Så här migrerar du nyckelarbetsbelastningar
Azure Key Vault och Azure Managed HSM tillåter inte export av nycklar, för att skydda nyckelmaterialet och se till att HSM-egenskaperna för nycklarna inte kan ändras.
Om du vill att en nyckel ska vara mycket portabel är det bäst att skapa den i en HSM som stöds och importera den till Azure Key Vault eller Azure Managed HSM.
Kommentar
Det enda undantaget är om en nyckel skapas med en viktig versionsprincip som begränsar exporten till konfidentiella beräkningsklaver som du litar på för att hantera nyckelmaterialet. Sådana säkra nyckelåtgärder är inte generell export av nyckeln.
Det finns flera scenarier som kräver migrering av viktiga arbetsbelastningar:
- Växla säkerhetsgränser, till exempel vid växling mellan prenumerationer, resursgrupper eller ägare.
- Flytta regioner på grund av efterlevnadsgränser eller risker i en viss region.
- Ändra till ett nytt erbjudande, till exempel från Azure Key Vault till Azure Managed HSM, som erbjuder större säkerhet, isolering och efterlevnad än Key Vault Premium.
Nedan beskrivs flera metoder för att migrera arbetsbelastningar för att använda en ny nyckel, antingen till ett nytt valv eller till en ny hanterad HSM.
Azure Services med kundhanterad nyckel
För de flesta arbetsbelastningar som använder nycklar i Key Vault är det mest effektiva sättet att migrera en nyckel till en ny plats (en ny hanterad HSM eller ett nytt nyckelvalv i en annan prenumeration eller region) att:
- Skapa en ny nyckel i det nya valvet eller hanterad HSM.
- Se till att arbetsbelastningen har åtkomst till den här nya nyckeln genom att lägga till arbetsbelastningens identitet till rätt roll i Azure Key Vault eller Azure Managed HSM.
- Uppdatera arbetsbelastningen så att den nya nyckeln används som kundhanterad krypteringsnyckel.
- Behåll den gamla nyckeln tills du inte längre vill ha säkerhetskopior av de arbetsbelastningsdata som de ursprungligen skyddade.
Om du till exempel vill uppdatera Azure Storage för att använda en ny nyckel följer du anvisningarna i Konfigurera kundhanterade nycklar för ett befintligt lagringskonto – Azure Storage. Den tidigare kundhanterade nyckeln behövs tills Storage har uppdaterats till den nya nyckeln. När lagringen har uppdaterats till den nya nyckeln behövs inte längre den tidigare nyckeln.
Anpassade program och kryptering på klientsidan
För kryptering på klientsidan eller anpassade program som du har skapat, som krypterar data direkt med hjälp av nycklarna i Key Vault, är processen annorlunda:
- Skapa det nya nyckelvalvet eller den hanterade HSM:n och skapa en ny nyckelkrypteringsnyckel (KEK).
- Kryptera om nycklar eller data som krypterades av den gamla nyckeln med hjälp av den nya nyckeln. (Om data krypterades direkt av nyckeln i nyckelvalvet kan det ta lite tid eftersom alla data måste läsas, dekrypteras och krypteras med den nya nyckeln. Använd kuvertkryptering där det är möjligt för att göra sådana nyckelrotationer snabbare).
När du krypterar om data rekommenderar vi en nyckelhierarki på tre nivåer, vilket gör KEK-rotation enklare i framtiden: 1. Nyckelkrypteringsnyckeln i Azure Key Vault eller Managed HSM 1. Primärnyckel 1. Datakrypteringsnycklar som härleds från primärnyckeln
- Verifiera data efter migreringen (och före borttagningen).
- Ta inte bort gamla nyckel/nyckelvalv förrän du inte längre vill att säkerhetskopior av data ska vara associerade med det.
Migrera klientnycklar i Azure Information Protection
Migrering av klientnycklar i Azure Information Protection kallas för "omnyckel" eller "rullande din nyckel". Kundhanterad – Livscykelåtgärder för AIP-klientnyckeln innehåller detaljerade instruktioner om hur du utför den här åtgärden.
Det är inte säkert att ta bort den gamla klientnyckeln förrän du inte längre behöver innehållet eller dokumenten som skyddas med den gamla klientnyckeln. Om du vill migrera dokument som ska skyddas av den nya nyckeln måste du:
- Ta bort skyddet från dokumentet som skyddas med den gamla klientnyckeln.
- Tillämpa skyddet igen, som använder den nya klientnyckeln.