Door klant beheerde sleutels configureren

Azure Data Explorer versleutelt alle gegevens in een opslagaccount-at-rest. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor meer controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor gebruik voor gegevensversleuteling.

Door de klant beheerde sleutels moeten worden opgeslagen in een Azure-Key Vault. U kunt uw eigen sleutels maken en opslaan in een sleutelkluis of u kunt een Azure Key Vault API gebruiken om sleutels te genereren. Het Azure Data Explorer-cluster en de sleutelkluis moeten zich in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie door de klant beheerde sleutels met Azure Key Vault voor een gedetailleerde uitleg over door de klant beheerde sleutels.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels configureert.

Azure Key Vault configureren

Als u door de klant beheerde sleutels wilt configureren met Azure Data Explorer, moet u twee eigenschappen instellen voor de sleutelkluis: Voorlopig verwijderen en Niet opschonen. Deze eigenschappen zijn niet standaard ingeschakeld. Als u deze eigenschappen wilt inschakelen, voert u Voorlopig verwijderen inschakelen en Beveiliging tegen opschonen in PowerShell of Azure CLI in op een nieuwe of bestaande sleutelkluis. Alleen RSA-sleutels van grootte 2048 worden ondersteund. Zie Key Vault sleutels voor meer informatie over sleutels.

Notitie

Gegevensversleuteling met door de klant beheerde sleutels wordt niet ondersteund op leader- en volgerclusters.

Een beheerde identiteit toewijzen aan het cluster

Als u door de klant beheerde sleutels voor uw cluster wilt inschakelen, wijst u eerst een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit toe aan het cluster. U gebruikt deze beheerde identiteit om de clustermachtigingen te verlenen voor toegang tot de sleutelkluis. Zie Beheerde identiteiten als u beheerde identiteiten wilt configureren.

Versleuteling inschakelen met door de klant beheerde sleutels

Portal

In deze volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van de Azure Portal. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Ga in de Azure Portal naar uw Azure Data Explorer-clusterresource.

2. Selecteer Instellingen>Versleuteling in het linkerdeelvenster van de portal.

3. Selecteer in het deelvenster Versleutelingde optie Aan voor de instelling Door de klant beheerde sleutel .

4. Klik op Sleutel selecteren.

   

5. Selecteer in het venster Sleutel selecteren uit Azure Key Vault een bestaande sleutelkluis in de vervolgkeuzelijst. Als u Nieuwe maken selecteert om een nieuwe Key Vault te maken, wordt u doorgestuurd naar het scherm Key Vault maken.

6. Selecteer Sleutel.

7. Versie:

   • Schakel het selectievakje Altijd huidige sleutelversie gebruiken in om ervoor te zorgen dat deze sleutel altijd de nieuwste sleutelversie gebruikt.
   • Selecteer anders Versie.

8. Klik op Selecteren.

   

9. Selecteer onder Identiteitstypede optie Door het systeem toegewezen of Door de gebruiker toegewezen.

10. Als u Door gebruiker toegewezen selecteert, kiest u een door de gebruiker toegewezen identiteit in de vervolgkeuzelijst.

    

11. Selecteer Opslaan in het deelvenster Versleuteling dat nu uw sleutel bevat. Wanneer het maken van de CMK is geslaagd, ziet u een bericht in Meldingen.

    

Als u door het systeem toegewezen identiteit selecteert bij het inschakelen van door de klant beheerde sleutels voor uw Azure Data Explorer-cluster, maakt u een door het systeem toegewezen identiteit voor het cluster als deze niet bestaat. Daarnaast geeft u de vereiste get-, wrapKey- en unwrapKey-machtigingen op voor uw Azure Data Explorer-cluster op de geselecteerde Key Vault en haalt u de Key Vault eigenschappen op.

Notitie

Selecteer Uit om de door de klant beheerde sleutel te verwijderen nadat deze is gemaakt.

C#

In de volgende secties wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels configureert met behulp van de Azure Data Explorer C#-client.

Pakketten installeren

• Installeer het NuGet-pakket Azure Data Explorer (Kusto).
• Installeer het MSAL NuGet-pakket voor verificatie met Azure Active Directory (Azure AD).
• Installeer het NuGet-pakket Microsoft.Rest.ClientRuntime voor verificatie met Azure Active Directory (Azure AD).

Verificatie

Als u de voorbeelden in dit artikel wilt uitvoeren, maakt u een Azure AD toepassing en service-principal die toegang hebben tot resources. U kunt roltoewijzing toevoegen aan het abonnementsbereik en de vereiste Azure AD Directory (tenant) ID, Application IDen Application Secretophalen.

Het volgende codefragment laat zien hoe u de Microsoft Authentication Library (MSAL) gebruikt om een Azure AD toepassingstoken te verkrijgen voor toegang tot uw cluster. Om de stroom te laten slagen, moet de toepassing zijn geregistreerd bij Azure AD en moet u de referenties voor toepassingsverificatie hebben, zoals een door Azure AD uitgegeven toepassingssleutel of een Azure AD-geregistreerd X.509v2-certificaat.

Door de klant beheerde sleutels configureren

Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Werk uw cluster bij met behulp van de volgende code:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   // Create a confidential authentication client for Azure AD:
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret) // can be replaced by .WithCertificate to authenticate with an X.509 certificate
       .Build();
   // Acquire application token
   var result = authClient.AcquireTokenForClient(
       new[] { "https://management.core.windows.net/.default" } // Define scopes for accessing Azure management plane
   ).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterPatch = new ClusterUpdate(
       keyVaultProperties: new KeyVaultProperties(
           keyName: "<keyName>",
           keyVersion: "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           keyVaultUri: "https://<keyVaultName>.vault.azure.net/",
           userIdentity: "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       )
   );
   await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);
   

2. Voer de volgende opdracht uit om te controleren of uw cluster is bijgewerkt:

   var clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Als het resultaat de Succeeded waarde bevatProvisioningState, is uw cluster bijgewerkt.

Azure-CLI

In de volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van de Azure CLI-client. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Voer de volgende opdracht uit om u aan te melden bij Azure:

   az login
   

2. Stel het abonnement in waar uw cluster is geregistreerd. Vervang MyAzureSub door de naam van het Azure-abonnement dat u wilt gebruiken.

   az account set --subscription MyAzureSub
   

3. Voer de volgende opdracht uit om de nieuwe sleutel in te stellen met de door het systeem toegewezen identiteit van het cluster

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   U kunt ook de nieuwe sleutel instellen met een door de gebruiker toegewezen identiteit.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Voer de volgende opdracht uit en controleer de eigenschap 'keyVaultProperties' om te controleren of het cluster is bijgewerkt.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

PowerShell

In de volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van PowerShell. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Voer de volgende opdracht uit om u aan te melden bij Azure:

   Connect-AzAccount
   

2. Stel het abonnement in waar uw cluster is geregistreerd.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Voer de volgende opdracht uit om de nieuwe sleutel in te stellen met behulp van een door het systeem toegewezen identiteit.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   U kunt ook de nieuwe sleutel instellen met behulp van een door de gebruiker toegewezen identiteit.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Voer de volgende opdracht uit en controleer 'KeyVaultProperty...' eigenschappen om te controleren of het cluster is bijgewerkt.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

ARM-sjabloon

In de volgende stappen wordt uitgelegd hoe u door de klant beheerde sleutels configureert met behulp van Azure Resource Manager-sjablonen. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. In deze stap configureert u uw Azure Data Explorer-cluster voor het gebruik van door de klant beheerde sleutels en geeft u de sleutel op die aan het cluster moet worden gekoppeld.

Als u een door het systeem toegewezen identiteit wilt gebruiken voor toegang tot de sleutelkluis, laat u userIdentity leeg. Stel anders de resource-id van de identiteit in.

U kunt de Azure Resource Manager-sjabloon implementeren met behulp van de Azure Portal of met behulp van PowerShell.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

De sleutelversie bijwerken

Wanneer u een nieuwe versie van een sleutel maakt, moet u het cluster bijwerken om de nieuwe versie te gebruiken. Roep Get-AzKeyVaultKey eerst aan om de nieuwste versie van de sleutel op te halen. Werk vervolgens de eigenschappen van de sleutelkluis van het cluster bij om de nieuwe versie van de sleutel te gebruiken, zoals wordt weergegeven in Versleuteling inschakelen met door de klant beheerde sleutels.

Volgende stappen

• Azure Data Explorer-clusters beveiligen in Azure
• Beheerde identiteiten configureren voor uw Azure Data Explorer-cluster
• Uw cluster beveiligen met schijfversleuteling in Azure Data Explorer