Klíče spravované zákazníkem – přehled

  • Článek
  • 2 min ke čtení

Spravovaná instance Azure pro Apache Cassandra poskytuje možnost šifrovat data na disku pomocí vlastního klíče. Tento článek popisuje, jak implementovat klíče spravované zákazníkem pomocí Azure Key Vault.

Požadavky

  • Nastavte tajný kód pomocí Azure Key Vault. Další informace o Azure Key Vault najdete tady.
  • Nasadili jste virtuální síť ve vaší skupině prostředků a použili jste roli přispěvatele sítě s instančním objektem Azure Cosmos DB jako členem. Další podrobnosti najdete v tématu Vytvoření spravované instance Azure pro cluster Apache Cassandra pomocí Azure CLI.

Důležité

Tento článek vyžaduje Azure CLI verze 2.30.0 nebo novější. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.

Vytvoření clusteru s identitou přiřazenou systémem

Poznámka

Jak je uvedeno v předpokladech, abyste se vyhnuli selhání nasazení, před pokusem o nasazení clusteru spravované instance se ujistěte, že jste ve své virtuální síti použili příslušnou roli:

    az role assignment create \
    --assignee a232010e-820c-4083-83bb-3ace5fc29d0b \
    --role 4d97b98b-1d4f-4787-a291-c67834d212e7 \
    --scope /subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>

  1. Vytvořte cluster zadáním typu identity jako SystemAssigned, nahraďte , , a <subscriptionID> <resourceGroupName> <vnetName> <subnetName> příslušnými hodnotami:

    subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"
cluster="thvankra-cmk-test-wcus"
group="thvankra-nova-cmk-test"
region="westcentralus"
password="PlaceholderPassword"

az managed-cassandra cluster create \
    --identity-type SystemAssigned \
    --resource-group $group \
    --location $region \
    --cluster-name $cluster \
    --delegated-management-subnet-id $subnet \
    --initial-cassandra-admin-password $password

  2. Získání informací o identitě vytvořeného clusteru

    az managed-cassandra cluster show -c $cluster -g $group

    Výstup bude obsahovat oddíl identity jako níže. Kopírování principalId pro pozdější použití:

      "identity": {
    "principalId": "1aa51c7f-196a-4013-a656-1ccabfdc54e0",
    "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
    "type": "SystemAssigned"
  }

  3. V Azure Key Vault vytvořte zásady přístupu ke svým klíčům:

    Key Vault přístupu 1

  4. Přiřaďte k výše načtenému clusteru oprávnění ke klíči get wrap unwrap principalId trezoru klíčů a . Na portálu můžete také zjistit ID objektu zabezpečení clusteru podle názvu clusteru:

    Key Vault access policy 2

    Upozornění

    Ujistěte se, že má trezor klíčů povolenou ochranu před vymazáním. Nasazení datacenter selžou bez něj.

  5. Po kliknutí na add přidejte zásady přístupu, nezapomeňte ji uložit:

    Uložení zásad přístupu

  6. Identifikátor klíče získáte tak, že vyberete svůj klíč:

    Výběr klíče

  7. Klikněte na aktuální verzi:

    Výběr aktuální verze

  8. Identifikátor klíče si uložte pro pozdější použití:

    Identifikátor klíče – krok 2

  9. Vytvořte datové centrum tak, že nahradíte stejným klíčem (identifikátor URI, který jste si zkopíroval v předchozím kroku) pro spravovaný <key identifier> disk (managed-disk-customer-key-uri) a šifrování úložiště zálohování (backup-storage-customer-key-uri), jak je znázorněno níže (použijte stejnou hodnotu pro dříve použitou subnet hodnotu):

    managedDiskKeyUri = "<key identifier>"
backupStorageKeyUri = "<key identifier>"
group="thvankra-nova-cmk-test"
region="westcentralus"
cluster="thvankra-cmk-test-2"
dc="dc1"
nodecount=3
subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"

az managed-cassandra datacenter create \
    --resource-group $group \
    --cluster-name $cluster \
    --data-center-name $dc \
    --managed-disk-customer-key-uri $managedDiskKeyUri \
    --backup-storage-customer-key-uri $backupStorageKeyUri \
    --node-count $nodecount \
    --delegated-subnet-id $subnet \
    --data-center-location $region \
    --sku Standard_DS14_v2

  10. Existující cluster bez informací o identitě může mít přiřazenou identitu, jak je znázorněno níže:

    az managed-cassandra cluster update --identity-type SystemAssigned -g $group -c $cluster

Obměnou klíče

  1. Níže je příkaz pro aktualizaci klíče:

    managedDiskKeyUri = "<key identifier>"
backupStorageKeyUri = "<key identifier>"

az managed-cassandra datacenter update \
    --resource-group $group \
    --cluster-name $cluster \ 
    --data-center-name $dc \
    --managed-disk-customer-key-uri $managedDiskKeyUri \
    --backup-storage-customer-key-uri $backupStorageKeyUri