Configurare chiavi gestite dal cliente tramite PowerShellConfigure customer-managed keys using PowerShell

Azure Esplora dati crittografa tutti i dati in un account di archiviazione inattivo.Azure Data Explorer encrypts all data in a storage account at rest. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft.By default, data is encrypted with Microsoft-managed keys. Per un maggiore controllo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente da usare per la crittografia dei dati.For additional control over encryption keys, you can supply customer-managed keys to use for data encryption.

Le chiavi gestite dal cliente devono essere archiviate in un Azure Key Vault.Customer-managed keys must be stored in an Azure Key Vault. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure è possibile usare un'API Azure Key Vault per generare chiavi.You can create your own keys and store them in a key vault, or you can use an Azure Key Vault API to generate keys. Il cluster Esplora dati di Azure e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area, ma possono trovarsi in sottoscrizioni diverse.The Azure Data Explorer cluster and the key vault must be in the same region, but they can be in different subscriptions. Per una spiegazione dettagliata delle chiavi gestite dal cliente, vedere chiavi gestite dal cliente con Azure Key Vault.For a detailed explanation on customer-managed keys, see customer-managed keys with Azure Key Vault.

Questo articolo illustra come configurare le chiavi gestite dal cliente.This article shows you how to configure customer-managed keys.

Configurare Azure Key VaultConfigure Azure Key Vault

Per configurare le chiavi gestite dal cliente con Azure Esplora dati, è necessario impostare due proprietà nell'insieme di credenziali delle chiavi: eliminazione temporanea e non ripulitura.To configure customer-managed keys with Azure Data Explorer, you must set two properties on the key vault: Soft Delete and Do Not Purge. Queste proprietà non sono abilitate per impostazione predefinita.These properties aren't enabled by default. Per abilitare queste proprietà, eseguire l' Abilitazione dell'eliminazione temporanea e abilitare la protezione dell'eliminazione in PowerShell o nell'interfaccia della riga di comando di Azure in un insieme di credenziali delle chiavi nuovo o esistente.To enable these properties, perform Enabling soft-delete and Enabling Purge Protection in PowerShell or Azure CLI on a new or existing key vault. Sono supportate solo le chiavi RSA di dimensione 2048.Only RSA keys of size 2048 are supported. Per ulteriori informazioni sulle chiavi, vedere Key Vault chiavi.For more information about keys, see Key Vault keys.

Nota

La crittografia dei dati tramite chiavi gestite dal cliente non è supportata nei cluster leader e di followerData encryption using customer managed keys is not supported on leader and follower clusters

Assegnare un'identità al clusterAssign an identity to the cluster

Per abilitare le chiavi gestite dal cliente per il cluster, assegnare innanzitutto un'identità gestita assegnata dal sistema al cluster.To enable customer-managed keys for your cluster, first assign a system-assigned managed identity to the cluster. Questa identità gestita verrà usata per concedere le autorizzazioni del cluster per accedere all'insieme di credenziali delle chiavi.You'll use this managed identity to grant the cluster permissions to access the key vault. Per configurare le identità gestite assegnate dal sistema, vedere identità gestite.To configure system-assigned managed identities, see managed identities.

Abilitare la crittografia con chiavi gestite dal cliente tramite PowerShellEnable encryption with customer-managed keys using PowerShell

Questo articolo illustra come abilitare la crittografia delle chiavi gestite dal cliente usando PowerShell.This article shows you how to enable customer-managed keys encryption using PowerShell. Per impostazione predefinita, la crittografia Esplora dati di Azure usa chiavi gestite da Microsoft.By default, Azure Data Explorer encryption uses Microsoft-managed keys. Configurare il cluster di Azure Esplora dati per l'uso delle chiavi gestite dal cliente e specificare la chiave da associare al cluster.Configure your Azure Data Explorer cluster to use customer-managed keys and specify the key to associate with the cluster.

  1. Eseguire questo comando per accedere ad Azure:Run the following command to sign in to Azure:

    Connect-AzAccount
    
  2. Impostare la sottoscrizione in cui è registrato il cluster.Set the subscription where your cluster is registered.

    Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
    
  3. Eseguire il comando seguente per impostare la nuova chiave.Run the following command to set the new key.

    Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
    
  4. Eseguire il comando seguente e selezionare ' KeyVaultProperty.. .' Proprietà per verificare che il cluster sia stato aggiornato correttamente.Run the following command and check the 'KeyVaultProperty...' properties to verify the cluster updated successfully.

    Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List