Klucze zarządzane przez klienta (CMK) dla rozwiązania Microsoft Foundry

Rozwiązanie Microsoft Foundry zapewnia niezawodne funkcje szyfrowania, w tym możliwość używania kluczy zarządzanych przez klienta (CMK) przechowywanych w usłudze Azure Key Vault w celu zabezpieczenia poufnych danych. W tym artykule opisano koncepcję szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMK) oraz przedstawiono szczegółowe wskazówki krok po kroku dotyczące konfigurowania CMK z użyciem usługi Azure Key Vault. Omówiono również modele szyfrowania i metody kontroli dostępu, takie jak Azure Role-Based Access Control (RBAC) i zasady dostępu do skarbca, zapewniając zgodność z tożsamościami zarządzanymi przypisanymi przez system. Obsługa tożsamości zarządzanych przypisanych przez użytkownika (UAI) jest obecnie dostępna wyłącznie za pośrednictwem szablonów Bicep.

Dlaczego warto używać kluczy zarządzanych przez klienta?

Dzięki kluczowi cmK uzyskasz pełną kontrolę nad kluczami szyfrowania, zapewniając rozszerzoną ochronę poufnych danych i pomagając spełnić wymagania dotyczące zgodności. Najważniejsze korzyści wynikające z używania CMKs obejmują:

• Używanie własnych kluczy do szyfrowania danych w spoczynku.

• Integracja z zasadami zabezpieczeń i zgodności organizacji.

• Możliwość rotacji lub odwoływanie kluczy w celu rozszerzonej kontroli nad dostępem do zaszyfrowanych danych.

Platforma Microsoft Foundry obsługuje szyfrowanie za pomocą kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault, korzystając z wiodących w branży funkcji zabezpieczeń.

Wymagania wstępne

Aby skonfigurować klucz cmK dla usługi Microsoft Foundry, upewnij się, że zostały spełnione następujące wymagania wstępne:

1. Subskrypcja platformy Azure:
   Do tworzenia zasobów platformy Azure i zarządzania nimi potrzebna jest aktywna subskrypcja platformy Azure.

2. Usługa Azure Key Vault:

   • Potrzebujesz istniejącej usługi Azure Key Vault do przechowywania kluczy.
   • Musisz wdrożyć usługę Key Vault i zasób Microsoft Foundry w tym samym regionie świadczenia usługi Azure.
   • Postępuj zgodnie z tym przewodnikiem, aby utworzyć usługę Key Vault: Szybki start: tworzenie usługi Key Vault przy użyciu witryny Azure Portal.

3. Konfiguracja tożsamości zarządzanej:

   • Tożsamość zarządzana nadawana przez system: Upewnij się, że zasób Microsoft Foundry ma włączoną tożsamość zarządzaną nadawaną przez system.
   • Tożsamość zarządzana przypisana przez użytkownika: Obsługa tożsamości zarządzanej przypisanej przez użytkownika jest obecnie dostępna tylko za pośrednictwem szablonów Bicep. Zapoznaj się z przykładem szablonu Bicep: Repozytorium GitHub: Customer-Managed Keys z tożsamością przypisaną przez użytkownika.

4. Uprawnienia usługi Key Vault:

   • Jeśli używasz Azure RBAC, przypisz rolę Key Vault Crypto User do tożsamości zarządzanej.
   • Jeśli używasz Vault Access Policies, przyznaj tożsamości zarządzanej uprawnienia specyficzne dla klucza, takie jak unwrap key i wrap key.

Regionalna uwaga dotycząca dostępności (UAI for CMK)

Obsługa Customer-Managed Keys (CMK) z User-Assigned Managed Identities (UAI) jest obecnie dostępna we wszystkich regionach Azure, z wyjątkiem następujących regionów:

• Stany Zjednoczone:
  westus, centralus, southcentralus, westus2
• Europa:
  westeurope, ukwest, szwajcariawest, germanywestcentral, francecentral, daniaeast, polskacentral, szwecjacentral, norwegiaeast
• Azja i Pacyfik:
  taiwan northwest, australasia (australia east, new zealand north), southeast asia, japan east, korea central, indonesia central, malaysia west, central india
• Bliski Wschód:
  israelcentral, katarcentral
• Afryka:
  southafricanorth
• Kanada:
  wschód Kanady
• Ameryka Łacińska:
  Meksyk Centralny
• Azure Chiny:
  Chiny Wschodnie, Chiny Wschodnie 2, Chiny Północne, Chiny Północne 2

Przed skonfigurowaniem CMK z UAI upewnij się, że wdrażasz zasoby w obsługiwanym regionie. Aby uzyskać więcej informacji na temat regionalnej pomocy technicznej dotyczącej funkcji rozwiązania Microsoft Foundry, zapoznaj się z tematem Dostępność funkcji rozwiązania Microsoft Foundry w różnych regionach chmury .

Kroki konfiguracji klucza CMK

Krok 1. Tworzenie lub importowanie klucza w usłudze Azure Key Vault

Klucze zarządzane przez klienta (CMK) są przechowywane w Usłudze Azure Key Vault. Możesz wygenerować nowy klucz w usłudze Key Vault lub zaimportować istniejący klucz. Wykonaj kroki opisane w następujących sekcjach:

Generowanie klucza

1. Przejdź do usługi Azure Key Vault w witrynie Azure Portal.

2. W obszarze Ustawienia wybierz pozycję Klucze.

3. Wybierz + Generuj/Importuj.

4. Wprowadź nazwę klucza, wybierz typ klucza (taki jak RSA lub HSM) i skonfiguruj rozmiar i szczegóły wygaśnięcia.

5. Wybierz pozycję Utwórz , aby zapisać nowy klucz.

   Aby uzyskać więcej informacji, zobacz Tworzenie kluczy i zarządzanie nimi w usłudze Azure Key Vault.

Importowanie klucza

1. Przejdź do sekcji Klucze w usłudze Key Vault.
2. Wybierz pozycję + Generuj/Importuj i wybierz opcję Importuj .
3. Prześlij materiał klucza i podaj niezbędne szczegóły konfiguracji klucza.
4. Postępuj zgodnie z monitami, aby ukończyć proces importowania.

Krok 2. Udzielanie tożsamościom zarządzanym uprawnień w Key Vault

Skonfiguruj odpowiednie uprawnienia dla tożsamości zarządzanej przypisanej przez system lub przypisanej przez użytkownika w celu uzyskania dostępu do usługi Key Vault.

Tożsamość zarządzana przypisana przez system

1. Przejdź do usługi Key Vault w witrynie Azure Portal.
2. Wybierz Access Control (IAM).
3. Wybierz pozycję + Dodaj przypisanie roli.
4. Przypisz rolę użytkownika kryptograficznego usługi Key Vault do przypisanej przez system tożsamości zarządzanej zasobu Microsoft Foundry.

Tożsamość zarządzana przypisana przez użytkownika

1. Użyj podanych szablonów Bicep, aby wdrożyć tożsamość przypisaną przez użytkownika i skonfigurować uprawnienia usługi Key Vault.

2. Po wdrożeniu upewnij się, że tożsamość przypisana przez użytkownika ma odpowiednie role (takie jak usługa Key Vault Crypto Officer) lub uprawnienia w usłudze Key Vault.

Krok 3. Włącz klucz zarządzany przez klienta w rozwiązaniu Microsoft Foundry

1. Otwórz zasób Microsoft Foundry w witrynie Azure Portal.
2. Przejdź do sekcji Ustawienia szyfrowania .
3. Wybierz Customer-Managed Keys jako typ szyfrowania.
4. Wprowadź adres URL usługi Key Vault i nazwę klucza.
5. Jeśli używasz tożsamości zarządzanej przypisanej użytkownikowi, upewnij się, że wdrożenie za pomocą szablonów Bicep jest zakończone, gdyż tożsamość i skojarzone uprawnienia są już skonfigurowane.

Projekt dostępu do Key Vault: kontrola dostępu oparta na rolach platformy Azure a zasady dostępu Vault

Usługa Azure Key Vault obsługuje dwa modele zarządzania uprawnieniami dostępu:

1. Kontrola dostępu oparta na rolach platformy Azure (zalecane):
   • Zapewnia scentralizowaną kontrolę dostępu przy użyciu ról usługi Azure AD.
   • Upraszcza zarządzanie uprawnieniami dla zasobów na platformie Azure.
   • Użyj roli użytkownika kryptograficznego usługi Key Vault.
2. Zasady dostępu do repozytorium:
   • Umożliwia szczegółową kontrolę dostępu specyficzną dla zasobów usługi Key Vault.
   • Odpowiednie w przypadku konfiguracji, w których niezbędne są starsze lub izolowane ustawienia uprawnień.

Wybierz model zgodny z wymaganiami organizacji.

Monitorowanie i obracanie kluczy

Aby zachować optymalne zabezpieczenia i zgodność, zaimplementuj następujące rozwiązania:

1. Włącz diagnostykę usługi Key Vault:
   Monitoruj użycie klucza i aktywność dostępu, włączając rejestrowanie diagnostyczne w usłudze Azure Monitor lub Log Analytics.
2. Regularnie obracaj klucze:
   Okresowo twórz nową wersję klucza w usłudze Azure Key Vault.
   Zaktualizuj zasób Microsoft Foundry, aby odwoływać się do najnowszej wersji klucza w ustawieniach szyfrowania.

Treści powiązane

• Dokumentacja usługi Azure Key Vault
• Przykład Bicep w usłudze GitHub: klucze zarządzane przez klienta z użyciem Tożsamości przydzielonej przez użytkownika
• Tożsamości zarządzane Azure: omówienie