Abilitare la doppia crittografia per il cluster in Azure Esplora dati

Quando si crea un cluster, i dati vengono crittografati automaticamente a livello di servizio. Per una maggiore sicurezza dei dati, è anche possibile abilitare la doppia crittografia.

Quando la crittografia doppia è abilitata, i dati nell'account di archiviazione vengono crittografati due volte, usando due algoritmi diversi.

Importante

• L'abilitazione della doppia crittografia è possibile solo durante la creazione del cluster.
• Dopo aver abilitato la crittografia dell'infrastruttura nel cluster, non è possibile disabilitarla.

Per esempi di codice basati sulle versioni precedenti dell'SDK, vedere l'articolo archiviato.

Azure portal

1. Creare un cluster Esplora dati di Azure

2. Nella scheda >SicurezzaAbilita doppia crittografia selezionare Sì. Per rimuovere la doppia crittografia, selezionare Disattivato.

3. Selezionare Avanti:Rete> o Rivedi e crea per creare il cluster.

   

C#

È possibile abilitare la crittografia dell'infrastruttura durante la creazione del cluster usando C#.

Prerequisiti

Configurare un'identità gestita usando il client C# di Azure Esplora dati:

• Installare il pacchetto NuGet di Azure Esplora dati.
• Installare il pacchetto NuGet Azure.Identity per l'autenticazione.
• Creare un'applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse. Si aggiunge l'assegnazione di ruolo nell'ambito della sottoscrizione e si ottiene l'oggetto richiesto Directory (tenant) ID, Application IDe Client Secret.

Creazione del cluster

1. Creare il cluster usando la enableDoubleEncryption proprietà :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.EastUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { IsDoubleEncryptionEnabled = true };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Eseguire il comando seguente per verificare se il cluster è stato creato correttamente:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Se il risultato contiene ProvisioningState con il Succeeded valore , il cluster è stato creato correttamente.

Modello ARM

È possibile abilitare la crittografia dell'infrastruttura durante la creazione del cluster usando Azure Resource Manager.

Per automatizzare la distribuzione delle risorse di Azure, è possibile usare un modello di Azure Resource Manager. Per altre informazioni sulla distribuzione in Esplora dati di Azure, vedere Creare un cluster e un database di Azure Esplora dati usando un modello di Resource Manager di Azure.

Aggiungere un'identità assegnata dal sistema usando un modello di Azure Resource Manager

Aggiungere il tipo "EnableDoubleEncryption" per indicare ad Azure di abilitare la crittografia dell'infrastruttura (doppia crittografia) per il cluster.

{
    "apiVersion": "2020-06-14",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "properties": {
        "trustedExternalTenants": [],
        "virtualNetworkConfiguration": null,
        "optimizedAutoscale": null,
        "enableDiskEncryption": false,
        "enableStreamingIngest": false,
        "enableDoubleEncryption": true
    }
}

Limitazioni

Le limitazioni seguenti si applicano alla crittografia dei volumi selezionati:

• Impatto sulle prestazioni fino a una singola cifra
• Non è possibile usare con sandbox

Contenuti correlati

• Abilitare la crittografia del disco per il cluster
• Controllare l'integrità del cluster