Mengonfigurasi kunci yang dikelola pelanggan untuk Azure Load Testing dengan Azure Key Vault

Azure Load Testing secara otomatis mengenkripsi semua data yang disimpan dalam sumber daya pengujian beban Anda dengan kunci yang disediakan Microsoft (kunci yang dikelola layanan). Secara opsional, Anda dapat menambahkan lapisan keamanan kedua dengan juga menyediakan kunci Anda sendiri (dikelola pelanggan). Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih besar untuk mengontrol akses dan menggunakan kebijakan rotasi kunci.

Kunci yang Anda berikan disimpan dengan aman menggunakan Azure Key Vault. Anda dapat membuat kunci terpisah untuk setiap sumber daya pengujian beban Azure yang Anda aktifkan dengan kunci yang dikelola pelanggan.

Saat Anda menggunakan kunci enkripsi yang dikelola pelanggan, Anda perlu menentukan identitas terkelola yang ditetapkan pengguna untuk mengambil kunci dari Azure Key Vault.

Azure Load Testing menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data berikut dalam sumber daya pengujian beban:

• Menguji file skrip dan konfigurasi
• Secret
• Variabel lingkungan

Catatan

Azure Load Testing tidak mengenkripsi data metrik untuk uji coba dengan kunci yang dikelola pelanggan Anda, termasuk nama sampel metrik JMeter yang Anda tentukan dalam skrip JMeter. Microsoft memiliki akses ke data metrik ini.

Prasyarat

• Akun Azure dengan langganan aktif. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

• Identitas terkelola yang ditetapkan pengguna yang sudah ada. Untuk informasi selengkapnya tentang membuat identitas terkelola yang ditetapkan pengguna, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

Batasan

• Kunci yang dikelola pelanggan hanya tersedia untuk sumber daya pengujian beban Azure baru. Anda harus mengonfigurasi kunci selama pembuatan sumber daya.

• Setelah enkripsi kunci yang dikelola pelanggan diaktifkan pada sumber daya, enkripsi tersebut tidak dapat dinonaktifkan.

• Azure Load Testing tidak dapat memutar kunci yang dikelola pelanggan secara otomatis untuk menggunakan versi terbaru kunci enkripsi. Anda harus memperbarui URI kunci di sumber daya setelah kunci diputar di Azure Key Vault.

Mengonfigurasi brankas kunci Azure Anda

Untuk menggunakan kunci enkripsi yang dikelola pelanggan dengan Azure Load Testing, Anda perlu menyimpan kunci di Azure Key Vault. Anda dapat menggunakan brankas kunci yang ada atau membuat yang baru. Sumber daya pengujian beban dan brankas kunci mungkin berada di wilayah atau langganan yang berbeda di penyewa yang sama.

Pastikan untuk mengonfigurasi pengaturan brankas kunci berikut saat Anda menggunakan kunci enkripsi yang dikelola pelanggan.

Konfigurasi pengaturan jaringan brankas kunci

Jika Anda membatasi akses ke brankas kunci Azure oleh firewall atau jaringan virtual, Anda perlu memberikan akses ke Azure Load Testing untuk mengambil kunci yang dikelola pelanggan Anda. Ikuti langkah-langkah ini untuk memberikan akses ke layanan Azure tepercaya.

Mengonfigurasi penghapusan sementara dan perlindungan penghapusan menyeluruh

Anda harus mengatur properti Penghapusan Sementara dan Perlindungan Penghapusan Menyeluruh di brankas kunci Anda untuk menggunakan kunci yang dikelola pelanggan dengan Azure Load Testing. Penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru dan tidak dapat dinonaktifkan. Anda dapat mengaktifkan perlindungan penghapusan menyeluruh kapan saja. Pelajari selengkapnya tentang penghapusan sementara dan perlindungan penghapusan menyeluruh di Azure Key Vault.

Portal Azure

Ikuti langkah-langkah ini untuk memverifikasi apakah penghapusan sementara diaktifkan dan mengaktifkannya di brankas kunci. Penghapusan sementara dapat dilakukan secara default saat Anda membuat brankas kunci baru.

Anda dapat mengaktifkan perlindungan penghapusan menyeluruh saat membuat brankas kunci baru dengan memilih pengaturan Aktifkan perlindungan penghapusan menyeluruh .

Untuk mengaktifkan perlindungan hapus menyeluruh pada brankas kunci yang ada, ikuti langkah-langkah berikut:

1. Navigasi ke brankas kunci Anda di portal Microsoft Azure.
2. Di bawah Pengaturan, pilih Properti.
3. Di bagian Perlindungan hapus menyeluruh, pilih Aktifkan perlindungan hapus menyeluruh.

PowerShell

Untuk membuat brankas kunci baru dengan PowerShell, instal modul Az.KeyVault PowerShell versi 2.0.0 atau yang lebih baru. Kemudian panggil New-AzKeyVault untuk membuat brankas kunci baru. Dengan modul Az.KeyVault versi 2.0.0 dan yang lebih baru, penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru.

Contoh berikut membuat brankas kunci baru dengan penghapusan sementara dan perlindungan hapus menyeluruh diaktifkan. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Untuk mengaktifkan perlindungan penghapusan menyeluruh pada brankas kunci yang ada dengan PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Untuk membuat brankas kunci baru menggunakan Azure CLI, panggil az keyvault create. Penghapusan sementara diaktifkan secara default saat Anda membuat brankas kunci baru.

Contoh berikut membuat brankas kunci baru dengan penghapusan sementara dan perlindungan hapus menyeluruh diaktifkan. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Untuk mengaktifkan perlindungan penghapusan menyeluruh pada brankas kunci yang ada dengan Azure CLI:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Menambahkan kunci yang dikelola pelanggan ke Azure Key Vault

Selanjutnya, tambahkan kunci ke brankas kunci. Enkripsi Azure Load Testing mendukung kunci RSA. Untuk informasi selengkapnya tentang jenis kunci yang didukung di Azure Key Vault, lihat Tentang kunci.

Portal Azure

Untuk mempelajari cara menambahkan kunci dengan portal Azure, lihat Mengatur dan mengambil kunci dari Azure Key Vault menggunakan portal Azure.

PowerShell

Untuk menambahkan kunci dengan PowerShell, panggil Add-AzKeyVaultKey. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Untuk menambahkan kunci dengan Azure CLI, panggil az keyvault key create. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Menambahkan kebijakan akses ke brankas kunci Anda

Saat Anda menggunakan kunci enkripsi yang dikelola pelanggan, Anda harus menentukan identitas terkelola yang ditetapkan pengguna. Identitas terkelola yang ditetapkan pengguna untuk mengakses kunci yang dikelola pelanggan di Azure Key Vault harus memiliki izin yang sesuai untuk mengakses brankas kunci.

1. Di portal Azure, buka instans brankas kunci Azure yang Anda rencanakan untuk digunakan untuk menghosting kunci enkripsi Anda.

2. Pilih Kebijakan Akses dari menu sebelah kiri.

   

3. Pilih + Tambahkan Kebijakan Akses.

4. Di menu drop-down Izin kunci, pilih Dapatkan, Buka Bungkus Kunci, dan Izin Bungkus Kunci.

   

5. Di Pilih prinsipal, pilih Tidak Ada yang dipilih.

6. Cari identitas terkelola yang ditetapkan pengguna yang Anda buat sebelumnya, dan pilih dari daftar.

7. Pilih opsi Pilih di bagian bawah.

8. Pilih Tambahkan untuk menambahkan kebijakan akses baru.

9. Pilih Simpan pada instans brankas kunci untuk menyimpan semua perubahan.

Menggunakan kunci yang dikelola pelanggan dengan Azure Load Testing

Anda hanya dapat mengonfigurasi kunci enkripsi yang dikelola pelanggan saat membuat sumber daya pengujian beban Azure baru. Saat menentukan detail kunci enkripsi, Anda juga harus memilih identitas terkelola yang ditetapkan pengguna untuk mengambil kunci dari Azure Key Vault.

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk sumber daya pengujian beban baru, ikuti langkah-langkah berikut:

Portal Azure

1. Ikuti langkah-langkah ini untuk membuat sumber daya pengujian beban Azure di portal Azure dan isi bidang pada tab Dasar.

2. Buka tab Enkripsi , lalu pilih Kunci yang dikelola pelanggan (CMK) untuk bidang Jenis enkripsi.

3. Di bidang URI Kunci, tempelkan pengidentifikasi URI/kunci kunci Azure Key Vault termasuk versi kunci.

4. Untuk bidang Identitas yang ditetapkan pengguna, pilih identitas terkelola yang ditetapkan pengguna yang sudah ada.

5. Pilih Tinjau + buat untuk memvalidasi dan membuat sumber daya baru.

PowerShell

Anda dapat menyebarkan templat ARM menggunakan PowerShell untuk mengotomatiskan pembuatan sumber daya Azure Anda. Anda dapat membuat sumber daya jenis Microsoft.LoadTestService/loadtests apa pun dengan kunci yang dikelola pelanggan yang diaktifkan untuk enkripsi dengan menambahkan properti berikut:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Sampel kode berikut menunjukkan templat ARM untuk membuat sumber daya pengujian beban dengan kunci yang dikelola pelanggan diaktifkan:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Sebarkan templat di atas ke grup sumber daya dengan menggunakan New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Anda dapat menyebarkan templat ARM menggunakan Azure CLI untuk mengotomatiskan pembuatan sumber daya Azure Anda. Anda dapat membuat sumber daya jenis Microsoft.LoadTestService/loadtests apa pun dengan kunci yang dikelola pelanggan yang diaktifkan untuk enkripsi dengan menambahkan properti berikut:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Sampel kode berikut menunjukkan templat ARM untuk membuat sumber daya pengujian beban dengan kunci yang dikelola pelanggan diaktifkan:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Sebarkan templat di atas ke grup sumber daya dengan menggunakan az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Mengubah identitas terkelola untuk mengambil kunci enkripsi

Anda dapat mengubah identitas terkelola untuk kunci yang dikelola pelanggan untuk sumber daya pengujian beban yang ada kapan saja.

1. Di portal Azure, buka sumber daya pengujian beban Azure Anda.

2. Pada halaman Pengaturan, pilih Enkripsi.

   Jenis Enkripsi menunjukkan jenis enkripsi yang digunakan untuk membuat sumber daya pengujian beban.

3. Jika jenis enkripsi adalah kunci yang dikelola pelanggan, pilih jenis identitas yang akan digunakan untuk mengautentikasi ke brankas kunci. Opsinya mencakup Ditetapkan sistem (default) atau Ditetapkan pengguna.

   Untuk mempelajari selengkapnya tentang setiap jenis identitas terkelola, lihat Jenis identitas terkelola.

   • Jika Anda memilih Ditetapkan sistem, identitas terkelola yang ditetapkan sistem perlu diaktifkan pada sumber daya dan diberikan akses ke AKV sebelum mengubah identitas untuk kunci yang dikelola pelanggan.
   • Jika Anda memilih Ditetapkan pengguna, Anda harus memilih identitas yang ditetapkan pengguna yang sudah ada yang memiliki izin untuk mengakses brankas kunci. Untuk mempelajari cara membuat identitas yang ditetapkan pengguna, lihat Menggunakan identitas terkelola untuk Pratinjau Pengujian Beban Azure.

4. Simpan perubahan.

Penting

Pastikan bahwa identitas terkelola yang dipilih memiliki akses ke Azure Key Vault.

Memperbarui kunci enkripsi yang dikelola pelanggan

Anda dapat mengubah kunci yang Anda gunakan untuk enkripsi Azure Load Testing kapan saja. Untuk mengubah kunci dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Di portal Azure, buka sumber daya pengujian beban Azure Anda.

2. Pada halaman Pengaturan, pilih Enkripsi. Jenis Enkripsi menunjukkan enkripsi yang dipilih untuk sumber daya saat pembuatan.

3. Jika jenis enkripsi yang dipilih adalah kunci yang dikelola pelanggan, Anda dapat mengedit bidang URI Kunci dengan URI kunci baru.

4. Simpan perubahan.

Memutar kunci enkripsi

Anda dapat memutar kunci yang dikelola pelanggan di Azure Key Vault sesuai dengan kebijakan kepatuhan Anda. Untuk memutar kunci:

1. Di Azure Key Vault, perbarui versi kunci atau buat kunci baru.
2. Perbarui kunci enkripsi yang dikelola pelanggan untuk sumber daya pengujian beban Anda.

Tanya jawab umum

Apakah ada biaya tambahan untuk mengaktifkan kunci yang dikelola pelanggan?

Tidak, tidak ada biaya untuk mengaktifkan fitur ini.

Apakah kunci yang dikelola pelanggan didukung untuk sumber daya pengujian beban Azure yang ada?

Fitur ini saat ini hanya tersedia untuk sumber daya pengujian beban Azure baru.

Bagaimana cara mengetahui apakah kunci yang dikelola pelanggan diaktifkan pada sumber daya pengujian beban Azure saya?

1. Di portal Azure, buka sumber daya pengujian beban Azure Anda.
2. Buka item Enkripsi di bilah navigasi kiri.
3. Anda dapat memverifikasi jenis Enkripsi pada sumber daya Anda.

Bagaimana cara mencabut kunci enkripsi?

Anda dapat mencabut kunci dengan menonaktifkan versi terbaru kunci di Azure Key Vault. Atau, untuk mencabut semua kunci dari instans brankas kunci, Anda dapat menghapus kebijakan akses yang diberikan ke identitas terkelola sumber daya pengujian beban.

Ketika Anda mencabut kunci enkripsi, Anda mungkin dapat menjalankan pengujian selama sekitar 10 menit, setelah itu satu-satunya operasi yang tersedia adalah penghapusan sumber daya. Disarankan untuk memutar kunci alih-alih mencabutnya untuk mengelola keamanan sumber daya dan menyimpan data Anda.

Konten terkait

• Pelajari cara Memantau metrik aplikasi sisi server.
• Pelajari cara Membuat parameter pengujian beban dengan rahasia dan variabel lingkungan.