Share via

Ügyfél által felügyelt kulcsok az Azure Fluid Relay titkosításához

  • Cikk

Az Azure Fluid Relay-erőforrásban lévő adatok védelméhez használhatja a saját titkosítási kulcsát. Ha ügyfél által felügyelt kulcsot (CMK) ad meg, a rendszer az adatokat titkosító kulcshoz való hozzáférés védelmére és szabályozására szolgál. A CMK nagyobb rugalmasságot biztosít a hozzáférés-vezérlés kezeléséhez.

A CMK tárolásához az alábbi Azure-kulcstárolók egyikét kell használnia:

A CMK engedélyezéséhez létre kell hoznia egy új Azure Fluid Relay-erőforrást. Meglévő Fluid Relay-erőforrás CMK-engedélyezését/letiltását nem módosíthatja.

A Fluid Relay CMK-jának alapja a felügyelt identitás, és a CMK engedélyezésekor egy felügyelt identitást kell hozzárendelnie a Fluid Relay-erőforráshoz. Csak a felhasználó által hozzárendelt identitás engedélyezett a Fluid Relay erőforrás-CMK-hoz. A felügyelt identitásokkal kapcsolatos további információkért lásd itt.

A Fluid Relay-erőforrás CMK-val való konfigurálása még nem végezhető el az Azure Portalon.

Amikor a Fluid Relay erőforrást CMK-val konfigurálja, az Azure Fluid Relay szolgáltatás a megfelelő CMK-titkosított beállításokat konfigurálja azon Az Azure Storage-fiók hatókörén, ahol a Fluid-munkamenet összetevőit tárolja. Az Azure Storage-beli CMK-ról itt talál további információt.

Ha ellenőrizni szeretné, hogy a Fluid Relay-erőforrás a CMK-t használja-e, ellenőrizheti az erőforrás tulajdonságát a GET elküldésével, és ellenőrizheti, hogy a rendelkezik-e a encryption.customerManagedKeyEncryption érvényes, nem üres tulajdonságával.

Előfeltételek:

Mielőtt konfigurálja a CMK-t az Azure Fluid Relay-erőforráson, a következő előfeltételeknek kell teljesülniük:

  • A kulcsokat egy Azure Key Vaultban kell tárolni.
  • A kulcsnak RSA-kulcsnak kell lennie, és nem EC-kulcsnak, mivel az EC-kulcs nem támogatja a WRAP és a UNWRAP használatát.
  • A felhasználó által hozzárendelt felügyelt identitást a kulcstartóhoz szükséges engedélyekkel (GET, WRAP és UNWRAP) kell létrehozni az 1. lépésben. További információt itt talál. Adja meg a GET, a WRAP és a UNWRAP lehetőséget az AKV kulcsengedélyei alatt.
  • Az Azure Key Vaultnak, a felhasználó által hozzárendelt identitásnak és a Fluid Relay-erőforrásnak ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lennie.

Fluid Relay-erőforrás létrehozása a CMK-val

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"

Hasznos adatformátum kérése:

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
}

Példa userAssignedIdentities and userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Példa keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Notes:

  • Az Identity.type típusnak UserAssigned típusúnak kell lennie. A Fluid Relay erőforráshoz rendelt felügyelt identitás identitástípusa.
  • A Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType paraméternek UserAssigned típusúnak kell lennie. A CMK-hoz használandó felügyelt identitás identitástípusa.
  • Bár az Identity.userAssignedIdentities alkalmazásban több is megadható, a rendszer csak egy, a Fluid Relay erőforráshoz hozzárendelt felhasználói identitást használ a cmK-nak a kulcstartó titkosításhoz való eléréséhez.
  • Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId annak a felhasználóhoz rendelt identitás erőforrás-azonosítója, amelyet a CMK-hoz kell használni. Figyelje meg, hogy az Identity.userAssignedIdentities egyik identitásának kell lennie (az identitást hozzá kell rendelnie a Fluid Relay-erőforráshoz, mielőtt használhatja a CMK-hoz). Emellett rendelkeznie kell a kulcsra vonatkozó szükséges engedélyekkel (amelyet a keyEncryptionKeyUrl biztosít).
  • A Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl a CMK-hoz használt kulcsazonosító.

Meglévő Fluid Relay-erőforrás CMK-beállításainak frissítése

A meglévő Fluid Relay-erőforráson a következő CMK-beállítások frissíthetők:

  • Módosítsa a kulcstitkosítási kulcs eléréséhez használt identitást.
  • Módosítsa a kulcstitkosítási kulcs azonosítóját (kulcs URL-címét).
  • Módosítsa a kulcstitkosítási kulcs kulcsverzióját.

Vegye figyelembe, hogy az engedélyezés után nem tilthatja le a CMK-t a meglévő Fluid Relay-erőforráson.

Kérés URL-je:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"

Példa a kulcstitkosítási kulcs URL-címének frissítésére szolgáló hasznos adatra:

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

Kapcsolódó információk