通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Foundry 的客户管理的密钥 (CMK)

注释

本文档引用 Microsoft Foundry (经典) 门户。

🔄 如果你使用的是新门户,请切换到 Microsoft Foundry(新)文档

注释

本文档指的是 Microsoft Foundry(新) 门户网站。

小窍门

另有一篇以中心为重点的备选客户管理的密钥的 CMK 文章:中心项目的客户管理的密钥

Microsoft Foundry 中的客户管理的密钥(CMK)加密可让你控制数据的加密。 使用 CMK 添加额外的保护层,并帮助满足 Azure Key Vault 集成的合规性要求。

Microsoft Foundry 中的客户管理的密钥(CMK)加密可让你控制数据的加密。 使用 CMK 添加额外的保护层,并帮助满足 Azure Key Vault 集成的合规性要求。

Microsoft Foundry 提供可靠的加密功能,包括能够使用 Azure Key Vault 中存储的客户管理的密钥(CMK)来保护敏感数据。 本文介绍使用 CMK 加密的概念,并提供使用 Azure Key Vault 配置 CMK 的分步指南。 它还讨论了加密模型和访问控制方法,例如 Azure 角色基于的访问控制(RBAC) 保管库访问策略,以确保与 托管标识(系统分配)兼容。 目前仅通过 Bicep 模板提供对 用户分配的托管标识(UAI) 的支持。

为何使用客户管理的密钥?

借助 CMK,你可以完全控制加密密钥,为敏感数据提供增强的保护,并帮助满足合规性要求。 使用 CMK 的主要优势包括:

  • 使用自己的密钥加密静止数据。

  • 与组织安全性和合规性策略集成。

  • 能够轮换或撤销密钥,以增强对加密数据的访问的控制。

Microsoft Foundry 支持使用存储在 Azure Key Vault 中的 CMK 进行加密,并利用行业领先的安全功能。

先决条件

若要为 Microsoft Foundry 配置 CMK,请确保满足以下先决条件:

  1. Azure 订阅
    需要有效的 Azure 订阅才能创建和管理 Azure 资源。

  2. Azure Key Vault:

  3. 托管标识配置

  4. Key Vault 权限

    • 如果使用 Azure RBAC,请将“Key Vault 加密用户”角色分配给托管标识。
    • 如果使用 保管库访问策略,请向托管标识授予特定于密钥的权限,例如 解包密钥包装密钥

区域可用性说明(适用于 CMK 的 UAI)

目前,在所有 Azure 区域中,除以下区域外,都提供对 User-Assigned Managed Identities (UAI) 和 Customer-Managed Keys (CMK) 的支持。

  • 美国
    westus、centralus、southcentralus、westus2
  • 欧洲
    westeurope, ukwest, 瑞士西部, 德国西中部, 法国中部, 丹麦东部, 波兰中部, 瑞典中部, 挪威东部
  • 亚太
    台湾西北,澳大拉西亚(澳大利亚东部,新西兰北部),东南亚,日本东部,韩国中部,印度尼西亚中部,马来西亚西部,印度中部
  • 中东
    以色列央行、卡塔尔央行
  • 非洲
    southafricanorth
  • 加拿大
    加拿大东部
  • 拉丁美洲
    墨西哥中心
  • Azure 中国
    中国东部、中国东部 2、中国北部、中国北部 2
  • Azure 美国政府:
    US Gov 弗吉尼亚州、US Gov 亚利桑那州、US Gov 得克萨斯州、US Gov 爱荷华州

在使用 UAI 配置 CMK 之前,请确保在受支持的区域中部署资源。 有关 Microsoft Foundry 功能的区域支持的详细信息,请参阅 跨云区域的 Microsoft Foundry 功能可用性

配置 CMK 的步骤

步骤 1. 在 Azure Key Vault 中创建或导入密钥

将客户管理密钥(CMK)存储在 Azure Key Vault 中。 可以在 Key Vault 中生成新密钥或导入现有密钥。 请按照以下部分中的步骤进行操作:

生成密钥

  1. 在 Azure 门户中访问 Azure Key Vault。

  2. 在“设置”下,选择“密钥”

  3. 选择“ + 生成/导入”。

  4. 输入密钥名称,选择密钥类型(如 RSA 或 HSM 支持),并配置密钥大小和过期详细信息。

  5. 选择“ 创建 ”以保存新密钥。

    有关详细信息,请参阅 Azure Key Vault 中的“创建和管理密钥”。

导入密钥

  1. 转到 Key Vault 中的 “密钥 ”部分。
  2. 选择 “+ 生成/导入 ”,然后选择“ 导入 ”选项。
  3. 上传密钥材料并提供必要的密钥配置详细信息。
  4. 按照提示完成导入过程。

步骤 2. 向托管标识授予 Key Vault 权限

系统分配的托管标识用户分配的托管标识 配置适当的权限,以访问 Key Vault。

系统分配的托管标识

  1. 转到 Azure 门户中的 Key Vault。
  2. 选择“访问控制 (IAM)”。
  3. 选择“+ 添加角色分配”
  4. 将“Key Vault Crypto User”角色分配给 Microsoft Foundry 资源的系统分配托管标识

用户分配的托管标识

注释

请参阅 GitHub 存储库:具有用户分配标识的客户管理密钥

  1. 使用提供的 Bicep 模板部署用户分配的标识并配置 Key Vault 权限。

  2. 部署后,确认用户分配的身份具有适当的角色(例如 Key Vault 加密管理员)或 Key Vault 的权限。

步骤 3. 在 Microsoft Foundry 中启用 CMK

  1. 在 Azure 门户中打开 Microsoft Foundry 资源。
  2. 转到 “加密设置” 部分。
  3. 选择客户管理的密钥作为加密类型。
  4. 输入 Key Vault URL 和密钥名称。
  5. 如果使用用户分配的托管标识,请确保通过 Bicep 模板完成部署,因为标识及其关联的权限已经配置完毕。

Key Vault 访问设计:Azure RBAC 与密钥保管库访问策略

Azure Key Vault 支持两种管理访问权限的模型:

  1. Azure RBAC (建议)
    • 使用 Azure AD 角色提供集中式访问控制。
    • 简化了跨 Azure 的资源的权限管理。
    • 使用 Key Vault Crypto 用户角色。
  2. 保管库访问策略
    • 允许特定于 Key Vault 资源的精细访问控制。
    • 适用于需要传统或独立权限设置的配置。

选择符合组织要求的模型。

监视和轮换密钥

若要保持最佳安全性和符合性,请实施以下做法:

  1. 启用 Key Vault 诊断
    通过在 Azure Monitor 或 Log Analytics 中启用诊断日志记录来监视密钥使用情况和访问活动。
  2. 定期轮换密钥
    定期在 Azure Key Vault 中创建新的密钥版本。
    更新 Microsoft Foundry 资源以引用其 加密设置中的最新密钥版本。

相关内容

  • Last updated on