Azure Data Explorer でクラスターの二重暗号化を有効にする

クラスターを作成すると、データはサービス レベルで自動的に暗号化されます。 データのセキュリティを強化するために、さらに二重暗号化を有効にすることができます。

二重暗号化が有効な場合、ストレージ アカウントのデータは、2 つの異なるアルゴリズムを使用して 2 回暗号化されます。

重要

• 二重暗号化を有効にすることは、クラスターの作成中にしかできません。
• クラスターでインフラストラクチャの暗号化を有効にした後は、それを無効することはできません。

以前の SDK バージョンに基づくコード サンプルについては、 アーカイブされた記事を参照してください。

Azure Portal

1. Azure Data Explorer クラスターを作成します

2. [セキュリティ] タブの [Enable Double Encryption](二重暗号化を有効にする) で、[オン] を選択します。 二重暗号化を解除するには、 [オフ] を選択します。

3. [次へ: ネットワーク>] または [確認と作成] を選択してクラスターを作成します。

   

C#

C# を使用して、クラスターの作成中にインフラストラクチャの暗号化を有効にすることができます。

前提条件

Azure Data Explorer C# クライアントを使用してマネージド ID を設定します。

• Azure Data Explorer NuGet パッケージをインストールします。
• 認証用の Azure.Identity NuGet パッケージ をインストールします。
• リソースにアクセスできるMicrosoft Entraアプリケーションとサービス プリンシパルを作成します。 サブスクリプションのスコープでロールの割り当てを追加し、必要な Directory (tenant) ID、Application ID、および Client Secret を取得します。

クラスターの作成

1. enableDoubleEncryption プロパティを使用してクラスターを作成します。

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.EastUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { IsDoubleEncryptionEnabled = true };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. 次のコマンドを実行して、クラスターが正常に作成されたかどうかを確認します。

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   結果に値が Succeeded の ProvisioningState が含まれている場合、クラスターは正常に作成されています。

ARM テンプレート

Azure Resource Manager を使用して、クラスターの作成中にインフラストラクチャの暗号化を有効にすることができます。

Azure Resource Manager テンプレートを使って、Azure リソースのデプロイを自動化できます。 Azure Data Explorer へのデプロイの詳細については、「Azure Resource Manager テンプレートを使用して Azure Data Explorer クラスターとデータベースを作成する」を参照してください。

Azure Resource Manager テンプレートを使用して、システム割り当て ID を追加する

'EnableDoubleEncryption' 型を追加して、クラスターのインフラストラクチャの暗号化 (二重暗号化) を有効にするように Azure に指示します。

{
    "apiVersion": "2020-06-14",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "properties": {
        "trustedExternalTenants": [],
        "virtualNetworkConfiguration": null,
        "optimizedAutoscale": null,
        "enableDiskEncryption": false,
        "enableStreamingIngest": false,
        "enableDoubleEncryption": true
    }
}

制限事項

選択したボリュームの暗号化には、次の制限が適用されます。

• 最大 1 桁のパフォーマンスへの影響
• サンドボックスでは使用できない

関連コンテンツ

• クラスターのディスクの暗号化を有効にする
• クラスターの正常性を確認する