如何移轉主要工作負載
Azure Key Vault 和 Azure 受控 HSM 不允許匯出金鑰,以保護金鑰資料,並確保金鑰的 HSM 屬性無法變更。
如果您想要讓金鑰具有高度可攜性,最好是在支援的 HSM 中建立金鑰,並將其匯入 Azure Key Vault 或 Azure 受控 HSM。
注意
唯一的例外狀況是使用 金鑰發行原則建立金鑰, 限制匯出至您信任的機密計算記憶體保護區來處理金鑰資料。 這類安全金鑰作業不是金鑰的一般用途匯出。
有數個情節需要移轉金鑰工作負載:
- 切換安全性界限,例如在訂用帳戶、資源群組或擁有者之間切換時。
- 移動區域是因為指定區域中的合規性界限或風險。
- 變更為新的供應項目,例如從 Azure Key Vault 變更為 Azure 受控 HSM,可提供比 Key Vault 進階更高的安全性、隔離及合規性。
以下我們討論將工作負載移轉成使用新金鑰的數種方法,無論是新保存庫還是新的受控 HSM。
使用客戶管理之金鑰的 Azure 服務
對於在 Key Vault 中使用金鑰的大部分工作負載,將金鑰移轉至新位置的最有效方式 (不同訂用帳戶或區域中的新受控 HSM 或新的金鑰保存庫) 是:
- 在新保存庫或受控 HSM 中建立新的金鑰。
- 藉由將工作負載的身分識別新增至 Azure Key Vault 或 Azure 受控 HSM中適當的角色,確保工作負載能夠存取此新金鑰。
- 更新工作負載,以使用新金鑰作為客戶管理的加密金鑰。
- 保留舊金鑰,直到您不再需要備份原本保護的工作負載資料。
例如,若要更新 Azure 記憶體以使用新的金鑰,請遵循設定現有儲存體帳戶的客戶自控金鑰 - Azure 儲存體中的指示。 需要先前的客戶管理金鑰,直到儲存體更新為新的金鑰為止;成功將儲存體更新為新的金鑰之後,就不再需要先前的金鑰。
自訂應用程式和用戶端加密
針對您建置的用戶端加密或自訂應用程式,使用 Key Vault 中的金鑰直接加密資料,該流程是不同:
- 建立新的金鑰保存庫或受控 HSM,並建立新的金鑰加密金鑰 (KEK)。
- 使用新金鑰重新加密舊金鑰所加密的任何金鑰或資料。 (如果金鑰保存庫中的金鑰直接加密資料,這可能需要一些時間,因為所有資料都必須以新的金鑰讀取、解密及加密。盡可能使用信封加密,讓這類金鑰輪替更快)。
重新加密資料時,我們建議使用三層金鑰階層,這可讓 KEK 在未來更容易輪替:1。Azure Key Vault 或受控 HSM 1 中的金鑰加密金鑰。主索引鍵 1衍生自主索引鍵的資料加密金鑰
- 在移轉之後確認資料 (以及在刪除之前)。
- 除非您不再需要與其相關聯的資料備份,否則請勿刪除舊的金鑰/金鑰保存庫。
在 Azure 資訊保護中移轉租用戶金鑰
在 Azure 資訊保護中移轉租用戶金鑰稱為「重設金鑰」或「輪流金鑰」。 客戶管理的 - AIP 租用戶金鑰生命週期作業有關於如何執行這項作業的詳細指示。
除非您不再需要使用舊租用戶金鑰保護的內容或文件,否則刪除舊租用戶金鑰並不安全。 如果您要移轉受新金鑰保護的文件,您必須:
- 從使用舊租用戶金鑰保護的文件移除保護。
- 再次套用保護,這會使用新的租用戶金鑰。