Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Überblick
Hinweis
Schlüssel autorotation erfordert die Azure CLI Version 2.42.0 oder höher.
Mit automatisierter Schlüsselrotation in verwaltetem HSM können Benutzer verwaltetes HSM so konfigurieren, dass automatisch eine neue Schlüsselversion mit einer bestimmten Häufigkeit generiert wird. Sie können eine Drehungsrichtlinie festlegen, um die Drehung für jeden einzelnen Schlüssel zu konfigurieren und optional Schlüssel bei Bedarf zu drehen. Unsere Empfehlung besteht darin, Verschlüsselungsschlüssel mindestens alle zwei Jahre zu drehen, um kryptografische bewährte Methoden zu erfüllen. Weitere Informationen und Empfehlungen finden Sie unter NIST SP 800-57 Teil 1.
Diese Funktion ermöglicht die End-to-End-Zero-Touch-Rotation für Verschlüsselung im Ruhezustand für Azure-Dienste mit vom Kunden verwalteten Schlüsseln (CMK), die in Azure Managed HSM gespeichert sind. In der Dokumentation des spezifischen Azure-Dienstes erfahren Sie, ob der Dienst eine End-to-End-Erneuerung unterstützt.
Pricing
Die Schlüsselrotation bei verwaltetem HSM wird ohne zusätzliche Kosten angeboten. Weitere Informationen zu verwalteten HSM-Preisen finden Sie auf der Azure Key Vault-Preisseite
Warnung
Verwaltetes HSM hat eine Grenze von 100 Versionen pro Schlüssel. Schlüsselversionen, die als Teil der automatischen oder manuellen Rotation erstellt werden, werden auf diesen Grenzwert angerechnet.
Erforderliche Berechtigungen
Das Drehen eines Schlüssels oder festlegen einer Schlüsseldrehungsrichtlinie erfordert bestimmte Schlüsselverwaltungsberechtigungen. Sie können die Rolle „Managed HSM Crypto User“ (Kryptografiebenutzer für verwaltete HSMs) zuweisen, um ausreichende Berechtigungen zum Verwalten der Rotationsrichtlinie und der Rotation bei Bedarf zu erhalten.
Weitere Informationen zum Konfigurieren von lokalen RBAC-Berechtigungen für verwaltete HSM finden Sie unter: Verwaltete HSM-Rollenverwaltung
Hinweis
Das Festlegen einer Rotationsrichtlinie erfordert die Berechtigung „Key Write“ (Schlüssel schreiben). Das Drehen eines Schlüssels bei Bedarf erfordert "Rotation"-Berechtigungen. Beide sind in der integrierten Rolle "Managed HSM Crypto User" enthalten.
Richtlinie für Schlüsselrotation
Mit der Schlüsseldrehungsrichtlinie können Benutzer Drehungsintervalle konfigurieren und das Ablaufintervall für gedrehte Schlüssel festlegen. Es muss festgelegt werden, bevor Schlüssel bei Bedarf rotiert werden können.
Hinweis
Verwaltetes HSM unterstützt keine Ereignisrasterbenachrichtigungen.
Einstellungen für die Schlüsselrotationsrichtlinie:
- Ablaufzeit: Schlüsselablaufzeitraum (mindestens 28 Tage). Es wird verwendet, um das Ablaufdatum für einen neu rotierten Schlüssel festzulegen (z. B. ist der neue Schlüssel so festgelegt, dass er nach 30 Tagen abläuft).
- Drehungstypen:
- Automatische Verlängerung zu einem bestimmten Zeitpunkt nach der Erstellung
- Automatische Verlängerung zu einem bestimmten Zeitpunkt vor Ablauf. "Ablaufdatum" muss für den Schlüssel festgelegt werden, damit dieses Ereignis ausgelöst wird.
Warnung
Eine automatische Rotationsrichtlinie kann nicht festlegen, dass neue Schlüsselversionen häufiger als einmal alle 28 Tage erstellt werden. Bei erstellungsbasierten Rotationsrichtlinien bedeutet dies, dass der Minimalwert für timeAfterCreate mindestens P28D ist. Bei ablaufbasierten Rotationsrichtlinien hängt der Maximalwert für timeBeforeExpiry von expiryTime ab. Wenn expiryTime beispielsweise P56D ist, kann timeBeforeExpiry höchstens P28D sein.
Konfigurieren einer Schlüsselrotationsrichtlinie
Azure-Befehlszeilenschnittstelle (Azure CLI)
Schreiben Sie eine Schlüsseldrehungsrichtlinie, und speichern Sie sie in einer Datei. Verwenden Sie ISO8601 Dauerformate, um Zeitintervalle anzugeben. Einige Beispielrichtlinien werden im nächsten Abschnitt bereitgestellt. Verwenden Sie den folgenden Befehl, um die Richtlinie auf einen Schlüssel anzuwenden.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value /path/to/policy.json
Beispielrichtlinien
Drehen Sie den Schlüssel 18 Monate nach der Erstellung, und legen Sie fest, dass der neue Schlüssel nach zwei Jahren abläuft.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Drehen Sie den Schlüssel 28 Tage vor dem Ablauf, und setzen Sie den neuen Schlüssel so, dass er nach einem Jahr abläuft.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Entfernen der Richtlinie für Schlüsselrotation (wird durch Festlegen einer leeren Richtlinie bewirkt)
{
"lifetimeActions": [],
"attributes": {}
}
Drehung bei Bedarf
Sobald eine Drehungsrichtlinie für den Schlüssel festgelegt ist, können Sie den Schlüssel auch bei Bedarf drehen. Sie müssen zuerst eine Schlüsselrotationspolitik festlegen.
Azure-Befehlszeilenschnittstelle (Azure CLI)
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>