Обзор ключей, управляемых клиентом
Реестр контейнеров Azure автоматически шифрует изображения и другие артефакты, которые вы храните. По умолчанию Azure автоматически шифрует неактивное содержимое реестра с помощью ключей, управляемых службой. Используя управляемый клиентом ключ, вы можете дополнить шифрование по умолчанию дополнительным уровнем шифрования.
Эта статья является частью одной из четырех частей серии учебников. В этом руководстве рассматриваются следующие сведения:
- Обзор ключей, управляемых клиентом
- Включение ключа, управляемого клиентом
- Смена и отмена ключа, управляемого клиентом
- Устранение неполадок, связанных с ключом, управляемым клиентом
Сведения об управляемых клиентом ключах
Ключ, управляемый клиентом, предоставляет вам право владения для привлечения собственного ключа в Azure Key Vault. При включении ключа, управляемого клиентом, вы можете управлять поворотами, управлять доступом и разрешениями на его использование и проверять его использование.
Ключевые возможности:
Соответствие нормативным требованиям: Azure автоматически шифрует содержимое реестра с помощью ключей, управляемых службой, но шифрование ключей, управляемых клиентом, помогает соответствовать рекомендациям по соответствию нормативным требованиям.
Интеграция с Azure Key Vault. Ключи, управляемые клиентом, поддерживают шифрование на стороне сервера путем интеграции с Azure Key Vault. С помощью ключей, управляемых клиентом, вы можете создавать собственные ключи шифрования и хранить их в хранилище ключей. Вы также можете использовать API Azure Key Vault для создания ключей.
Управление жизненным циклом ключей. Интеграция управляемых клиентом ключей с Azure Key Vault обеспечивает полный контроль и ответственность за жизненный цикл ключей, включая смену и управление.
Подготовка к активации ключа, управляемого клиентом
Прежде чем настроить Реестр контейнеров Azure с ключом, управляемым клиентом, рассмотрите следующие сведения:
- Эта функция доступна на уровне служб Premium для реестра контейнеров. Дополнительные сведения см в статье Уровни службы Реестра контейнеров Azure.
- В настоящее время ключ, управляемый клиентом, можно активировать только при создании реестра.
- Вы не можете отключить шифрование после включения ключа, управляемого клиентом, в реестре.
- Для доступа к хранилищу ключей вам нужно настроить управляемое удостоверение, назначаемое пользователем. Позже при необходимости можно включить управляемое удостоверение, назначаемое системой реестра, для доступа к хранилищу ключей.
- Реестр контейнеров Azure поддерживает только ключи RSA и RSA-HSM. В настоящее время ключи с многоточием не поддерживаются.
- В реестре, зашифрованном с помощью ключа, управляемого клиентом, можно хранить журналы для Реестр контейнеров Azure задач только в течение 24 часов. Сведения о сохранении журналов в течение длительного периода см. в статье Просмотр журналов выполнения задач и управление ими.
- Доверие к содержимому в настоящее время не поддерживается в реестре, зашифрованном с помощью ключа, управляемого клиентом.
Обновление версии ключа, управляемого клиентом
Реестр контейнеров Azure поддерживает смену ключей шифрования реестра при появлении новой версии ключа в Azure Key Vault и автоматически, и вручную.
Внимание
Важно учитывать безопасность реестра с шифрованием ключей, управляемым клиентом, для частого обновления (смены) версий ключей. Следуйте политикам соответствия вашей организации, чтобы регулярно обновлять версии ключей при хранении ключа, управляемого клиентом, в Azure Key Vault.
Автоматически обновите версию ключа: когда реестр шифруется с неверсивным ключом, Реестр контейнеров Azure регулярно проверяет хранилище ключей для новой версии ключа и обновляет управляемый клиентом ключ в течение одного часа. Мы рекомендуем опустить версию ключа при включении шифрования реестра с помощью ключа, управляемого клиентом. Реестр контейнеров Azure затем автоматически будет использовать и обновлять последнюю версию ключа.
Вручную обновите версию ключа: если реестр шифруется с определенной версией ключа, Реестр контейнеров Azure использовать эту версию для шифрования, пока вы вручную не измените управляемый клиентом ключ. Мы рекомендуем указать версию ключа при включении шифрования реестра с помощью ключа, управляемого клиентом. Реестр контейнеров Azure затем будет использовать определенную версию раздела для шифрования реестра.
Дополнительные сведения см. в разделе "Смена ключей" и "Обновить версию ключа".
Следующие шаги
- Чтобы включить реестр контейнеров с ключом, управляемым клиентом, с помощью Azure CLI, портал Azure или шаблона Azure Resource Manager, перейдите к следующей статье: включите управляемый клиентом ключ.
- Узнайте больше о Шифровании неактивных данных в Azure.
- Узнайте больше о политиках доступа и о том, как обезопасить доступ к хранилищу ключей.