Azure存储客户端库具有使用带有AES对称密钥和证书(存储在密钥库中)的信封的数据加密功能。
该功能似乎不支持开箱即用旋转键。关于如何实施密钥轮换有什么建议吗?我们的服务当前使用具有客户端加密功能的Azure Table存储。而且我想设置自动化以进行按需密钥更新(以防万一证书被泄露)和证书过期时的定期轮换。
问题
对于常规的过期证书轮换,AES密钥被包装并保留在Azure表的一列中。这是否意味着在旋转钥匙时必须更新整个表?
如果证书被泄露,则意味着AES密钥也有可能被泄露。我们如何停止当前访问并使用新密钥更新?我们需要运行单独的服务来解密和重新加密整个存储吗?
谢谢
Duc