Ügyfél által felügyelt kulcsok az Azure Fluid Relay titkosításához
Az Azure Fluid Relay-erőforrásban lévő adatok védelméhez használhatja a saját titkosítási kulcsát. Ha ügyfél által felügyelt kulcsot (CMK) ad meg, a rendszer az adatokat titkosító kulcshoz való hozzáférés védelmére és szabályozására szolgál. A CMK nagyobb rugalmasságot biztosít a hozzáférés-vezérlés kezeléséhez.
A CMK tárolásához az alábbi Azure-kulcstárolók egyikét kell használnia:
A CMK engedélyezéséhez létre kell hoznia egy új Azure Fluid Relay-erőforrást. Meglévő Fluid Relay-erőforrás CMK-engedélyezését/letiltását nem módosíthatja.
A Fluid Relay CMK-jának alapja a felügyelt identitás, és a CMK engedélyezésekor egy felügyelt identitást kell hozzárendelnie a Fluid Relay-erőforráshoz. Csak a felhasználó által hozzárendelt identitás engedélyezett a Fluid Relay erőforrás-CMK-hoz. A felügyelt identitásokkal kapcsolatos további információkért lásd itt.
A Fluid Relay-erőforrás CMK-val való konfigurálása még nem végezhető el az Azure Portalon.
Amikor a Fluid Relay erőforrást CMK-val konfigurálja, az Azure Fluid Relay szolgáltatás a megfelelő CMK-titkosított beállításokat konfigurálja azon Az Azure Storage-fiók hatókörén, ahol a Fluid-munkamenet összetevőit tárolja. Az Azure Storage-beli CMK-ról itt talál további információt.
Ha ellenőrizni szeretné, hogy a Fluid Relay-erőforrás a CMK-t használja-e, ellenőrizheti az erőforrás tulajdonságát a GET elküldésével, és ellenőrizheti, hogy a rendelkezik-e a encryption.customerManagedKeyEncryption érvényes, nem üres tulajdonságával.
Előfeltételek:
Mielőtt konfigurálja a CMK-t az Azure Fluid Relay-erőforráson, a következő előfeltételeknek kell teljesülniük:
- A kulcsokat egy Azure Key Vaultban kell tárolni.
- A kulcsnak RSA-kulcsnak kell lennie, és nem EC-kulcsnak, mivel az EC-kulcs nem támogatja a WRAP és a UNWRAP használatát.
- A felhasználó által hozzárendelt felügyelt identitást a kulcstartóhoz szükséges engedélyekkel (GET, WRAP és UNWRAP) kell létrehozni az 1. lépésben. További információt itt talál. Adja meg a GET, a WRAP és a UNWRAP lehetőséget az AKV kulcsengedélyei alatt.
- Az Azure Key Vaultnak, a felhasználó által hozzárendelt identitásnak és a Fluid Relay-erőforrásnak ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lennie.
Fluid Relay-erőforrás létrehozása a CMK-val
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
Hasznos adatformátum kérése:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
Példa userAssignedIdentities and userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
Példa keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
Notes:
- Az Identity.type típusnak UserAssigned típusúnak kell lennie. A Fluid Relay erőforráshoz rendelt felügyelt identitás identitástípusa.
- A Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType paraméternek UserAssigned típusúnak kell lennie. A CMK-hoz használandó felügyelt identitás identitástípusa.
- Bár az Identity.userAssignedIdentities alkalmazásban több is megadható, a rendszer csak egy, a Fluid Relay erőforráshoz hozzárendelt felhasználói identitást használ a cmK-nak a kulcstartó titkosításhoz való eléréséhez.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId annak a felhasználóhoz rendelt identitás erőforrás-azonosítója, amelyet a CMK-hoz kell használni. Figyelje meg, hogy az Identity.userAssignedIdentities egyik identitásának kell lennie (az identitást hozzá kell rendelnie a Fluid Relay-erőforráshoz, mielőtt használhatja a CMK-hoz). Emellett rendelkeznie kell a kulcsra vonatkozó szükséges engedélyekkel (amelyet a keyEncryptionKeyUrl biztosít).
- A Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl a CMK-hoz használt kulcsazonosító.
Meglévő Fluid Relay-erőforrás CMK-beállításainak frissítése
A meglévő Fluid Relay-erőforráson a következő CMK-beállítások frissíthetők:
- Módosítsa a kulcstitkosítási kulcs eléréséhez használt identitást.
- Módosítsa a kulcstitkosítási kulcs azonosítóját (kulcs URL-címét).
- Módosítsa a kulcstitkosítási kulcs kulcsverzióját.
Vegye figyelembe, hogy az engedélyezés után nem tilthatja le a CMK-t a meglévő Fluid Relay-erőforráson.
Kérés URL-je:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
Példa a kulcstitkosítási kulcs URL-címének frissítésére szolgáló hasznos adatra:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}