Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Informazioni generali
Annotazioni
L'autorotazione della chiave richiede Azure CLI versione 2.42.0 o successiva.
La rotazione automatica delle chiavi nel modulo di protezione hardware gestito consente agli utenti di configurare il modulo di protezione hardware gestito per generare automaticamente una nuova versione della chiave a una frequenza specificata. È possibile impostare un criterio di rotazione per configurare la rotazione per ogni singola chiave e, facoltativamente, ruotare le chiavi su richiesta. È consigliabile ruotare le chiavi di crittografia almeno ogni due anni per soddisfare le procedure consigliate per la crittografia. Per altre informazioni e consigli, vedere NIST SP 800-57 Part 1.
Questa funzionalità consente la rotazione senza tocco end-to-end per la crittografia dei dati inattivi per i servizi di Azure con chiavi gestite dal cliente (CMK) archiviate nell'HSM gestito di Azure. Vedere la documentazione specifica del servizio di Azure per verificare se il servizio copre la rotazione end-to-end.
Pricing
La rotazione delle chiavi dell'HSM gestito è disponibile senza costi aggiuntivi. Per altre informazioni sui prezzi del modulo di protezione hardware gestito, vedere la pagina dei prezzi di Azure Key Vault
Avvertimento
HSM gestito ha un limite di 100 versioni per chiave. Le versioni delle chiavi create come parte del conteggio della rotazione automatica o manuale verso questo limite.
Autorizzazioni necessarie
La rotazione di una chiave o l'impostazione di un criterio di rotazione delle chiavi richiede autorizzazioni di gestione delle chiavi specifiche. È possibile assegnare il ruolo "Utente crypto HSM gestito" per ottenere autorizzazioni sufficienti per gestire i criteri di rotazione e la rotazione su richiesta.
Per altre informazioni su come configurare le autorizzazioni locali del controllo degli accessi in base al ruolo per l'HSM gestito nell'HSM gestito, vedere Gestione dei ruoli per l'HSM gestito
Annotazioni
Per impostare un criterio di rotazione è richiesta l'autorizzazione "Scrittura chiave". La rotazione di una chiave a richiesta richiede permessi di "Rotazione". Entrambi sono inclusi nel ruolo predefinito "Managed HSM Crypto User".
Criteri di rotazione delle chiavi
I criteri di rotazione delle chiavi consentono agli utenti di configurare gli intervalli di rotazione e impostare l'intervallo di scadenza per le chiavi ruotate. Deve essere impostato prima che le chiavi possano essere ruotate su richiesta.
Annotazioni
HSM gestito non supporta le notifiche di Griglia di eventi
Impostazioni della politica di rotazione delle chiavi:
- Scadenza: intervallo di scadenza della chiave (minimo 28 giorni). Viene usato per impostare la data di scadenza su una chiave appena ruotata( ad esempio, dopo la rotazione, la nuova chiave è impostata per scadere in 30 giorni).
- Tipi di rotazione:
- Rinnovo automatico in un determinato momento dopo la creazione
- Rinnovo automatico in un determinato momento prima della scadenza. L'impostazione "Data di scadenza" della chiave è necessaria per attivare l'evento.
Avvertimento
Un criterio di rotazione automatica non può imporre che le nuove versioni chiave vengano create più frequentemente di una volta ogni 28 giorni. Per i criteri di rotazione basati sulla creazione, significa che il valore minimo per timeAfterCreate è P28D. Per i criteri di rotazione in base alla scadenza, il valore massimo per timeBeforeExpiry dipende da expiryTime. Ad esempio, se expiryTime è P56D, timeBeforeExpiry può essere al massimo P28D.
Configurare una politica di rotazione delle chiavi
Azure CLI
Scrivere un criterio di rotazione delle chiavi e salvarlo in un file. Usare formati di durata ISO8601 per specificare intervalli di tempo. Nella sezione successiva vengono forniti alcuni criteri di esempio. Usare il comando seguente per applicare il criterio a una chiave.
az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value /path/to/policy.json
Politiche di esempio
Ruotare la chiave 18 mesi dopo la creazione e impostare una scadenza di due anni per la nuova chiave.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Ruotare la chiave 28 giorni prima della scadenza e impostare la nuova chiave per scadere dopo un anno.
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": null,
"timeBeforeExpiry": "P28D"
},
"action": {
"type": "Rotate"
}
}
],
"attributes": {
"expiryTime": "P1Y"
}
}
Rimuovere i criteri di rotazione delle chiavi impostando un criterio vuoto
{
"lifetimeActions": [],
"attributes": {}
}
Rotazione su richiesta
Dopo aver impostato un criterio di rotazione per la chiave, è anche possibile ruotare la chiave su richiesta. È prima necessario impostare un criterio di rotazione delle chiavi.
Azure CLI
az keyvault key rotate --hsm-name <hsm-name> --name <key-name>