Door de klant beheerde sleutels - overzicht

Azure Managed Instance voor Apache Cassandra biedt de mogelijkheid om gegevens op schijf te versleutelen met behulp van uw eigen sleutel. In dit artikel wordt beschreven hoe u door de klant beheerde sleutels implementeert met Azure Key Vault.

Vereisten

• Stel een geheim in met behulp Azure Key Vault. Meer informatie over Azure Key Vault hier.
• U hebt een virtueel netwerk geïmplementeerd in uw resourcegroep en de rol netwerkbijdrager toegepast met de Azure Cosmos DB service-principal als lid. Zie Create an Azure Managed Instance for Apache Cassandra cluster using Azure CLI (Een Azure Managed Instance maken voor Een Apache Cassandra-cluster maken met behulp van Azure CLI) voor meer informatie.

Een cluster maken met een door het systeem toegewezen identiteit

    az role assignment create \
    --assignee a232010e-820c-4083-83bb-3ace5fc29d0b \
    --role 4d97b98b-1d4f-4787-a291-c67834d212e7 \
    --scope /subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>

1. Maak een cluster door het identiteitstype op te geven als Systeem toegewezen, en <subscriptionID> vervang , , en door de juiste <resourceGroupName> <vnetName> <subnetName> waarden:

   subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"
   cluster="thvankra-cmk-test-wcus"
   group="thvankra-nova-cmk-test"
   region="westcentralus"
   password="PlaceholderPassword"
   
   az managed-cassandra cluster create \
       --identity-type SystemAssigned \
       --resource-group $group \
       --location $region \
       --cluster-name $cluster \
       --delegated-management-subnet-id $subnet \
       --initial-cassandra-admin-password $password
   

2. De identiteitsgegevens van het gemaakte cluster op te halen

   az managed-cassandra cluster show -c $cluster -g $group
   

   De uitvoer bevat een identiteitssectie zoals hieronder. Kopiëren principalId voor later gebruik:

     "identity": {
       "principalId": "1aa51c7f-196a-4013-a656-1ccabfdc54e0",
       "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
       "type": "SystemAssigned"
     }
   

3. Maak Azure Key Vault toegangsbeleid voor uw sleutels:

   

4. Wijs get en wrap unwrap sleutelmachtigingen voor de sleutelkluis toe aan de hierboven principalId opgehaalde clustermachtigingen. In de portal kunt u ook de principal-id van het cluster op zoeken op basis van de naam van het cluster:

   

   Waarschuwing

   Zorg ervoor dat beveiliging tegen opsluizen is ingeschakeld voor de sleutelkluis. Datacenterimplementaties mislukken zonder dit.

5. Nadat u op hebt add geklikt om het toegangsbeleid toe te voegen, moet u het opslaan:

   

6. Selecteer uw sleutel om de sleutel-id op te halen:

   

7. Klik op huidige versie:

   

8. Sla de sleutel-id op voor later gebruik:

   

9. Maak het datacenter door te vervangen door dezelfde sleutel (de URI die u in de vorige stap hebt gekopieerd) voor zowel de beheerde schijf <key identifier> (managed-disk-customer-key-uri) als de back-upopslag (backup-storage-customer-key-uri), zoals hieronder wordt weergegeven (gebruik dezelfde waarde als voor u eerder subnet hebt gebruikt):

   managedDiskKeyUri = "<key identifier>"
   backupStorageKeyUri = "<key identifier>"
   group="thvankra-nova-cmk-test"
   region="westcentralus"
   cluster="thvankra-cmk-test-2"
   dc="dc1"
   nodecount=3
   subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"
   
   az managed-cassandra datacenter create \
       --resource-group $group \
       --cluster-name $cluster \
       --data-center-name $dc \
       --managed-disk-customer-key-uri $managedDiskKeyUri \
       --backup-storage-customer-key-uri $backupStorageKeyUri \
       --node-count $nodecount \
       --delegated-subnet-id $subnet \
       --data-center-location $region \
       --sku Standard_DS14_v2
   

10. Aan een bestaand cluster zonder identiteitsgegevens kan een identiteit worden toegewezen, zoals hieronder wordt weergegeven:

    az managed-cassandra cluster update --identity-type SystemAssigned -g $group -c $cluster
    

De sleutel roteren

1. Hieronder vindt u de opdracht voor het bijwerken van de sleutel:

   managedDiskKeyUri = "<key identifier>"
   backupStorageKeyUri = "<key identifier>"
   
   az managed-cassandra datacenter update \
       --resource-group $group \
       --cluster-name $cluster \ 
       --data-center-name $dc \
       --managed-disk-customer-key-uri $managedDiskKeyUri \
       --backup-storage-customer-key-uri $backupStorageKeyUri