Konfigurieren von vom Kunden verwalteten Schlüsseln für Azure Load Testing mit Azure Key Vault

Azure Load Testing verschlüsselt automatisch alle Daten, die in Ihrer Lasttestressource gespeichert sind, mit Schlüsseln, die Von Microsoft bereitgestellt werden (vom Dienst verwaltete Schlüssel). Optional können Sie eine zweite Sicherheitsebene hinzufügen, indem Sie auch ihre eigenen (kundenseitig verwalteten) Schlüssel bereitstellen. Kundenseitig verwaltete Schlüssel bieten mehr Flexibilität für die Steuerung des Zugriffs und die Verwendung von Schlüsselrotationsrichtlinien.

Die von Ihnen bereitgestellten Schlüssel werden mithilfe von Azure Key Vault sicher gespeichert. Sie können einen separaten Schlüssel für jede Azure-Auslastungstestressource erstellen, die Sie mit vom Kunden verwalteten Schlüsseln aktivieren.

Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden, müssen Sie eine vom Benutzer zugewiesene verwaltete Identität angeben, um die Schlüssel aus Azure Key Vault abzurufen.

Azure Load Testing verwendet den kundenseitig verwalteten Schlüssel, um die folgenden Daten in der Lastentestressource zu verschlüsseln:

• Testskript- und Konfigurationsdateien
• Geheimnisse
• Umgebungsvariablen

Hinweis

Azure Load Testing verschlüsselt keine Metrikdaten für eine Testausführung mit Ihrem vom Kunden verwalteten Schlüssel, einschließlich der JMeter-Metrik-Samplernamen, die Sie im JMeter-Skript angeben. Microsoft hat Zugriff auf diese Metrikdaten.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

• Eine vorhandene benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen zum Erstellen einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identitäten verwalten.

Begrenzungen

• Vom Kunden verwaltete Schlüssel sind nur für neue Azure-Auslastungstests verfügbar. Sie sollten den Schlüssel während der Ressourcenerstellung konfigurieren.

• Sobald die vom Kunden verwaltete Schlüsselverschlüsselung für eine Ressource aktiviert ist, kann sie nicht deaktiviert werden.

• Azure Load Testing kann den vom Kunden verwalteten Schlüssel nicht automatisch drehen, um die neueste Version des Verschlüsselungsschlüssels zu verwenden. Sie sollten den Schlüssel-URI in der Ressource aktualisieren, nachdem der Schlüssel in Azure Key Vault rotiert wurde.

Konfigurieren Ihres Azure Key Vault

Um vom Kunden verwaltete Verschlüsselungsschlüssel mit Azure Load Testing zu verwenden, müssen Sie den Schlüssel im Azure Key Vault speichern. Sie können einen vorhandenen Schlüsseltresor verwenden oder einen neuen erstellen. Die Ressourcen und der Schlüsseltresor für Auslastungstests können sich in verschiedenen Regionen oder Abonnements im selben Mandanten befinden.

Stellen Sie sicher, dass Sie die folgenden Schlüsseltresoreinstellungen konfigurieren, wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden.

Konfigurieren von Netzwerkeinstellungen für Schlüsseltresore

Wenn Sie den Zugriff auf Ihren Azure Key Vault durch eine Firewall oder ein virtuelles Netzwerk eingeschränkt haben, müssen Sie Zugriff auf Azure Load Testing gewähren, um Ihre vom Kunden verwalteten Schlüssel abzurufen. Führen Sie die folgenden Schritte aus, um Zugriff auf vertrauenswürdige Azure-Dienste zu gewähren.

Konfigurieren des Schutz vor vorläufigem Löschen und Löschen

Sie müssen die Eigenschaften "Soft Delete " und "Purge Protection " in Ihrem Schlüsseltresor festlegen, um vom Kunden verwaltete Schlüssel mit Azure Load Testing zu verwenden. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen und nicht deaktiviert werden können. Sie können den Bereinigungsschutz jederzeit aktivieren. Erfahren Sie mehr über den Schutz vor vorläufigem Löschen und Löschen in Azure Key Vault.

Azure portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das vorläufige Löschen aktiviert und auf einem Schlüsseltresor aktiviert ist. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen.

Sie können den Löschschutz aktivieren, wenn Sie einen neuen Schlüsseltresor erstellen, indem Sie die Löschschutzeinstellungen aktivieren.

Führen Sie die folgenden Schritte aus, um den Löschschutz für einen vorhandenen Schlüsseltresor zu aktivieren:

1. Navigieren Sie im Azure-Portal zu Ihrem Schlüsseltresor.
2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
3. Wählen Sie im Abschnitt Löschschutz die Option Löschschutz aktivieren aus.

PowerShell

Um einen neuen Schlüsseltresor mit PowerShell zu erstellen, installieren Sie Version 2.0.0 oder höher des PowerShell-Moduls Az.KeyVault. Rufen Sie dann New-AzKeyVault auf, um einen neuen Schlüsseltresor zu erstellen. Ab Version 2.0.0 des Az.KeyVault-Moduls ist das vorläufige Löschen standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen.

Im folgenden Beispiel wird ein neuer Schlüsseltresor erstellt, der sowohl vor vorläufigen als auch vor endgültigen Löschvorgängen geschützt ist. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

So aktivieren Sie den Löschschutz für einen vorhandenen Schlüsseltresor mit PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure-Befehlszeilenschnittstelle

Rufen Sie az keyvault create auf, um einen neuen Schlüsseltresor mit der Azure CLI zu erstellen. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen.

Im folgenden Beispiel wird ein neuer Schlüsseltresor erstellt, der sowohl vor vorläufigen als auch vor endgültigen Löschvorgängen geschützt ist. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

So aktivieren Sie den Löschschutz für einen vorhandenen Schlüsseltresor mit Azure CLI:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Hinzufügen eines vom Kunden verwalteten Schlüssels zu Azure Key Vault

Als Nächstes fügen Sie im Schlüsseltresor einen Schlüssel hinzu. Azure Load Testing-Verschlüsselung unterstützt RSA-Schlüssel. Weitere Informationen zu unterstützten Schlüsseltypen in Azure Key Vault finden Sie unter "Informationen zu Schlüsseln".

Azure portal

Informationen zum Erstellen eines Schlüsseltresors über das Azure-Portal finden Sie unter Festlegen eines Geheimnisses und Abrufen des Geheimnisses aus Azure Key Vault mithilfe des Azure-Portals.

PowerShell

Um einen Schlüssel mit PowerShell hinzuzufügen, rufen Sie Add-AzKeyVaultKey auf. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure-Befehlszeilenschnittstelle

Um einen Schlüssel mit der Azure CLI hinzuzufügen, rufen Sie az keyvault key create auf. Denken Sie daran, die Platzhalterwerte in den spitzen Klammern durch Ihre eigenen Werte zu ersetzen.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Hinzufügen einer Zugriffsrichtlinie zum Schlüsseltresor

Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden, müssen Sie eine vom Benutzer zugewiesene verwaltete Identität angeben. Die vom Benutzer zugewiesene verwaltete Identität für den Zugriff auf die vom Kunden verwalteten Schlüssel in Azure Key Vault muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen.

1. Wechseln Sie im Azure-Portal zur Azure Key Vault-Instanz, die Sie zum Hosten Ihrer Verschlüsselungsschlüssel verwenden möchten.

2. Wählen Sie "Zugriffsrichtlinien " im linken Menü aus.

   

3. Wählen Sie + Zugriffsrichtlinie hinzufügen aus.

4. Wählen Sie im Dropdownmenü "Schlüsselberechtigungen" die Berechtigungen "Get", "Unwrap Key" und "Wrap Key" aus.

   

5. Wählen Sie im Prinzipal "Auswählen" die Option "Keine" aus.

6. Suchen Sie nach der zuvor erstellten vom Benutzer zugewiesenen verwalteten Identität, und wählen Sie sie aus der Liste aus.

7. Wählen Sie im unteren Bereich Auswählen aus.

8. Wählen Sie Hinzufügen aus, um die neue Zugriffsrichtlinie hinzuzufügen.

9. Wählen Sie "Auf der Key Vault-Instanz speichern" aus, um alle Änderungen zu speichern.

Verwenden von vom Kunden verwalteten Schlüsseln mit Azure Load Testing

Sie können beim Erstellen einer neuen Azure-Lasttestressource nur vom Kunden verwaltete Verschlüsselungsschlüssel konfigurieren. Wenn Sie die Details des Verschlüsselungsschlüssels angeben, müssen Sie auch eine vom Benutzer zugewiesene verwaltete Identität auswählen, um den Schlüssel aus Azure Key Vault abzurufen.

Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel für eine neue Auslastungstestressource zu konfigurieren:

Azure portal

1. Führen Sie die folgenden Schritte aus, um eine Azure-Lasttestressource im Azure-Portal zu erstellen und die Felder auf der Registerkarte "Grundlagen" auszufüllen.

2. Wechseln Sie zur Registerkarte "Verschlüsselung", und wählen Sie dann für das Feld "Verschlüsselungstyp" die Option "Vom Kunden verwaltete Schlüssel( CMK)" aus.

3. Fügen Sie in das Feld Schlüssel-URI den URI/Schlüsselbezeichner einschließlich der Schlüsselversion des Azure Key Vault-Schlüssels ein.

4. Wählen Sie für das Feld Benutzerseitig zugewiesene Identität eine vorhandene benutzerseitig zugewiesene verwaltete Identität aus.

5. Wählen Sie Überprüfen und erstellen aus, um die neue Ressource zu überprüfen und zu erstellen.

PowerShell

Sie können eine ARM-Vorlage mit PowerShell bereitstellen, um die Erstellung Ihrer Azure-Ressourcen zu automatisieren. Sie können eine beliebige Ressource vom Typ Microsoft.LoadTestService/loadtests mit einem kundenseitig verwalteten Schlüssel erstellen, der für Verschlüsselung aktiviert ist, indem Sie die folgenden Eigenschaften hinzufügen:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Das folgende Codebeispiel zeigt eine ARM-Vorlage zum Erstellen einer Auslastungstestressource mit aktivierten vom Kunden verwalteten Schlüsseln:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Stellen Sie die obige Vorlage mithilfe von New-AzResourceGroupDeployment in einer Ressourcengruppe bereit:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure-Befehlszeilenschnittstelle

Sie können eine ARM-Vorlage mithilfe der Azure CLI bereitstellen, um die Erstellung Ihrer Azure-Ressourcen zu automatisieren. Sie können eine beliebige Ressource vom Typ Microsoft.LoadTestService/loadtests mit einem kundenseitig verwalteten Schlüssel erstellen, der für Verschlüsselung aktiviert ist, indem Sie die folgenden Eigenschaften hinzufügen:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Das folgende Codebeispiel zeigt eine ARM-Vorlage zum Erstellen einer Auslastungstestressource mit aktivierten vom Kunden verwalteten Schlüsseln:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Stellen Sie die obige Vorlage in einer Ressourcengruppe mithilfe der Az-Bereitstellungsgruppe erstellen bereit:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Ändern der verwalteten Identität zum Abrufen des Verschlüsselungsschlüssels

Sie können die verwaltete Identität für vom Kunden verwaltete Schlüssel für eine vorhandene Auslastungstestressource jederzeit ändern.

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.

2. Wählen Sie auf der Seite Einstellungen die Option Verschlüsselung aus.

   Der Verschlüsselungstyp zeigt den Verschlüsselungstyp an, der zum Erstellen der Lasttestressource verwendet wurde.

3. Wenn der Verschlüsselungstyp Kundenseitig verwaltete Schlüssel ist, wählen Sie den Identitätstyp aus, der zum Authentifizieren des Schlüsseltresors verwendet werden soll. Zu den Optionen gehören System zugewiesen (Standard) oder Benutzer zugewiesen.

   Weitere Informationen zu den einzelnen Typen von verwalteten Identitäten finden Sie unter Verwaltete Identitätstypen.

   • Wenn Sie "System zugewiesen" auswählen , muss die vom System zugewiesene verwaltete Identität für die Ressource aktiviert und dem AKV Zugriff gewährt werden, bevor die Identität für vom Kunden verwaltete Schlüssel geändert wird.
   • Wenn Sie Benutzerseitig zugewiesen auswählen, müssen Sie eine vorhandene benutzerseitig zugewiesene Identität auswählen, die über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt. Informationen zum Erstellen einer benutzerseitig zugewiesenen Identität finden Sie unter Verwenden von verwalteten Identitäten für Azure Load Testing Vorschau.

4. Speichern Sie die Änderungen.

Wichtig

Stellen Sie sicher, dass die ausgewählte verwaltete Identität Zugriff auf den Azure Key Vault hat.

Aktualisieren des vom Kunden verwalteten Verschlüsselungsschlüssels

Sie können den Schlüssel, den Sie für die Verschlüsselung von Azure Load Testing verwenden, jederzeit ändern. Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.

2. Wählen Sie auf der Seite Einstellungen die Option Verschlüsselung aus. Der Verschlüsselungstyp zeigt die Verschlüsselung an, die für die Ressource beim Erstellen ausgewählt wurde.

3. Wenn der ausgewählte Verschlüsselungstyp vom Kunden verwaltete Schlüssel ist, können Sie das Schlüssel-URI-Feld mit dem neuen Schlüssel-URI bearbeiten.

4. Speichern Sie die Änderungen.

Rotieren von Verschlüsselungsschlüsseln

Sie können einen vom Kunden verwalteten Schlüssel in Azure Key Vault entsprechend Ihren Konformitätsrichtlinien rotieren. So drehen Sie eine Taste:

1. Aktualisieren Sie in Azure Key Vault die Schlüsselversion, oder erstellen Sie einen neuen Schlüssel.
2. Aktualisieren Sie den vom Kunden verwalteten Verschlüsselungsschlüssel für Ihre Auslastungstestressource.

Häufig gestellte Fragen

Gibt es zusätzliche Gebühren, um vom Kunden verwaltete Schlüssel zu aktivieren?

Nein, es fallen keine Kosten für die Aktivierung dieses Features an.

Werden vom Kunden verwaltete Schlüssel für vorhandene Azure-Auslastungstestressourcen unterstützt?

Dieses Feature ist derzeit nur für neue Azure-Auslastungstestressourcen verfügbar.

Wie kann ich feststellen, ob kundenverwaltete Schlüssel in meiner Azure-Auslastungstestressource aktiviert sind?

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.
2. Navigieren Sie zum Verschlüsselungselement in der linken Navigationsleiste.
3. Sie können den Verschlüsselungstyp für Ihre Ressource überprüfen.

Wie sperre/widerrufe ich einen Verschlüsselungsschlüssel?

Sie können einen Schlüssel widerrufen, indem Sie die neueste Version des Schlüssels in Azure Key Vault deaktivieren. Alternativ können Sie zum Widerrufen aller Schlüssel aus einer Schlüsseltresorinstanz die Zugriffsrichtlinie löschen, die der verwalteten Identität der Lasttestressource gewährt wurde.

Wenn Sie den Verschlüsselungsschlüssel widerrufen, können Sie möglicherweise etwa 10 Minuten lang Tests ausführen, nachdem der einzige verfügbare Vorgang Ressourcenlöschung ist. Es wird empfohlen, den Schlüssel zu drehen, anstatt ihn zu widerrufen, um die Ressourcensicherheit zu verwalten und Ihre Daten aufzubewahren.

Zugehöriger Inhalt

• Weitere Informationen zum Überwachen von serverseitigen Anwendungsmetriken.
• Erfahren Sie, wie Sie einen Ladetest mit geheimen Schlüsseln und Umgebungsvariablen parametrisieren.