Automatische rotatie van sleutels configureren in Azure Managed HSM
Overzicht
Notitie
Voor automatische rotatie van sleutels is Versie 2.42.0 of hoger van Azure CLI vereist.
Met geautomatiseerde sleutelrotatie in beheerde HSM kunnen gebruikers beheerde HSM configureren om automatisch een nieuwe sleutelversie met een opgegeven frequentie te genereren. U kunt een rotatiebeleid instellen om de rotatie voor elke afzonderlijke sleutel te configureren en eventueel sleutels op aanvraag te roteren. We raden u aan om versleutelingssleutels ten minste om de twee jaar te roteren om te voldoen aan cryptografische best practices. Zie NIST SP 800-57 Deel 1 voor aanvullende richtlijnen en aanbevelingen.
Met deze functie wordt end-to-end zero touch-rotatie mogelijk voor versleuteling in rust voor Azure-services met door de klant beheerde sleutels (CMK) die zijn opgeslagen in Azure Managed HSM. Raadpleeg de specifieke documentatie van de Azure-service om te zien of de service end-to-end-rotatie omvat.
Prijzen
Beheerde HSM-sleutelrotatie wordt zonder extra kosten aangeboden. Zie de pagina met prijzen van Azure Key Vault voor meer informatie over prijzen voor beheerde HSM
Waarschuwing
Beheerde HSM heeft een limiet van 100 versies per sleutel. Belangrijke versies die zijn gemaakt als onderdeel van automatische of handmatige rotatie, tellen mee voor deze limiet.
Vereiste machtigingen
Voor het roteren van een sleutel of het instellen van een sleutelrotatiebeleid zijn specifieke machtigingen voor sleutelbeheer vereist. U kunt de rol Beheerde HSM Crypto User toewijzen om voldoende machtigingen te krijgen voor het beheren van rotatiebeleid en rotatie op aanvraag.
Zie voor meer informatie over het configureren van lokale RBAC-machtigingen voor beheerde HSM: Beheerd HSM-rolbeheer
Notitie
Voor het instellen van een rotatiebeleid is de machtiging Sleutel schrijven vereist. Voor het roteren van een sleutel op aanvraag zijn 'rotatiemachtigingen' vereist. Beide zijn opgenomen in de ingebouwde rol Managed HSM Crypto User
Beleid voor sleutelrotatie
Met het sleutelrotatiebeleid kunnen gebruikers rotatieintervallen configureren en het verloopinterval voor gedraaide sleutels instellen. Deze moet worden ingesteld voordat sleutels op aanvraag kunnen worden gedraaid.
Notitie
Beheerde HSM biedt geen ondersteuning voor Event Grid-meldingen
Beleidsinstellingen voor sleutelrotatie:
- Verlooptijd: verloopinterval van de sleutel (minimaal 28 dagen). Deze wordt gebruikt om de vervaldatum in te stellen op een zojuist gedraaide sleutel (bijvoorbeeld na rotatie, de nieuwe sleutel is ingesteld op verlopen in 30 dagen).
- Rotatietypen:
- Automatisch verlengen op een bepaald moment na het maken
- Automatisch verlengen op een bepaald tijdstip voordat de vervaldatum verloopt. 'Vervaldatum' moet worden ingesteld op de sleutel om deze gebeurtenis te kunnen activeren.
Waarschuwing
Een beleid voor automatische rotatie kan niet verplichten dat nieuwe sleutelversies vaker dan één keer per 28 dagen worden gemaakt. Voor rotatiebeleid op basis van het maken betekent dit dat de minimumwaarde timeAfterCreate is P28D. Voor rotatiebeleid op basis van verlooptijd is de maximumwaarde timeBeforeExpiry afhankelijk van de expiryTime. Als dat bijvoorbeeld zo isP56D, timeBeforeExpiry expiryTime kan dat maximaal P28Dzijn.
Beleid voor sleutelrotatie configureren
Azure-CLI
Schrijf een sleutelrotatiebeleid en sla het op in een bestand. Gebruik ISO8601 duurnotaties om tijdsintervallen op te geven. In de volgende sectie vindt u enkele voorbeelden van beleidsregels. Gebruik de volgende opdracht om het beleid toe te passen op een sleutel.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>
Voorbeeldbeleid
Draai de sleutel 18 maanden na het maken en stel de nieuwe sleutel in op verlopen na twee jaar.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Draai de sleutel 28 dagen vóór de vervaldatum en stel de nieuwe sleutel in op verlopen na één jaar.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Het beleid voor sleutelrotatie verwijderen (gedaan door een leeg beleid in te stellen)
{
"lifetimeActions": [],
"attributes": {}
}
Rotatie op aanvraag
Zodra een rotatiebeleid voor de sleutel is ingesteld, kunt u de sleutel ook on-demand draaien. U moet eerst een sleutelrotatiebeleid instellen.
Azure-CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>