Šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem napříč tenanty

Tento článek popisuje vytvoření řešení, ve kterém šifrujete spravované disky pomocí klíčů spravovaných zákazníkem pomocí služby Azure Key Vault uložených v jiném tenantovi Microsoft Entra. Tato konfigurace může být ideální pro několik scénářů. Jedním z příkladů je podpora Azure pro poskytovatele služeb, kteří chtějí svým zákazníkům nabízet šifrovací klíče s použitím vlastních šifrovacích klíčů, kde jsou prostředky z tenanta poskytovatele služeb šifrované pomocí klíčů z tenanta zákazníka.

Sada šifrování disků s federovanou identitou v pracovním postupu CMK napříč tenanty zahrnuje prostředky zprostředkovatele služeb nebo poskytovatele softwaru (sada šifrování disků, spravované identity a registrace aplikací) a prostředky tenanta zákazníka (podnikové aplikace, přiřazení rolí uživatelů a trezor klíčů). V tomto případě je zdrojovým prostředkem Azure sada šifrování disků poskytovatele služeb.

Pokud máte dotazy týkající se klíčů spravovaných zákazníkem napříč tenanty se spravovanými disky, e-mail crosstenantcmkvteam@service.microsoft.com.

Omezení

• Spravované disky a key Vault zákazníka musí být ve stejné oblasti Azure, ale můžou být v různých předplatných.
• Tato funkce nepodporuje disky Úrovně Ultra ani spravované disky Azure PREMIUM SSD v2.
• Tato funkce není dostupná v Microsoft Azure provozovaných cloudy 21Vianet nebo Government.

Informace o klíčích spravovaných zákazníkem napříč tenanty

Mnoho poskytovatelů služeb vytvářejících nabídky Software jako služba (SaaS) v Azure chce svým zákazníkům nabídnout možnost správy vlastních šifrovacích klíčů. Klíče spravované zákazníkem umožňují poskytovateli služeb šifrovat data zákazníka pomocí šifrovacího klíče spravovaného zákazníkem poskytovatele služeb a není přístupný poskytovateli služeb. V Azure může zákazník poskytovatele služeb použít Azure Key Vault ke správě šifrovacích klíčů ve svém vlastním tenantovi a předplatném Microsoft Entra.

Služby a prostředky platformy Azure, které vlastní poskytovatel služeb a které se nacházejí v tenantovi poskytovatele služeb, vyžadují přístup k klíči z tenanta zákazníka k provádění operací šifrování a dešifrování.

Následující obrázek ukazuje šifrování neaktivních uložených dat s federovanou identitou v pracovním postupu CMK napříč tenanty, který se zabývá poskytovatelem služeb a jeho zákazníkem.

V předchozím příkladu existují dva tenanti Microsoft Entra: tenanta nezávislého poskytovatele služeb (tenant 1) a tenanta zákazníka (tenant 2). Tenant 1 hostuje služby platformy Azure a tenant 2 hostuje trezor klíčů zákazníka.

Poskytovatel služeb v tenantovi 1 vytvoří registraci víceklientských aplikací. V této aplikaci se vytvoří přihlašovací údaje federované identity pomocí spravované identity přiřazené uživatelem. Potom se název a ID aplikace aplikace sdílí se zákazníkem.

Uživatel s příslušnými oprávněními nainstaluje aplikaci poskytovatele služeb v tenantovi zákazníka Tenant 2. Uživatel pak udělí instančnímu objektu přidruženému k nainstalované aplikaci přístup k trezoru klíčů zákazníka. Zákazník také uloží šifrovací klíč nebo klíč spravovaný zákazníkem do trezoru klíčů. Zákazník sdílí umístění klíče (adresu URL klíče) s poskytovatelem služeb.

Poskytovatel služeb teď má:

• ID aplikace pro víceklientskou aplikaci nainstalovanou v tenantovi zákazníka, kterému byl udělen přístup ke klíči spravovanému zákazníkem.
• Spravovaná identita nakonfigurovaná jako přihlašovací údaje pro víceklientskou aplikaci.
• Umístění klíče v trezoru klíčů zákazníka.

S těmito třemi parametry poskytovatel služeb zřídí prostředky Azure v tenantovi 1 , které je možné zašifrovat pomocí klíče spravovaného zákazníkem v tenantovi 2.

Pojďme výše uvedené komplexní řešení rozdělit do tří fází:

1. Zprostředkovatel služeb konfiguruje identity.
2. Zákazník udělí víceklientské aplikaci poskytovatele služeb přístup k šifrovacímu klíči ve službě Azure Key Vault.
3. Poskytovatel služeb šifruje data v prostředku Azure pomocí klíče CMK.

Operace ve fázi 1 by byla jednorázová instalace většiny aplikací poskytovatele služeb. Operace ve fázích 2 a 3 se pro každého zákazníka opakují.

Fáze 1 – Poskytovatel služeb konfiguruje aplikaci Microsoft Entra.

Krok	Popis	Minimální role v Azure RBAC	Minimální role v Microsoft Entra RBAC
1.	Vytvořte novou registraci víceklientských aplikací Microsoft Entra nebo začněte s existující registrací aplikace. Poznamenejte si ID aplikace (ID klienta) registrace aplikace pomocí webu Azure Portal, rozhraní Microsoft Graph API, Azure PowerShellu nebo Azure CLI.	Nic	Vývojář aplikace
2.	Vytvořte spravovanou identitu přiřazenou uživatelem (která se použije jako přihlašovací údaje federované identity). Šablony Azure Resource Manageru v Azure PowerShellu/ na webu / Azure Portal /	Přispěvatel spravovaných identit	Nic
3.	Nakonfigurujte spravovanou identitu přiřazenou uživatelem jako přihlašovací údaje federované identity v aplikaci, aby ji bylo možné zosobnit. Referenční informace k rozhraní Graph API na/ webu Azure/ Portal v Azure PowerShellu/	Nic	Vlastník aplikace
4.	Sdílejte název aplikace a ID aplikace se zákazníkem, aby mohl aplikaci nainstalovat a autorizovat.	Nic	Nic

Důležité informace o poskytovatelích služeb

• Pro vytváření aplikací Microsoft Entra se nedoporučuje šablony Azure Resource Manageru (ARM).
• Stejnou víceklientní aplikaci je možné použít pro přístup ke klíčům v libovolném počtu tenantů, jako je Tenant 2, Tenant 3, Tenant 4 atd. V každém tenantovi se vytvoří nezávislá instance aplikace, která má stejné ID aplikace, ale jiné ID objektu. Každá instance této aplikace je tedy autorizovaná nezávisle. Zvažte, jak se objekt aplikace použitý pro tuto funkci používá k rozdělení aplikace mezi všechny zákazníky.
  • Aplikace může mít maximálně 20 přihlašovacích údajů federované identity, což vyžaduje, aby poskytovatel služeb sdílel federované identity mezi svými zákazníky. Další informace o aspektech návrhu a omezeních federovaných identit najdete v tématu Konfigurace aplikace pro vztah důvěryhodnosti externího zprostředkovatele identity.
• Ve výjimečných scénářích může poskytovatel služeb používat jeden objekt aplikace pro zákazníka, ale to vyžaduje značné náklady na údržbu pro správu aplikací ve velkém měřítku napříč všemi zákazníky.
• V tenantovi poskytovatele služeb není možné automatizovat ověření vydavatele.

Fáze 2 – Zákazník autorizuje přístup k trezoru klíčů

Krok	Popis	Nejméně privilegované role Azure RBAC	Nejméně privilegované role Microsoft Entra
1.	Doporučeno: Pošlete uživateli, aby se přihlásil do aplikace. Pokud se uživatel může přihlásit, pak ve svém tenantovi existuje instanční objekt vaší aplikace. K vytvoření instančního objektu použijte Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell nebo Azure CLI . Vytvořte adresu URL souhlasu správce a udělte souhlas tenanta k vytvoření instančního objektu pomocí ID aplikace.	Nic	Uživatelé s oprávněními k instalaci aplikací
2.	Vytvořte službu Azure Key Vault a klíč, který se používá jako klíč spravovaný zákazníkem.	Aby uživatel vytvořil trezor klíčů, musí mít přiřazenou roli Přispěvatel služby Key Vault. Aby uživatel přidal klíč do trezoru klíčů, musí mít přiřazenou roli kryptografického důstojníka služby Key Vault.	Nic
3.	Udělení souhlasu s identitou aplikace přístup k trezoru klíčů Azure přiřazením role Key Vault Crypto Service Encryption User	Pokud chcete aplikaci přiřadit roli uživatele šifrování šifrovací služby Key Vault, musíte mít přiřazenou roli User Access Správa istrator.	Nic
4.	Zkopírujte adresu URL a název klíče trezoru klíčů do konfigurace klíčů spravovaných zákazníkem nabídky SaaS.	Nic	Nic

Poznámka:

Pokud chcete autorizovat přístup ke spravovanému HSM pro šifrování pomocí CMK, podívejte se tady na příklad účtu úložiště. Další informace o správě klíčů pomocí spravovaného HSM najdete v tématu Správa spravovaného HSM pomocí Azure CLI.

Důležité informace pro zákazníky poskytovatelů služeb

• V tenantovi zákazníka tenant 2 může správce nastavit zásady tak, aby uživatelům, kteří nejsou správci, blokovali instalaci aplikací. Tyto zásady můžou uživatelům, kteří nejsou správci, zabránit vytváření instančních objektů. Pokud je taková zásada nakonfigurovaná, musí být zapojeni uživatelé s oprávněními k vytváření instančních objektů.
• Přístup ke službě Azure Key Vault je možné autorizovat pomocí Azure RBAC nebo zásad přístupu. Při udělování přístupu k trezoru klíčů nezapomeňte pro trezor klíčů použít aktivní mechanismus.
• Registrace aplikace Microsoft Entra má ID aplikace (ID klienta). Když je aplikace nainstalovaná ve vašem tenantovi, vytvoří se instanční objekt. Instanční objekt sdílí stejné ID aplikace jako registrace aplikace, ale vygeneruje vlastní ID objektu. Když autorizujete aplikaci tak, aby měla přístup k prostředkům, budete možná muset použít instanční objekt Name nebo ObjectID vlastnost.

Fáze 3 – Poskytovatel služeb šifruje data v prostředku Azure pomocí klíče spravovaného zákazníkem.

Po dokončení fází 1 a 2 může poskytovatel služeb nakonfigurovat šifrování prostředku Azure pomocí klíče a trezoru klíčů v tenantovi zákazníka a prostředku Azure v tenantovi isV. Poskytovatel služeb může nakonfigurovat klíče spravované zákazníkem napříč tenanty pomocí klientských nástrojů podporovaných daným prostředkem Azure, pomocí šablony ARM nebo pomocí rozhraní REST API.

Konfigurace klíčů spravovaných zákazníkem napříč tenanty

Tato část popisuje, jak nakonfigurovat klíč spravovaný zákazníkem (CMK) napříč tenanty a šifrovat zákaznická data. Dozvíte se, jak šifrovat zákaznická data v prostředku v Tenantu1 pomocí KLÍČE uloženého v trezoru klíčů v Tenant2. Můžete použít Azure Portal, Azure PowerShell nebo Azure CLI.

Azure Portal

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Zprostředkovatel služeb konfiguruje identity.

Následující kroky provádí poskytovatel služeb v tenantovi tenanta poskytovatele služeb 1.

Poskytovatel služeb vytvoří novou registraci aplikace s více tenanty.

Můžete buď vytvořit novou registraci aplikace Microsoft Entra pro více tenantů, nebo začít s existující registrací aplikace s více tenanty. Pokud začínáte s existující registrací aplikace, poznamenejte si ID aplikace (ID klienta) aplikace.

Vytvoření nové registrace:

1. Do vyhledávacího pole vyhledejte ID Microsoft Entra. Vyhledejte a vyberte rozšíření Microsoft Entra ID .

2. V levém podokně vyberte Spravovat > Registrace aplikací.

3. Vyberte + Nová registrace.

4. Zadejte název registrace aplikace a vyberte Účet v libovolném organizačním adresáři (Libovolný adresář Microsoft Entra – Víceklient).

5. Vyberte Zaregistrovat.

6. Poznamenejte si ID aplikace nebo CLIENTID aplikace.

   

Poskytovatel služeb vytvoří spravovanou identitu přiřazenou uživatelem.

Vytvořte spravovanou identitu přiřazenou uživatelem, která se použije jako přihlašovací údaje federované identity.

1. Ve vyhledávacím poli vyhledejte spravované identity . Vyhledejte a vyberte rozšíření Spravované identity .

2. Vyberte + Vytvořit.

3. Zadejte skupinu prostředků, oblast a název spravované identity.

4. Vyberte Zkontrolovat a vytvořit.

5. Při úspěšném nasazení si poznamenejte Id prostředku Azure spravované identity přiřazené uživatelem, která je k dispozici v části Vlastnosti. Příklad:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Zprostředkovatel služeb nakonfiguruje spravovanou identitu přiřazenou uživatelem jako federované přihlašovací údaje v aplikaci.

Nakonfigurujte spravovanou identitu přiřazenou uživatelem jako přihlašovací údaje federované identity v aplikaci, aby se zosobněla identita aplikace.

1. Přejděte na Microsoft Entra ID > Registrace aplikací > vaší aplikaci.

2. Vyberte Certifikáty a tajné kódy.

3. Vyberte federované přihlašovací údaje.

   

4. Vyberte + Přidat přihlašovací údaje.

5. V části Scénář federovaných přihlašovacích údajů vyberte Klíče spravované zákazníkem.

6. Klikněte na Vybrat spravovanou identitu. V podokně vyberte předplatné. V části Spravovaná identita vyberte spravovanou identitu přiřazenou uživatelem. V poli Vybrat vyhledejte spravovanou identitu, kterou jste vytvořili dříve, a potom klikněte na vybrat v dolní části podokna.

   

7. V části Podrobnosti přihlašovacích údajů zadejte název a volitelný popis přihlašovacích údajů a vyberte Přidat.

   

PowerShell

Pokud chcete ke konfiguraci tenanta isV použít Azure PowerShell, nainstalujte nejnovější modul Az . Další informace o instalaci PowerShellu najdete v tématu Instalace Azure PowerShellu ve Windows pomocí modulu PowerShellGet.

• Pokud se rozhodnete používat Azure PowerShell místně:
  • Nainstalujte nejnovější verzi modulu Az PowerShell.
  • Připojení k účtu Azure pomocí rutiny Připojení-AzAccount.
• Pokud se rozhodnete použít Azure Cloud Shell:
  • Další informace najdete v přehledu služby Azure Cloud Shell .

Zprostředkovatel služeb konfiguruje identity.

Následující kroky provádí poskytovatel služeb (ISV) v tenantovi poskytovatele služeb Tenant1.

Poskytovatel služeb se přihlásí k Azure.

V Azure PowerShellu se přihlaste k tenantovi isV a nastavte aktivní předplatné na předplatné nezávislých výrobců softwaru.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Poskytovatel služeb vytvoří novou registraci aplikace s více tenanty.

Vyberte název aplikace zaregistrované pro více tenantů v Tenant1 a vytvořte aplikaci s více tenanty na webu Azure Portal.

Název, který zadáte pro aplikaci s více tenanty, používá zákazník k identifikaci aplikace v Tenant2. Poznamenejte si ID objektu a ID aplikace. Tyto hodnoty budete potřebovat v dalších krocích.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Poskytovatel služeb vytvoří spravovanou identitu přiřazenou uživatelem.

Přihlaste se k tenantovi isV a pak vytvořte spravovanou identitu přiřazenou uživatelem, která se použije jako přihlašovací údaje federované identity. Pokud chcete vytvořit novou spravovanou identitu přiřazenou uživatelem, musíte mít přiřazenou roli, která zahrnuje akci Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Zprostředkovatel služeb nakonfiguruje spravovanou identitu přiřazenou uživatelem jako federované přihlašovací údaje v aplikaci.

Nakonfigurujte spravovanou identitu přiřazenou uživatelem jako přihlašovací údaje federované identity v aplikaci, aby se zosobněla identita aplikace.

Pokud chcete nakonfigurovat přihlašovací údaje federované identity z PowerShellu, nejprve nainstalujte verzi 6.3.0 nebo novější modulu Az.Resources .

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Zprostředkovatel služeb konfiguruje identity.

Následující kroky provádí poskytovatel služeb v tenantovi tenanta poskytovatele služeb 1.

Poskytovatel služeb se přihlásí k Azure.

Přihlaste se k Azure a použijte Azure CLI.

az login

Poskytovatel služeb vytvoří novou registraci aplikace s více tenanty.

Vyberte název aplikace s více tenanty v tenantovi1 a vytvořte aplikaci s více tenanty na webu Azure Portal.

Název, který zadáte pro aplikaci s více tenanty, používá zákazník k identifikaci aplikace v Tenant2. Zkopírujte ID aplikace (nebo ID klienta), ID objektu aplikace a také ID tenanta aplikace. Tyto hodnoty budete potřebovat v následujících krocích.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Poskytovatel služeb vytvoří spravovanou identitu přiřazenou uživatelem.

Přihlaste se k tenantovi isV a pak vytvořte spravovanou identitu přiřazenou uživatelem, která se použije jako přihlašovací údaje federované identity. Pokud chcete vytvořit novou spravovanou identitu přiřazenou uživatelem, musíte mít přiřazenou roli, která zahrnuje akci Microsoft.ManagedIdentity/userAssignedIdentities/write .

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Zprostředkovatel služeb nakonfiguruje spravovanou identitu přiřazenou uživatelem jako federované přihlašovací údaje v aplikaci.

Spuštěním metody az ad app federated-credential create nakonfigurujte přihlašovací údaje federované identity v aplikaci a vytvořte vztah důvěryhodnosti s externím zprostředkovatelem identity.

Použijte api://AzureADTokenExchange jako audience hodnotu v přihlašovacích údajích federované identity. Další podrobnosti najdete v referenčních informacích k rozhraní API.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Poskytovatel služeb sdílí ID aplikace se zákazníkem.

Vyhledejte ID aplikace (ID klienta) víceklientská aplikace a sdílejte ho se zákazníkem.

Zákazník udělí aplikaci poskytovatele služeb přístup k klíči v trezoru klíčů.

Následující kroky provádí zákazník v tenantovi zákazníka 2. Zákazník může použít Azure Portal, Azure PowerShell nebo Azure CLI.

Uživatel, který provádí kroky, musí být správcem s privilegovanou rolí, jako je application Správa istrator, cloudová aplikace Správa istrator nebo globální Správa istrator.

Azure Portal

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Zákazník nainstaluje aplikaci poskytovatele služeb do tenanta zákazníka.

Pokud chcete nainstalovat zaregistrovanou aplikaci poskytovatele služeb v tenantovi zákazníka, vytvoříte instanční objekt s ID aplikace z registrované aplikace. Instanční objekt můžete vytvořit některým z následujících způsobů:

• K ručnímu vytvoření instančního objektu použijte Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell nebo Azure CLI .
• Vytvořte adresu URL souhlasu správce a udělte souhlas tenanta pro vytvoření instančního objektu. Budete je muset zadat s ID vaší aplikace.

Zákazník vytvoří trezor klíčů.

Pokud chcete vytvořit trezor klíčů, musí mít účet uživatele přiřazenou roli Přispěvatel služby Key Vault nebo jinou roli, která umožňuje vytvoření trezoru klíčů.

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte + Vytvořit prostředek. Do vyhledávacího pole zadejte trezory klíčů. V seznamu výsledků vyberte trezory klíčů. Na stránce Trezory klíčů vyberte Vytvořit.

2. Na kartě Základy zvolte předplatné. V části Skupina prostředků vyberte Vytvořit nový a zadejte název skupiny prostředků.

3. Zadejte jedinečný název trezoru klíčů.

4. Vyberte oblast a cenovou úroveň.

5. Povolte ochranu před vymazáním pro nový trezor klíčů.

6. Na kartě Zásady přístupu vyberte řízení přístupu na základě role Azure pro model oprávnění.

7. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

   

Poznamenejte si název trezoru klíčů a aplikace URI, které přistupuje k trezoru klíčů, musí používat tento identifikátor URI.

Další informace najdete v tématu Rychlý start – Vytvoření služby Azure Key Vault pomocí webu Azure Portal.

Zákazník přiřadí roli kryptografického důstojníka služby Key Vault k uživatelskému účtu.

Tento krok zajistí, že můžete vytvořit šifrovací klíče.

1. Přejděte do trezoru klíčů a v levém podokně vyberte Řízení přístupu (IAM ).
2. V části Udělit přístup k tomuto zdroji vyberte Přidat přiřazení role.
3. Vyhledejte a vyberte kryptografický důstojník služby Key Vault.
4. V části Členové vyberte Uživatele, skupinu nebo instanční objekt.
5. Vyberte Členy a vyhledejte svůj uživatelský účet.
6. Vyberte Zkontrolovat + přiřadit.

Zákazník vytvoří šifrovací klíč.

Pokud chcete vytvořit šifrovací klíč, musí mít účet uživatele přiřazenou roli kryptografického důstojníka služby Key Vault nebo jinou roli, která umožňuje vytvoření klíče.

1. Na stránce vlastností služby Key Vault vyberte Klíče.
2. Vyberte Generovat/importovat.
3. Na obrazovce Vytvořit klíč zadejte název klíče. U ostatních hodnot ponechte jejich výchozí nastavení.
4. Vyberte Vytvořit.
5. Zkopírujte identifikátor URI klíče.

Zákazník udělí aplikaci poskytovatele služeb přístup k trezoru klíčů.

Přiřaďte uživateli šifrování kryptografických služeb služby Key Vault role Azure RBAC zaregistrované aplikaci poskytovatele služeb, aby mohl přistupovat k trezoru klíčů.

1. Přejděte do trezoru klíčů a v levém podokně vyberte Řízení přístupu (IAM ).
2. V části Udělit přístup k tomuto zdroji vyberte Přidat přiřazení role.
3. Vyhledejte a vyberte uživatele šifrování šifrovací služby Key Vault.
4. V části Členové vyberte Uživatele, skupinu nebo instanční objekt.
5. Vyberte Členy a vyhledejte název aplikace, kterou jste nainstalovali od poskytovatele služeb.
6. Vyberte Zkontrolovat + přiřadit.

Teď můžete nakonfigurovat klíče spravované zákazníkem pomocí identifikátoru URI a klíče trezoru klíčů.

PowerShell

Pokud chcete ke konfiguraci tenanta klienta použít Azure PowerShell, nainstalujte nejnovější modul Az . Další informace o instalaci PowerShellu najdete v tématu Instalace Azure PowerShellu ve Windows pomocí modulu PowerShellGet.

• Pokud se rozhodnete používat Azure PowerShell místně:
  • Nainstalujte nejnovější verzi modulu Az PowerShell.
  • Připojení k účtu Azure pomocí rutiny Připojení-AzAccount.
• Pokud se rozhodnete použít Azure Cloud Shell:
  • Další informace najdete v přehledu služby Azure Cloud Shell .

Zákazník se přihlásí k Azure.

V Azure PowerShellu se přihlaste k tenantovi zákazníka a nastavte aktivní předplatné na předplatné zákazníka.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Zákazník nainstaluje aplikaci poskytovatele služeb do tenanta zákazníka.

Jakmile obdržíte ID aplikace poskytovatele služeb s více tenanty, nainstalujte aplikaci do tenanta Tenant2 vytvořením instančního objektu.

V tenantovi, ve kterém plánujete vytvořit trezor klíčů, spusťte následující příkazy.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Zákazník vytvoří trezor klíčů.

Pokud chcete vytvořit trezor klíčů, musí mít účet zákazníka přiřazenou roli Přispěvatel služby Key Vault nebo jinou roli, která umožňuje vytvoření trezoru klíčů.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Zákazník přiřadí roli kryptografického důstojníka služby Key Vault k uživatelskému účtu.

Přiřaďte roli kryptografického důstojníka služby Key Vault k uživatelskému účtu. Tento krok zajistí, že uživatel může vytvořit trezor klíčů a šifrovací klíče. Následující příklad přiřadí roli aktuálnímu přihlášeného uživateli.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Zákazník vytvoří šifrovací klíč.

Pokud chcete vytvořit šifrovací klíč, musí mít účet uživatele přiřazenou roli kryptografického důstojníka služby Key Vault nebo jinou roli, která umožňuje vytvoření klíče.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Zákazník udělí aplikaci poskytovatele služeb přístup k trezoru klíčů.

Pomocí instančního objektu, který jste vytvořili dříve, přiřaďte uživateli šifrování kryptografických služeb služby Key Vault role Key Vault Služby Key Vault prostřednictvím dříve vytvořeného instančního objektu, aby mohl přistupovat k trezoru klíčů.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Teď můžete nakonfigurovat klíče spravované zákazníkem pomocí identifikátoru URI a klíče trezoru klíčů.

Azure CLI

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Zákazník se přihlásí k Azure.

Přihlaste se k Azure a použijte Azure CLI.

az login

Zákazník nainstaluje aplikaci poskytovatele služeb do tenanta zákazníka.

Jakmile obdržíte ID aplikace poskytovatele služeb s více tenanty, nainstalujte aplikaci do tenanta 2 pomocí následujícího příkazu. Instalace aplikace vytvoří instanční objekt ve vašem tenantovi.

V tenantovi, ve kterém plánujete vytvořit trezor klíčů, spusťte následující příkazy.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Zákazník vytvoří trezor klíčů.

Pokud chcete vytvořit trezor klíčů, musí mít účet zákazníka přiřazenou roli Přispěvatel služby Key Vault nebo jinou roli, která umožňuje vytvoření trezoru klíčů.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Zákazník přiřadí roli kryptografického důstojníka služby Key Vault k uživatelskému účtu.

Tento krok zajistí, že můžete vytvořit trezor klíčů a šifrovací klíče.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Zákazník vytvoří šifrovací klíč.

Pokud chcete vytvořit šifrovací klíč, musí mít účet uživatele přiřazenou roli kryptografického důstojníka služby Key Vault nebo jinou roli, která umožňuje vytvoření klíče.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Zákazník udělí aplikaci poskytovatele služeb přístup k trezoru klíčů.

Pomocí instančního objektu, který jste vytvořili dříve, přiřaďte uživateli šifrování kryptografických služeb služby Key Vault role Key Vault Služby Key Vault prostřednictvím dříve vytvořeného instančního objektu, aby k trezoru klíčů mohl přistupovat zaregistrovaná aplikace.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Teď můžete nakonfigurovat klíče spravované zákazníkem pomocí identifikátoru URI a klíče trezoru klíčů.

Vytvoření sady šifrování disku

Teď, když jste vytvořili službu Azure Key Vault a provedli požadované konfigurace Microsoft Entra, nasaďte sadu šifrování disku nakonfigurovanou tak, aby fungovala napříč tenanty, a přidružte ji ke klíči v trezoru klíčů. Můžete to provést pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI. Můžete také použít šablonu ARM nebo rozhraní REST API.

Azure Portal

Pokud chcete použít Azure Portal, přihlaste se k portálu a postupujte podle těchto kroků.

1. Vyberte + Vytvořit prostředek, vyhledejte sadu šifrování disků a vyberte Vytvořit > sadu šifrování disku.

2. V části Podrobnosti projektu vyberte předplatné a skupinu prostředků, ve které chcete vytvořit sadu šifrování disku.

3. V části Podrobnosti instance zadejte název sady šifrování disku.

   

4. Vyberte oblast, ve které chcete vytvořit sadu šifrování disku.

5. Jako typ šifrování vyberte Šifrování neaktivních uložených uložených dat pomocí klíče spravovaného zákazníkem.

6. V části Šifrovací klíč vyberte klíč Enter z přepínače identifikátoru URI a pak zadejte identifikátor URI klíče vytvořeného v tenantovi zákazníka.

7. V části Identita přiřazená uživatelem vyberte Vybrat identitu.

8. Vyberte spravovanou identitu přiřazenou uživatelem, kterou jste vytvořili dříve v tenantovi nezávislých výrobců softwaru, a pak vyberte Přidat.

9. V části Víceklienta aplikace vyberte Vybrat aplikaci.

10. Vyberte víceklientskou zaregistrovanou aplikaci, kterou jste vytvořili dříve v tenantovi nezávislých výrobců softwaru, a klikněte na vybrat.

11. Vyberte Zkontrolovat a vytvořit.

PowerShell

Pokud chcete použít Azure PowerShell, nainstalujte nejnovější modul Az nebo modul Az.Storage. Další informace o instalaci PowerShellu najdete v tématu Instalace Azure PowerShellu ve Windows pomocí modulu PowerShellGet.

• Pokud se rozhodnete používat Azure PowerShell místně:
  • Nainstalujte nejnovější verzi modulu Az PowerShell.
  • Připojení k účtu Azure pomocí rutiny Připojení-AzAccount.
• Pokud se rozhodnete použít Azure Cloud Shell:
  • Další informace najdete v přehledu služby Azure Cloud Shell .

V následujícím -FederatedClientId skriptu by mělo být ID aplikace (ID klienta) víceklientská aplikace. Budete také muset zadat ID předplatného, název skupiny prostředků a název identity.

$userAssignedIdentities = @{"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/identityName" = @{}};

$config = New-AzDiskEncryptionSetConfig `
   -Location 'westcentralus' `
   -KeyUrl "https://vault1.vault.azure.net:443/keys/key1/mykey" `
   -IdentityType 'UserAssigned' `
   -RotationToLatestKeyVersionEnabled $True `
   -UserAssignedIdentity $userAssignedIdentities `
   -FederatedClientId "00000000-0000-0000-0000-000000000000" `
   $config `
   | New-AzDiskEncryptionSet -ResourceGroupName 'rg1' -Name 'enc1'

Azure CLI

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

V následujícím příkazu by mělo být ID prostředku spravované identity přiřazené uživatelem, myAssignedId kterou jste vytvořili dříve, a myFederatedClientId mělo by to být ID aplikace (ID klienta) víceklientské aplikace.

az disk-encryption-set create --resource-group MyResourceGroup --name MyDiskEncryptionSet --key-url MyKey --mi-user-assigned myAssignedId --federated-client-id myFederatedClientId --location westcentralus

Použití šablony ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "desname": {
      "defaultValue": "<Enter ISV disk encryption set name>",
      "type": "String"
    },
    "region": {
      "defaultValue": "WestCentralUS",
      "type": "String"
    },
    "userassignedmicmk": {
      "defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
      "type": "String"
    },
    "cmkfederatedclientId": {
      "defaultValue": "<Enter ISV Multi-Tenant App Id>",
      "type": "String"
    },
    "keyVaultURL": {
      "defaultValue": "<Enter Client Key URL>",
      "type": "String"
    },
    "encryptionType": {
      "defaultValue": "EncryptionAtRestWithCustomerKey",
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Compute/diskEncryptionSets",
      "apiVersion": "2021-12-01",
      "name": "[parameters('desname')]",
      "location": "[parameters('region')]",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('userassignedmicmk')]": {}
        }
      },
      "properties": {
        "activeKey": {
          "keyUrl": "[parameters('keyVaultURL')]"
        },
        "federatedClientId": "[parameters('cmkfederatedclientId')]",
        "encryptionType": "[parameters('encryptionType')]"
      }
    }
  ]
}

Použití rozhraní REST API

Použijte nosný token jako autorizační hlavičku a application/JSON jako typ obsahu v TEXTU. (Karta Síť, filtrování na management.azure při provádění jakýchkoli požadavků ARM na portálu.)

PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
Authorization: Bearer ...
Content-Type: application/json

{
  "name": "<Enter ISV disk encryption set name>",
  "id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
  "type": "Microsoft.Compute/diskEncryptionSets",
  "location": "westcentralus",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
"/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
": {}
    }
  },
  "properties": {
    "activeKey": {
      "keyUrl": "<Enter Client Key URL>"
    },
    "encryptionType": "EncryptionAtRestWithCustomerKey",
    "federatedClientId": "<Enter ISV Multi-Tenant App Id>"
  }
}

Další kroky

Viz také:

• Šifrování disků pomocí klíčů spravovaných zákazníkem v Azure DevTest Labs
• Použití webu Azure Portal k povolení šifrování na straně serveru s využitím klíčů spravovaných zákazníkem pro spravované disky