Ügyfél által felügyelt kulcsok konfigurálása Azure Batch-fiókhoz az Azure Key Vault és a felügyelt identitás használatával

Alapértelmezés szerint Azure Batch platform által felügyelt kulcsokkal titkosítja az Azure Batch Szolgáltatásban tárolt összes ügyféladatot, például a tanúsítványokat, a feladat-/feladat-metaadatokat. Igény szerint használhatja a saját kulcsait, azaz az ügyfél által kezelt kulcsokat a Azure Batch tárolt adatok titkosításához.

A megadott kulcsokat az Azure Key Vault kell létrehozni, és azOkat az Azure-erőforrások felügyelt identitásaival kell elérni.

A felügyelt identitások két típusa létezik: rendszer által hozzárendelt és felhasználó által hozzárendelt.

Létrehozhatja Batch-fiókját rendszer által hozzárendelt felügyelt identitással, vagy létrehozhat egy külön, felhasználó által hozzárendelt felügyelt identitást, amely hozzáfér az ügyfél által felügyelt kulcsokhoz. Az összehasonlító táblázat áttekintésével megismerheti a különbségeket, és megvizsgálhatja, hogy melyik lehetőség működik a legjobban a megoldáshoz. Ha például ugyanazt a felügyelt identitást szeretné használni több Azure-erőforrás eléréséhez, felhasználó által hozzárendelt felügyelt identitásra lesz szükség. Ha nem, a Batch-fiókhoz társított rendszer által hozzárendelt felügyelt identitás elegendő lehet. A felhasználó által hozzárendelt felügyelt identitás használata lehetővé teszi az ügyfél által felügyelt kulcsok kényszerítését a Batch-fiók létrehozásakor, ahogyan az az alábbi példában látható.

Batch-fiók létrehozása rendszer által hozzárendelt felügyelt identitással

Ha nincs szüksége külön felhasználó által hozzárendelt felügyelt identitásra, a Batch-fiók létrehozásakor engedélyezheti a rendszer által hozzárendelt felügyelt identitást.

Azure Portal

A Azure Portal Batch-fiókok létrehozásakor válassza a Speciális lap identitástípusában hozzárendelt rendszert.

Screenshot of a new Batch account with system assigned identity type.

A fiók létrehozása után a Tulajdonságok szakasz Identitásnév-azonosító mezőjében talál egy egyedi GUID azonosítót. Az identitástípus ekkor megjelenik System assigned.

Screenshot showing a unique GUID in the Identity principal Id field.

Erre az értékre azért lesz szüksége, hogy ez a Batch-fiók hozzáférhessen a Key Vault.

Azure CLI

Új Batch-fiók létrehozásakor adja meg SystemAssigned a --identity paramétert.

resourceGroupName='myResourceGroup'
accountName='mybatchaccount'

az batch account create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' \
    --identity 'SystemAssigned'

A fiók létrehozása után ellenőrizheti, hogy a rendszer által hozzárendelt felügyelt identitás engedélyezve van-e ezen a fiókon. Ne feledje, hogy ez az PrincipalIdérték szükséges ahhoz, hogy ez a Batch-fiók hozzáférést biztosítson a Key Vault.

az batch account show \
    -n $accountName \
    -g $resourceGroupName \
    --query identity

Megjegyzés

A Batch-fiókban létrehozott rendszer által hozzárendelt felügyelt identitás csak az ügyfél által felügyelt kulcsok lekérésére szolgál a Key Vault. Ez az identitás nem érhető el a Batch-készletekben. Ha felhasználó által hozzárendelt felügyelt identitást szeretne használni egy készletben, olvassa el a Felügyelt identitások konfigurálása a Batch-készletekben című témakört.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Tetszés szerint létrehozhat egy felhasználó által hozzárendelt felügyelt identitást , amellyel elérheti az ügyfél által felügyelt kulcsokat.

A Key Vault eléréséhez szüksége lesz az identitás ügyfél-azonosító értékére.

Az Azure Key Vault-példány konfigurálása

A kulcsokat létrehozó Azure-Key Vault ugyanabban a bérlőben kell létrehozni, mint a Batch-fiókját. Nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.

Azure Key Vault létrehozása;

Ha Azure Batch ügyfél által felügyelt kulcsokkal rendelkező Azure Key Vault-példányt hoz létre, győződjön meg arról, hogy a helyreállítható törlés és a végleges törlés elleni védelem is engedélyezve van.

Screenshot of the Key Vault creation screen.

Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz

A Azure Portal a Key Vault létrehozása után adja hozzá a Batch-fiók hozzáférését felügyelt identitással a Beállítás alatti Hozzáférési szabályzatban. A Kulcsengedélyek területen válassza a Beolvasás, a Tördelés és a Kulcs kicsomagolása lehetőséget.

Screenshot showing the Add access policy screen.

Az Egyszerű elem alatti Kiválasztás mezőben adja meg az alábbiak egyikét:

  • Rendszer által hozzárendelt felügyelt identitás esetén: Adja meg a principalId korábban lekért nevet vagy a Batch-fiók nevét.
  • Felhasználó által hozzárendelt felügyelt identitás esetén: Adja meg a korábban lekért ügyfél-azonosítót vagy a felhasználó által hozzárendelt felügyelt identitás nevét.

Screenshot of the Principal screen.

Kulcs létrehozása az Azure Key Vault

A Azure Portal lépjen a kulcsszakasz Key Vault példányára, és válassza a Létrehozás/Importálás lehetőséget. Válassza ki a kívánt RSAkulcstípust és az RSA-kulcsméretet, hogy legalább 2048 bit legyen. EC A kulcstípusok jelenleg nem támogatottak ügyfél által felügyelt kulcsként a Batch-fiókban.

Create a key

A kulcs létrehozása után kattintson az újonnan létrehozott kulcsra és az aktuális verzióra, másolja ki a kulcsazonosítót a Tulajdonságok szakaszban. Győződjön meg arról, hogy az Engedélyezett műveletek területen a Wrap key és a Unwrap Key is be van jelölve.

Ügyfél által felügyelt kulcsok engedélyezése Batch-fiókban

Miután követte a fenti lépéseket, engedélyezheti az ügyfél által felügyelt kulcsokat a Batch-fiókjában.

Azure Portal

A Azure Portal lépjen a Batch-fiók lapjára. A Titkosítás szakaszban engedélyezze az ügyfél által felügyelt kulcsot. Használhatja közvetlenül a kulcsazonosítót, vagy kiválaszthatja a kulcstartót, majd kattintson a Kulcstartó és kulcs kiválasztása elemre.

Screenshot showing the Encryption section and option to enable customer-managed key

Azure CLI

Miután a Batch-fiók rendszer által hozzárendelt felügyelt identitással lett létrehozva, és meg lett adva a Key Vault hozzáférése, frissítse a Batch-fiókot a {Key Identifier} paraméter alatti keyVaultProperties URL-címmel. A encryption_key_sourceMicrosoft.KeyVaultis állítsa be .

az batch account set \
    -n $accountName \
    -g $resourceGroupName \
    --encryption_key_source Microsoft.KeyVault \
    --encryption_key_identifier {YourKeyIdentifier} 

Batch-fiók létrehozása felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt kulcsokkal

A Batch felügyeleti .NET-ügyféllel létrehozhat egy Olyan Batch-fiókot, amely felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt kulcsokkal fog rendelkezni.

EncryptionProperties encryptionProperties = new EncryptionProperties()
{
    KeySource = KeySource.MicrosoftKeyVault,
    KeyVaultProperties = new KeyVaultProperties()
    {
        KeyIdentifier = "Your Key Azure Resource Manager Resource ID"
    }
};

BatchAccountIdentity identity = new BatchAccountIdentity()
{
    Type = ResourceIdentityType.UserAssigned,
    UserAssignedIdentities = new Dictionary<string, BatchAccountIdentityUserAssignedIdentitiesValue>
    {
            ["Your Identity Azure Resource Manager ResourceId"] = new BatchAccountIdentityUserAssignedIdentitiesValue()
    }
};
var parameters = new BatchAccountCreateParameters(TestConfiguration.ManagementRegion, encryption:encryptionProperties, identity: identity);

var account = await batchManagementClient.Account.CreateAsync("MyResourceGroup",
    "mynewaccount", parameters); 

Az ügyfél által felügyelt kulcsverzió frissítése

Egy kulcs új verziójának létrehozásakor frissítse a Batch-fiókot az új verzió használatára. Kövesse az alábbi lépéseket:

  1. Navigáljon a Batch-fiókjához Azure Portal, és jelenítse meg a titkosítási beállításokat.
  2. Adja meg az új kulcsverzió URI-jának megadását. Másik lehetőségként a verzió frissítéséhez ismét kiválaszthatja a Key Vault és a kulcsot.
  3. Mentse a módosításokat.

Az Azure CLI-vel is frissítheti a verziót.

az batch account set \
    -n $accountName \
    -g $resourceGroupName \
    --encryption_key_identifier {YourKeyIdentifierWithNewVersion} 

Másik kulcs használata a Batch-titkosításhoz

A Batch-titkosításhoz használt kulcs módosításához kövesse az alábbi lépéseket:

  1. Lépjen a Batch-fiókhoz, és jelenítse meg a titkosítási beállításokat.
  2. Adja meg az új kulcs URI-jának megadását. Másik lehetőségként kiválaszthatja a Key Vault, és kiválaszthat egy új kulcsot.
  3. Mentse a módosításokat.

Az Azure CLI-vel másik kulcsot is használhat.

az batch account set \
    -n $accountName \
    -g $resourceGroupName \
    --encryption_key_identifier {YourNewKeyIdentifier} 

Gyakori kérdések

  • Támogatottak az ügyfél által kezelt kulcsok a meglévő Batch-fiókok esetében? Nem. Az ügyfél által felügyelt kulcsok csak az új Batch-fiókok esetében támogatottak.
  • Kiválaszthatok 2048 bitesnél nagyobb RSA-kulcsméreteket? Igen, az RSA-kulcsok 3072 mérete és 4096 bitjei is támogatottak.
  • Milyen műveletek érhetők el az ügyfél által felügyelt kulcsok visszavonása után? Az egyetlen engedélyezett művelet a fiók törlése, ha a Batch elveszíti a hozzáférést az ügyfél által felügyelt kulcshoz.
  • Hogyan állíthatom vissza a Batch-fiókomhoz való hozzáférést, ha véletlenül törölöm a Key Vault kulcsot? Mivel a végleges törlés és a helyreállítható törlés engedélyezve van, visszaállíthatja a meglévő kulcsokat. További információ: Azure Key Vault helyreállítása.
  • Letilthatom az ügyfél által kezelt kulcsokat? A Batch-fiók titkosítási típusát bármikor visszaállíthatja a "Microsoft által felügyelt kulcs" értékre. Ezt követően szabadon törölheti vagy módosíthatja a kulcsot.
  • Hogyan forgathatom el a kulcsaimat? Az ügyfél által felügyelt kulcsok nem forognak automatikusan. A kulcs elforgatásához frissítse a fiókhoz társított kulcsazonosítót.
  • A hozzáférés visszaállítása után mennyi ideig tart a Batch-fiók újbóli működése? A hozzáférés visszaállítása után akár 10 percet is igénybe vehet, amíg a fiók ismét elérhető lesz.
  • Amíg a Batch-fiók nem érhető el, mi történik az erőforrásokkal? Az ügyfél által felügyelt kulcsokhoz való Batch-hozzáférés elvesztésekor futó készletek továbbra is futnak. A csomópontok azonban elérhetetlen állapotba kerülnek, és a tevékenységek leállnak (és újra le lesznek kérdezve). A hozzáférés visszaállítása után a csomópontok ismét elérhetővé válnak, és a tevékenységek újraindulnak.
  • Vonatkozik ez a titkosítási mechanizmus a Batch-készletben lévő virtuálisgép-lemezekre? Nem. A Cloud Services konfigurációs készletek (amelyek elavultak) esetében nincs titkosítás alkalmazva az operációs rendszerre és az ideiglenes lemezre. A virtuálisgép-konfigurációs készletek esetében az operációs rendszer és a megadott adatlemezek alapértelmezés szerint egy Microsoft platform által felügyelt kulccsal lesznek titkosítva. Jelenleg nem adhatja meg a saját kulcsát ezekhez a lemezekhez. Ha microsoftos platform által felügyelt kulccsal szeretné titkosítani egy Batch-készlet virtuális gépeinek ideiglenes lemezét, engedélyeznie kell a diskEncryptionConfiguration tulajdonságot a virtuálisgép-konfigurációs készletben. A rendkívül érzékeny környezetek esetében javasoljuk, hogy engedélyezze az ideiglenes lemeztitkosítást, és kerülje a bizalmas adatok operációs rendszeren és adatlemezeken való tárolását. További információ: Készlet létrehozása engedélyezett lemeztitkosítással
  • Elérhető a rendszer által hozzárendelt felügyelt identitás a Batch-fiókban a számítási csomópontokon? Nem. A rendszer által hozzárendelt felügyelt identitás jelenleg csak az azure-Key Vault eléréséhez használható az ügyfél által felügyelt kulcshoz. Ha felhasználó által hozzárendelt felügyelt identitást szeretne használni a számítási csomópontokon, olvassa el a Felügyelt identitások konfigurálása Batch-készletekben című témakört.

Következő lépések