Klíče spravované zákazníkem pro šifrování služby Azure Fluid Relay

K ochraně dat v prostředku Azure Fluid Relay můžete použít vlastní šifrovací klíč. Když zadáte klíč spravovaný zákazníkem (CMK), použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. CMK nabízí větší flexibilitu při správě řízení přístupu.

K uložení klíče CMK musíte použít jedno z následujících úložišť klíčů Azure:

• Azure Key Vault
• Modul hardwarového zabezpečení spravované služby Azure Key Vault (HSM)

Pokud chcete povolit CMK, musíte vytvořit nový prostředek Azure Fluid Relay. U existujícího prostředku Fluid Relay nemůžete změnit povolení nebo zakázání cmk.

CmK of Fluid Relay také spoléhá na spravovanou identitu a při povolování CMK musíte k prostředku Fluid Relay přiřadit spravovanou identitu. Pro CMK prostředku Fluid Relay je povolená pouze identita přiřazená uživatelem. Další informace o spravovaných identitách najdete tady.

Konfiguraci prostředku Fluid Relay pomocí CMK se zatím nedá provádět prostřednictvím webu Azure Portal.

Když nakonfigurujete prostředek Fluid Relay pomocí CMK, služba Azure Fluid Relay nakonfiguruje odpovídající šifrovaná nastavení CMK v oboru účtu služby Azure Storage, kde jsou uložené artefakty relace Fluid. Další informace o CMK ve službě Azure Storage najdete tady.

Pokud chcete ověřit, že prostředek Fluid Relay používá CMK, můžete zkontrolovat vlastnost prostředku odesláním příkazu GET a zjistit, jestli má platnou neprázdnou vlastnost encryption.customerManagedKeyEncryption.

Požadavky:

Před konfigurací CMK na vašem prostředku Azure Fluid Relay je potřeba splnit následující požadavky:

• Klíče musí být uložené ve službě Azure Key Vault.
• Klíče musí být klíč RSA a ne klíč EC, protože klíč EC nepodporuje WRAP a UNWRAP.
• Spravovaná identita přiřazená uživatelem musí být vytvořena s potřebnými oprávněními (GET, WRAP a UNWRAP) k trezoru klíčů v kroku 1. Další informace najdete tady. Udělte v AKV oprávnění ke klíči get, WRAP a UNWRAP.
• Azure Key Vault, identita přiřazená uživatelem a prostředek Fluid Relay musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra.

Vytvoření prostředku Fluid Relay pomocí CMK

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>" 

Formát datové části požadavku:

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
} 

Příklad userAssignedIdentities a userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Příklad klíčeEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Poznámky:

• Identity.type musí být UserAssigned. Jedná se o typ identity spravované identity, která je přiřazená k prostředku Fluid Relay.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType musí být userAssigned. Jedná se o typ identity spravované identity, který by se měl použít pro CMK.
• I když v identity.userAssignedIdentities můžete zadat více než jednu, pro přístup k trezoru klíčů pro šifrování se použije pouze jedna identita uživatele přiřazená k prostředku Fluid Relay.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId je ID prostředku identity přiřazené uživatelem, která se má použít pro CMK. Všimněte si, že by měla být jednou z identit v Identity.userAssignedIdentities (Před použitím pro CMK musíte identitu přiřadit k prostředku Fluid Relay). Také by měl mít potřebná oprávnění ke klíči (poskytuje keyEncryptionKeyUrl).
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl je identifikátor klíče používaný pro CMK.

Aktualizace nastavení CMK existujícího prostředku Fluid Relay

U existujícího prostředku Fluid Relay můžete aktualizovat následující nastavení CMK:

• Změňte identitu, která se používá pro přístup k šifrovacímu klíči klíče.
• Změňte identifikátor šifrovacího klíče (adresa URL klíče).
• Změňte verzi klíče šifrovacího klíče.

Mějte na paměti, že po povolení není možné cmk zakázat u existujícího prostředku Fluid Relay.

Požádat o adresu URL:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload" 

Příklad datové části požadavku pro aktualizaci adresy URL šifrovacího klíče klíče:

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

Viz také

• Přehled architektury Azure Fluid Relay
• Úložiště dat ve službě Azure Fluid Relay
• Šifrování dat ve službě Azure Fluid Relay