registro.

  2. In Impostazioni selezionare Crittografia>Modifica chiave.

    Screenshot delle opzioni per la chiave di crittografia nel portale di Azure.

  3. In Crittografia scegliere una delle opzioni seguenti:

    • Scegliere Seleziona dall’insieme di credenziali delle chiavie quindi selezionare un insieme di credenziali delle chiavi e una chiave esistenti oppure selezionare Crea nuovo. La chiave selezionata è senza versione e abilita la rotazione automatica delle chiavi.
    • Selezionare Immetti URI chiave e specificare direttamente un identificatore di chiave. È possibile specificare un URI della chiave con versione (per una chiave che deve essere ruotata manualmente) o un URI di chiave senza versione (che abilita la rotazione automatica delle chiavi).

  4. Completare la selezione della chiave e quindi selezionare Salva.

Revocare una chiave gestita dal cliente

È possibile revocare una chiave di crittografia gestita dal cliente modificando i criteri di accesso, modificando le autorizzazioni nell'insieme di credenziali delle chiavi o eliminando la chiave.

Per modificare i criteri di accesso dell'identità gestita usata dal Registro di sistema, eseguire il comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Per eliminare le singole versioni di una chiave, eseguire il comando az-keyvault-key-delete. Questa operazione richiede l'autorizzazione chiavi/elimina.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Nota

La revoca di una chiave gestita dal cliente bloccherà l'accesso a tutti i dati del registro. Se si abilita l'accesso alla chiave o si ripristina una chiave eliminata, il registro selezionerà la chiave e sarà possibile ottenere di nuovo il controllo dell'accesso ai dati crittografati del registro.

Passaggi successivi

Passare all'articolo successivo per risolvere i problemi comuni, ad esempio gli errori durante la rimozione di un'identità gestita, gli errori 403 e le eliminazioni accidentali delle chiavi.