Azure Yönetilen HSM'de anahtar otomatik döndürmeyi yapılandırma

Genel bakış

Yönetilen HSM'de otomatik anahtar döndürme, kullanıcıların Yönetilen HSM'yi belirtilen sıklıkta otomatik olarak yeni bir anahtar sürümü oluşturacak şekilde yapılandırmasına olanak tanır. Her bir anahtar için döndürmeyi yapılandırmak ve isteğe bağlı olarak anahtarları isteğe bağlı olarak döndürmek için bir döndürme ilkesi ayarlayabilirsiniz. En iyi şifreleme yöntemlerini izlemek için en azından iki yılda bir şifreleme anahtarlarının döndürülmesini öneririz. Ek yönergeler ve öneriler için bkz . NIST SP 800-57 Bölüm 1.

Bu özellik, Azure Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlar (CMK) ile Azure hizmetleri için bekleyen şifreleme için uçtan uca sıfır dokunma döndürmeyi etkinleştirir. Belirli bir Azure hizmetinin uçtan uca döndürmeyi kapsayıp kapsamadığını görmek için o hizmetin belgelerine bakın.

Fiyatlandırma

Yönetilen HSM anahtar döndürme özelliği ek ücret ödemeden sunulur. Yönetilen HSM fiyatlandırması hakkında daha fazla bilgi için bkz . Azure Key Vault fiyatlandırma sayfası

Gerekli izinler

Bir anahtarı döndürmek veya anahtar döndürme ilkesi ayarlamak için belirli anahtar yönetimi izinleri gerekir. Döndürme ilkesini ve isteğe bağlı döndürmeyi yönetmek için yeterli izinleri almak için "Yönetilen HSM Şifreleme Kullanıcısı" rolünü atayabilirsiniz.

Yönetilen HSM'de Yerel RBAC izinlerini yapılandırma hakkında daha fazla bilgi için bkz. Yönetilen HSM rol yönetimi

Anahtar döndürme ilkesi

Anahtar döndürme ilkesi, kullanıcıların döndürme aralıklarını yapılandırmasına ve döndürülen anahtarlar için süre sonu aralığını ayarlamasına olanak tanır. Anahtarların isteğe bağlı olarak döndürülebilmesi için ayarlanmalıdır.

Anahtar döndürme ilkesi ayarları:

• Süre sonu: anahtar süre sonu aralığı (en az 28 gün). Yeni döndürülen bir anahtarda son kullanma tarihini ayarlamak için kullanılır (örneğin, döndürmeden sonra yeni anahtar 30 gün içinde sona erecek şekilde ayarlanır).
• Döndürme türleri:
  • Oluşturulduktan sonra belirli bir zamanda otomatik olarak yenile
  • Süre dolmadan önce belirli bir zamanda otomatik olarak yenilenir. Bu olayın tetiklemesi için anahtarda 'Süre Sonu Tarihi' ayarlanmalıdır.

Anahtar döndürme ilkesi yapılandırma

Azure CLI

Anahtar döndürme ilkesi yazın ve bir dosyaya kaydedin. Zaman aralıklarını belirtmek için ISO8601 Süre biçimlerini kullanın. Bazı örnek ilkeler sonraki bölümde sağlanmıştır. İlkeyi bir anahtara uygulamak için aşağıdaki komutu kullanın.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Örnek ilkeler

Anahtarı oluşturulduktan 18 ay sonra döndürün ve yeni anahtarın süresi iki yıl sonra dolacak şekilde ayarlayın.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Anahtarı süre dolmadan 28 gün önce döndürün ve yeni anahtarı bir yıl sonra sona erecek şekilde ayarlayın.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Anahtar döndürme ilkesini kaldırma (boş bir ilke ayarlanarak yapılır)

{
  "lifetimeActions": [],
  "attributes": {}
}

İsteğe bağlı döndürme

Anahtar için döndürme ilkesi ayarlandıktan sonra, anahtarı isteğe bağlı olarak da döndürebilirsiniz. Önce bir anahtar döndürme ilkesi ayarlamanız gerekir.

Azure CLI

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Kaynaklar

• Yönetilen HSM rol yönetimi
• Bekleyen Azure veri şifrelemesi
• Azure Depolama Şifrelemesi