Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
A rotação automatizada de chaves criptográficas no Key Vault permite que os usuários configurem o Key Vault para gerar automaticamente uma nova versão de chave em uma frequência especificada. Para configurar a rotação, você pode usar a política de rotação de chaves, que pode ser definida em cada chave individual.
Nossa recomendação é girar as chaves de criptografia pelo menos a cada dois anos para atender às práticas recomendadas de criptografia.
Para obter mais informações sobre como os objetos do Key Vault são versionados, consulte objetos, identificadores e controle de versão do Key Vault. Para obter uma compreensão abrangente dos conceitos de autorotação em diferentes tipos de ativo no Azure Key Vault, consulte Noções básicas sobre a autorotação no Azure Key Vault.
Integração com serviços do Azure
Esse recurso permite rotação zero-touch de ponta a ponta para criptografia em repouso para serviços do Azure com CMK (chave gerenciada pelo cliente) armazenada no Azure Key Vault. Consulte a documentação específica do serviço do Azure para ver se o serviço abrange a rotação de ponta a ponta.
Para obter mais informações sobre criptografia de dados no Azure, consulte:
Preços
Há um custo adicional por rotação de chave agendada. Para obter mais informações, consulte a página de preços do Azure Key Vault
Permissões exigidas
O recurso de rotação de chaves do Key Vault requer permissões de gerenciamento de chaves. Você pode atribuir uma função "Key Vault Crypto Officer" para gerenciar a política de rotação e a rotação sob demanda.
Para obter mais informações sobre como usar o modelo de permissão RBAC do Key Vault e atribuir funções do Azure, consulte Usar um RBAC do Azure para controlar o acesso a chaves, certificados e segredos
Observação
Se você usar um modelo de permissão de políticas de acesso, será necessário definir permissões de chave "Girar", "Definir Política de Rotação" e "Obter Política de Rotação" para gerenciar a política de rotação de chaves.
Política de rotação de chave
A política de rotação de chaves permite que os usuários configurem a rotação e as notificações da Grade de Eventos perto da notificação de expiração.
Configurações de política de rotação de chave:
- Tempo de expiração: intervalo de expiração da chave. Ele é usado para definir a data de validade na chave recém-girada. Ela não afeta uma chave atual.
- Habilitado/desabilitado: sinalizador para habilitar ou desabilitar a rotação da chave
- Tipos de rotação:
- Renovar automaticamente em um determinado momento após a criação (padrão)
- Renove automaticamente em um determinado momento antes da expiração. Ele requer o conjunto "Hora de Expiração" na política de rotação e a "Data de Expiração" definida na chave.
- Tempo de rotação: intervalo de rotação de chave, o valor mínimo é de sete dias a partir da criação e sete dias a partir do tempo de expiração
- Tempo de notificação: chave perto do intervalo de eventos de expiração para notificação da Grade de Eventos. Ele requer o conjunto "Hora de Expiração" na política de rotação e a "Data de Expiração" definida na chave.
Importante
A rotação de chaves gera uma nova versão de chave de uma chave existente com o novo material de chave. Os serviços de destino devem usar o uri de chave sem versão para atualizar automaticamente para a versão mais recente da chave. Verifique se a solução de criptografia de dados armazena o uri de chave com versão com dados para apontar para o mesmo material de chave para descriptografar/descriptografar como foi usado para operações de criptografia/encapsulamento para evitar interrupções em seus serviços. Todos os serviços do Azure estão atualmente seguindo esse padrão de criptografia de dados.
Configurar a política de rotação de chaves
Configure a política de rotação de chaves durante a criação da chave.
Configure a política de rotação em chaves existentes.
Azure CLI (Interface de Linha de Comando do Azure)
Salve a política de rotação de chaves em um arquivo. Exemplo de política de rotação de chaves:
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Defina a política de rotação em um arquivo de passagem de chave salvo anteriormente usando o comando az keyvault key rotation-policy update da CLI do Azure.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Defina a política de rotação usando o cmdlet Set-AzKeyVaultKeyRotationPolicy do Azure PowerShell.
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Rotação sob demanda
A rotação de chaves pode ser invocada manualmente.
Portal
Clique em 'Girar Agora' para invocar a rotação.
Azure CLI (Interface de Linha de Comando do Azure)
Use o comando az keyvault key rotate da CLI do Azure para girar a chave.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Use o cmdlet Invoke-AzKeyVaultKeyRotation do Azure PowerShell.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Configurar a chave perto da notificação de expiração
Configuração da notificação de expiração para a chave da Grade de Eventos perto do evento de expiração. Caso não seja possível usar a rotação automatizada, como quando uma chave é importada do HSM local, você pode configurar a notificação de expiração próxima como um lembrete para a rotação manual ou como um gatilho para a rotação automatizada personalizada por meio da integração com a Grade de Eventos. Você pode configurar a notificação com dias, meses e anos antes da expiração para disparar um evento de expiração próximo.
Para obter mais informações sobre as notificações da Grade de Eventos no Key Vault, consulte o Azure Key Vault como origem da Grade de Eventos
Configurar a rotação de chaves com um modelo do ARM
A política de rotação de chaves também pode ser configurada usando modelos do ARM.
Observação
Isso requer a função "Colaborador do Key Vault" no Key Vault configurada com o RBAC do Azure para implantar a chave por meio do plano de controle.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"___location": "[resourceGroup().___location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Configurar a governança da política de rotação de chaves
Usando o serviço do Azure Policy, você pode controlar o ciclo de vida da chave e garantir que todas as chaves estejam configuradas para girar dentro de um número especificado de dias.
Criar e atribuir definição de política
- Navegue até o recurso de Política
- Selecione Atribuições em Autoria no lado esquerdo da página Azure Policy.
- Selecione Atribuir política no topo da página. Esse botão abre a página Atribuição de política.
- Insira as seguintes informações:
- Defina o escopo da política escolhendo a assinatura e o grupo de recursos sobre os quais a política será imposta. Selecione clicando no botão de três pontos no campo Escopo.
- Selecione o nome da definição de política: "As chaves devem ter uma política de rotação garantindo que sua rotação seja agendada dentro do número especificado de dias após a criação"
- Vá para a guia Parâmetros na parte superior da página.
- Defina o máximo de dias para girar o parâmetro para o número desejado de dias, por exemplo, 730.
- Defina o efeito desejado da política (Auditoria ou Desabilitado).
- Preencha todos os campos adicionais. Navegue pelas guias clicando nos botões Anterior e Próximo na parte inferior da página.
- Selecione Analisar + criar
- Selecione Criar
Depois que a política integrada é atribuída, pode levar até 24 horas para a verificação ser concluída. Depois que a verificação for concluída, você verá os resultados de conformidade, conforme abaixo.
Recursos
- Monitorando o Key Vault com a Grade de Eventos do Azure
- Noções básicas sobre a autorotação no Azure Key Vault
- Usar um RBAC do Azure para controlar o acesso a chaves, certificados e segredos
- Criptografia de dados em repouso no Azure
- Criptografia de Armazenamento do Azure
- Criptografia de Disco do Azure
- Rotação automática de chaves para criptografia de dados transparente