Konfigurera kund hanterade nycklar för kryptering av Azure Event Hubs vilodata
Azure Event Hubs tillhandahåller kryptering av vilodata med Azure Storage Service Encryption (Azure SSE). Tjänsten Event Hubs använder Azure Storage för att lagra data. Alla data som lagras med Azure Storage krypteras med microsoft-hanterade nycklar. Om du använder en egen nyckel (kallas även Bring Your Own Key (BYOK) eller kundstyrd nyckel) krypteras data fortfarande med den Microsoft-hanterade nyckeln, men dessutom krypteras den Microsoft-hanterade nyckeln med hjälp av den kund hanterade nyckeln. Med den här funktionen kan du skapa, rotera, inaktivera och återkalla åtkomst till kund hanterade nycklar som används för att kryptera Microsoft-hanterade nycklar. Att aktivera BYOK-funktionen är en konfigurationsprocess en gång i namnområdet.
Viktigt
- BYOK-funktionen stöds av premium- och dedikerade nivåer av Event Hubs.
- Krypteringen kan bara aktiveras för nya eller tomma namnområden. Om namnområdet innehåller händelsehubbb misslyckas krypteringsåtgärden.
Du kan använda Azure Key Vault för att hantera dina nycklar och granska din nyckelanvändning. Du kan antingen skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda Azure Key Vault-API:er för att generera nycklar. Mer information om Azure Key Vault finns i Vad är Azure Key Vault?
Den här artikeln visar hur du konfigurerar ett nyckelvalv med kund hanterade nycklar med hjälp av Azure Portal. Information om hur du skapar ett nyckelvalv med hjälp av Azure Portal finns i Snabbstart: Skapa en Azure Key Vault med hjälp av Azure Portal.
Aktivera kund hanterade nycklar (Azure Portal)
Följ dessa steg om du vill aktivera Azure Portal i den här funktionen. Om du använder den dedikerade nivån går du först Event Hubs Dedicated klustret.
Välj det namnområde som du vill aktivera BYOK för.
På Inställningar i namnområdet Event Hubs väljer du Kryptering.
Välj den kund hanterade nyckelkryptering i vila som du ser i följande bild.
Konfigurera ett nyckelvalv med nycklar
När du har aktivera kund hanterade nycklar måste du associera den kund hanterade nyckeln med Azure Event Hubs namnområdet. Event Hubs stöder endast Azure Key Vault. Om du aktiverar alternativet Kryptering med kund hanterad nyckel i föregående avsnitt måste du importera nyckeln till Azure Key Vault. Nycklarna måste också ha mjuk borttagning och Rensa inte konfigurerat för nyckeln. De här inställningarna kan konfigureras med Hjälp av PowerShell eller CLI.
Om du vill skapa ett nytt nyckelvalv följer du Azure Key Vault snabbstart. Mer information om hur du importerar befintliga nycklar finns i Om nycklar, hemligheter och certifikat.
Viktigt
Användning av kund hanterade nycklar med Azure Event Hubs kräver att nyckelvalvet har två obligatoriska egenskaper konfigurerade. De är: Mjuk borttagning och Rensa inte. Dessa egenskaper är aktiverade som standard när du skapar ett nytt nyckelvalv i Azure Portal. Om du behöver aktivera dessa egenskaper i ett befintligt nyckelvalv måste du dock använda antingen PowerShell eller Azure CLI.
Om du vill aktivera både mjuk borttagning och rensningsskydd när du skapar ett valv använder du kommandot az keyvault create.
az keyvault create --name ContosoVault --resource-group ContosoRG --location westus --enable-soft-delete true --enable-purge-protection trueOm du vill lägga till rensningsskydd i ett befintligt valv (som redan har mjuk borttagning aktiverat) använder du kommandot az keyvault update.
az keyvault update --name ContosoVault --resource-group ContosoRG --enable-purge-protection trueSkapa nycklar genom att följa dessa steg:
Om du vill skapa en ny nyckel väljer du Generera/importera på menyn Nycklar under Inställningar.
Ange Alternativ till Generera och ge nyckeln ett namn.
Du kan nu välja den här nyckeln för att associera Event Hubs namnområdet för kryptering från listrutan.
Anteckning
För redundans kan du lägga till upp till tre nycklar. Om en av nycklarna har upphört att gälla eller inte är tillgänglig används de andra nycklarna för kryptering.
Fyll i informationen för nyckeln och klicka på Välj. Detta aktiverar kryptering av den Microsoft-hanterade nyckeln med din nyckel (kund hanterad nyckel).
Hanterade identiteter
Det finns två typer av hanterade identiteter som du kan tilldela till Event Hubs namnområde.
System-tilldelad: Du kan aktivera en hanterad identitet direkt på Event Hubs namnområde. När du aktiverar en system tilldelad hanterad identitet skapas en identitet i Azure AD som är kopplad till livscykeln för den Event Hubs namnområdet. Så när namnområdet tas bort tar Azure automatiskt bort identiteten åt dig. Endast den Azure-resursen (namnrymden) kan använda den här identiteten för att begära token från Azure AD.
Användartilldelning: Du kan också skapa en hanterad identitet som en fristående Azure-resurs, som kallas användartilldelningsidentitet. Du kan skapa en användar tilldelad hanterad identitet och tilldela den till en eller Event Hubs namnområden. När det gäller användar tilldelade hanterade identiteter hanteras identiteten separat från de resurser som använder den. De är inte knutna till namnområdets livscykel. Du kan uttryckligen ta bort en användar tilldelad identitet när du inte längre behöver den.
Mer information finns i Vad är hanterade identiteter för Azure-resurser?
Kryptera med hjälp av system tilldelade identiteter (mall)
Det här avsnittet visar hur du utför följande uppgifter med hjälp Azure Resource Manager mallar.
- Skapa ett Event Hubs med en hanterad tjänstidentitet.
- Skapa ett nyckelvalv och ge tjänstidentiteten åtkomst till nyckelvalvet.
- Uppdatera Event Hubs med nyckelvalvsinformationen (nyckel/värde).
Skapa ett Event Hubs kluster och namnområde med hanterad tjänstidentitet
Det här avsnittet visar hur du skapar ett Azure Event Hubs med hanterad tjänstidentitet med hjälp av en Azure Resource Manager mall och PowerShell.
Skapa en Azure Resource Manager för att skapa ett Event Hubs med en hanterad tjänstidentitet. Namnge filen: CreateEventHubClusterAndNamespace.jspå:
{ "$schema":"https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion":"1.0.0.0", "parameters":{ "clusterName":{ "type":"string", "metadata":{ "description":"Name for the Event Hub cluster." } }, "namespaceName":{ "type":"string", "metadata":{ "description":"Name for the Namespace to be created in cluster." } }, "location":{ "type":"string", "defaultValue":"[resourceGroup().location]", "metadata":{ "description":"Specifies the Azure location for all resources." } } }, "resources":[ { "type":"Microsoft.EventHub/clusters", "apiVersion":"2018-01-01-preview", "name":"[parameters('clusterName')]", "location":"[parameters('location')]", "sku":{ "name":"Dedicated", "capacity":1 } }, { "type":"Microsoft.EventHub/namespaces", "apiVersion":"2018-01-01-preview", "name":"[parameters('namespaceName')]", "location":"[parameters('location')]", "identity":{ "type":"SystemAssigned" }, "sku":{ "name":"Standard", "tier":"Standard", "capacity":1 }, "properties":{ "isAutoInflateEnabled":false, "maximumThroughputUnits":0, "clusterArmId":"[resourceId('Microsoft.EventHub/clusters', parameters('clusterName'))]" }, "dependsOn":[ "[resourceId('Microsoft.EventHub/clusters', parameters('clusterName'))]" ] } ], "outputs":{ "EventHubNamespaceId":{ "type":"string", "value":"[resourceId('Microsoft.EventHub/namespaces',parameters('namespaceName'))]" } } }Skapa en mallparameterfil med namnet:CreateEventHubClusterAndNamespaceParams.jspå.
Anteckning
Ersätt följande värden:
<EventHubsClusterName>– Namnet på ditt Event Hubs kluster<EventHubsNamespaceName>– Namnet på Event Hubs namnområdet<Location>– Platsen för Event Hubs namnområdet
{ "$schema":"https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#", "contentVersion":"1.0.0.0", "parameters":{ "clusterName":{ "value":"<EventHubsClusterName>" }, "namespaceName":{ "value":"<EventHubsNamespaceName>" }, "location":{ "value":"<Location>" } } }Kör följande PowerShell-kommando för att distribuera mallen för att skapa Event Hubs namnområdet. Hämta sedan ID:t för Event Hubs för att använda det senare. Ersätt
{MyRG}med namnet på resursgruppen innan du kör kommandot .$outputs = New-AzResourceGroupDeployment -Name CreateEventHubClusterAndNamespace -ResourceGroupName {MyRG} -TemplateFile ./CreateEventHubClusterAndNamespace.json -TemplateParameterFile ./CreateEventHubClusterAndNamespaceParams.json $EventHubNamespaceId = $outputs.Outputs["eventHubNamespaceId"].value
Bevilja Event Hubs för namnområdesidentitet till nyckelvalvet
Kör följande kommando för att skapa ett nyckelvalv med rensningsskydd och mjuk borttagning aktiverat.
New-AzureRmKeyVault -Name {keyVaultName} -ResourceGroupName {RGName} -Location {location} -EnableSoftDelete -EnablePurgeProtection(OR)
Kör följande kommando för att uppdatera ett befintligt nyckelvalv. Ange värden för resursgrupps- och nyckelvalvsnamn innan du kör kommandot.
($updatedKeyVault = Get-AzureRmResource -ResourceId (Get-AzureRmKeyVault -ResourceGroupName {RGName} -VaultName {keyVaultName}).ResourceId).Properties| Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"-Force | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true" -ForceAnge åtkomstprincipen för nyckelvalvet så att den hanterade identiteten för Event Hubs kan komma åt nyckelvärdet i nyckelvalvet. Använd ID:t för Event Hubs namnområdet från föregående avsnitt.
$identity = (Get-AzureRmResource -ResourceId $EventHubNamespaceId -ExpandProperties).Identity Set-AzureRmKeyVaultAccessPolicy -VaultName {keyVaultName} -ResourceGroupName {RGName} -ObjectId $identity.PrincipalId -PermissionsToKeys get,wrapKey,unwrapKey,list
Kryptera data i Event Hubs med kund hanterad nyckel från nyckelvalvet
Du har gjort följande hittills:
- Skapat ett Premium-namnområde med en hanterad identitet.
- Skapa ett nyckelvalv och bevilja den hanterade identiteten åtkomst till nyckelvalvet.
I det här steget uppdaterar du Event Hubs med nyckelvalvsinformation.
Skapa en JSON-fil CreateEventHubClusterAndNamespace.jspå med följande innehåll:
{ "$schema":"https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion":"1.0.0.0", "parameters":{ "clusterName":{ "type":"string", "metadata":{ "description":"Name for the Event Hub cluster." } }, "namespaceName":{ "type":"string", "metadata":{ "description":"Name for the Namespace to be created in cluster." } }, "location":{ "type":"string", "defaultValue":"[resourceGroup().location]", "metadata":{ "description":"Specifies the Azure location for all resources." } }, "keyVaultUri":{ "type":"string", "metadata":{ "description":"URI of the KeyVault." } }, "keyName":{ "type":"string", "metadata":{ "description":"KeyName." } } }, "resources":[ { "type":"Microsoft.EventHub/namespaces", "apiVersion":"2018-01-01-preview", "name":"[parameters('namespaceName')]", "location":"[parameters('location')]", "identity":{ "type":"SystemAssigned" }, "sku":{ "name":"Standard", "tier":"Standard", "capacity":1 }, "properties":{ "isAutoInflateEnabled":false, "maximumThroughputUnits":0, "clusterArmId":"[resourceId('Microsoft.EventHub/clusters', parameters('clusterName'))]", "encryption":{ "keySource":"Microsoft.KeyVault", "keyVaultProperties":[ { "keyName":"[parameters('keyName')]", "keyVaultUri":"[parameters('keyVaultUri')]" } ] } } } ] }Skapa en mallparameterfil: UpdateEventHubClusterAndNamespaceParams.jspå.
Anteckning
Ersätt följande värden:
<EventHubsClusterName>– Namnet på ditt Event Hubs kluster.<EventHubsNamespaceName>– Namnet på Event Hubs namnområdet<Location>– Platsen för Event Hubs namnområdet<KeyVaultName>– Namnet på ditt nyckelvalv<KeyName>– Namnet på nyckeln i nyckelvalvet
{ "$schema":"https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#", "contentVersion":"1.0.0.0", "parameters":{ "clusterName":{ "value":"<EventHubsClusterName>" }, "namespaceName":{ "value":"<EventHubsNamespaceName>" }, "location":{ "value":"<Location>" }, "keyName":{ "value":"<KeyName>" }, "keyVaultUri":{ "value":"https://<KeyVaultName>.vault.azure.net" } } }Kör följande PowerShell-kommando för att distribuera Resource Manager mall. Ersätt
{MyRG}med namnet på resursgruppen innan du kör kommandot .New-AzResourceGroupDeployment -Name UpdateEventHubNamespaceWithEncryption -ResourceGroupName {MyRG} -TemplateFile ./UpdateEventHubClusterAndNamespace.json -TemplateParameterFile ./UpdateEventHubClusterAndNamespaceParams.json
Kryptera med användar tilldelade identiteter (mall)
- Skapa en användar tilldelad identitet.
- Skapa ett nyckelvalv och bevilja åtkomst till den användar tilldelade identiteten via åtkomstprinciper.
- Skapa ett Event Hubs med den hanterade användaridentiteten och informationen om nyckelvalvet.
Skapa en användartilldelad identitet
Följ anvisningarna i artikeln Skapa en användar tilldelad hanterad identitet för att skapa en användar tilldelad identitet. Du kan också skapa en användar tilldelad identitet med hjälp av CLI, PowerShell, Azure Resource Manager malloch REST.
Anteckning
Du kan tilldela upp till 4 användaridentiteter till ett namnområde. Dessa associationer tas bort när namnområdet tas bort eller när du skickar identity -> type i mallen till None .
Skapa ett nyckelvalv och bevilja åtkomst till användar tilldelad identitet
Kör följande kommando för att skapa ett nyckelvalv med rensningsskydd och mjuk borttagning aktiverat.
New-AzureRmKeyVault -Name "{keyVaultName}" -ResourceGroupName {RGName} -Location "{location}" -EnableSoftDelete -EnablePurgeProtection(OR)
Kör följande kommando för att uppdatera ett befintligt nyckelvalv. Ange värden för resursgrupps- och nyckelvalvsnamn innan du kör kommandot.
($updatedKeyVault = Get-AzureRmResource -ResourceId (Get-AzureRmKeyVault -ResourceGroupName {RGName} -VaultName {keyVaultName}).ResourceId).Properties| Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"-Force | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true" -ForceHämta ID:t för tjänstens huvudnamn för användaridentiteten med hjälp av följande PowerShell-kommando. I det här exemplet
ud1är den användar tilldelade identitet som ska användas för kryptering.$servicePrincipal=Get-AzADServicePrincipal -SearchString "ud1"Ge den användar tilldelade identiteten åtkomst till nyckelvalvet genom att tilldela en åtkomstprincip.
Set-AzureRmKeyVaultAccessPolicy -VaultName {keyVaultName} -ResourceGroupName {RGName} -ObjectId $servicePrincipal.Id -PermissionsToKeys get,wrapKey,unwrapKey,listAnteckning
Du kan lägga till upp till 3 nycklar, men användaridentiteten som används för kryptering ska vara samma för alla nycklar. För närvarande stöds endast en krypteringsidentitet.
Skapa ett Event Hubs-namnområde med information om användaridentitet och nyckelvalv
Det här avsnittet innehåller ett exempel som visar hur du utför följande uppgifter med en Azure Resource Manager mall.
Tilldela en användar hanterad identitet till en Event Hubs namnområde.
"identity": { "type": "UserAssigned", "userAssignedIdentities": { "[parameters('identity').userAssignedIdentity]": {} } },Aktivera kryptering på namnområdet genom att ange en nyckel från ditt nyckelvalv och den användarbaserade identiteten för att få åtkomst till nyckeln.
"encryption":{ "keySource":"Microsoft.KeyVault", "keyVaultProperties":[ { "keyName": "[parameters('keyName')]", "keyVaultUri": "[parameters('keyVaultUri')]", "identity": { "userAssignedIdentity": "[parameters('identity').userAssignedIdentity]" } } ] }
Skapa en JSON-fil CreateEventHubsNamespaceWithUserIdentityAndEncryption.jspå med följande innehåll:
{ "$schema":"https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion":"1.0.0.0", "parameters":{ "clusterName":{ "type":"string", "metadata":{ "description":"Name for the Event Hub cluster." } }, "namespaceName":{ "type":"string", "metadata":{ "description":"Name for the Namespace to be created in cluster." } }, "location":{ "type":"string", "defaultValue":"[resourceGroup().location]", "metadata":{ "description":"Specifies the Azure location for all resources." } }, "keyVaultUri":{ "type":"string", "metadata":{ "description":"URI of the KeyVault." } }, "keyName":{ "type":"string", "metadata":{ "description":"KeyName." }, "identity": { "type": "Object", "defaultValue": { "userAssignedIdentity": "" }, "metadata": { "description": "user-assigned identity." } } }, "resources":[ { "type":"Microsoft.EventHub/clusters", "apiVersion":"2018-01-01-preview", "name":"[parameters('clusterName')]", "location":"[parameters('location')]", "sku":{ "name":"Dedicated", "capacity":1 } }, { "type":"Microsoft.EventHub/namespaces", "apiVersion":"2021-01-01-preview", "name":"[parameters('namespaceName')]", "location":"[parameters('location')]", "sku":{ "name":"Standard", "tier":"Standard", "capacity":1 }, "identity": { "type": "UserAssigned", "userAssignedIdentities": { "[parameters('identity').userAssignedIdentity]": {} } }, "properties":{ "encryption":{ "keySource":"Microsoft.KeyVault", "keyVaultProperties":[ { "keyName": "[parameters('keyName')]", "keyVaultUri": "[parameters('keyVaultUri')]", "identity": { "userAssignedIdentity": "[parameters('identity').userAssignedIdentity]" } } ] } } } ] }Skapa en mallparameterfil: CreateEventHubsNamespaceWithUserIdentityAndEncryptionParams.jspå.
{ "$schema":"https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#", "contentVersion":"1.0.0.0", "parameters":{ "namespaceName":{ "value":"<EventHubsNamespaceName>" }, "location":{ "value":"<Location>" }, "keyVaultUri":{ "value":"https://<KeyVaultName>.vault.azure.net" }, "keyName":{ "value":"<KeyName>" }, "identity": { "value": { "userAssignedIdentity": "/subscriptions/<AZURE SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER MANAGED IDENTITY NAME>" } } } }Ersätt platshållarna med lämpliga värden i parameterfilen.
Platshållare värde <EventHubsNamespaceName>Namnet på Event Hubs namnområdet. <Location>Plats där du vill att namnområdet ska skapas. <KeyVaultName>Namnet på nyckelvalvet. <KeyName>Namnet på nyckeln i nyckelvalvet. <AZURE SUBSCRIPTION ID>ditt prenumerations-ID för Azure <RESOURCE GROUP NAME>Resursgrupp för den användar hanterade identiteten. <USER MANAGED IDENTITY NAME>Namnet på den användar hanterade identiteten. Kör följande PowerShell-kommando för att distribuera Resource Manager mall. Ersätt
{MyRG}med namnet på resursgruppen innan du kör kommandot.New-AzResourceGroupDeployment -Name CreateEventHubsNamespaceWithEncryption -ResourceGroupName {MyRG} -TemplateFile ./ CreateEventHubsNamespaceWithUserIdentityAndEncryption.json -TemplateParameterFile ./ CreateEventHubsNamespaceWithUserIdentityAndEncryptionParams.json
Använda både användar-tilldelade och system tilldelade identiteter
Ett namnområde kan ha både system- och användar-tilldelade identiteter samtidigt. I det här fallet type är egenskapen , som du ser i följande SystemAssigned UserAssigned exempel.
"identity": {
"type": "SystemAssigned, UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userIdentity1>" : {}
}
}
I det här scenariot kan du välja antingen den system tilldelade identiteten eller den användar tilldelade identiteten för att kryptera vilodata.
Om Resource Manager i mallen används den system hanterade identiteten om du inte identity anger något attribut. Här är ett exempelfragment.
"properties":{
"encryption":{
"keySource":"Microsoft.KeyVault",
"keyVaultProperties":[
{
"keyName":"[parameters('keyName')]",
"keyVaultUri":"[parameters('keyVaultUri')]"
}
]
}
}
Se följande exempel för att använda den användar hanterade identiteten för krypteringen. Observera att identity attributet är inställt på den användar hanterade identiteten.
"properties":{
"encryption":{
"keySource":"Microsoft.KeyVault",
"keyVaultProperties":[
{
"keyName":"[parameters('keyName')]",
"keyVaultUri":"[parameters('keyVaultUri')]",
"identity": {
"userAssignedIdentity": "[parameters('identity').userAssignedIdentity]"
}
}
]
}
}
Aktivera infrastrukturkryptering (eller dubbel) datakryptering
Om du behöver en högre säkerhetsnivå för att dina data är säkra kan du aktivera kryptering på infrastrukturnivå, vilket även kallas dubbel kryptering.
När infrastrukturkryptering är aktiverat krypteras data i Event Hubs-namnområdeskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. Därför skyddar infrastrukturkryptering Event Hubs data mot ett scenario där en av krypteringsalgoritmerna eller nycklarna kan komprometteras.
Du kan aktivera infrastrukturkryptering genom att Azure Resource Manager mallen requireInfrastructureEncryption med egenskapen i ovanståendeCreateEventHubClusterAndNamespace.js på enligt nedan.
"properties":{
"isAutoInflateEnabled":false,
"maximumThroughputUnits":0,
"clusterArmId":"[resourceId('Microsoft.EventHub/clusters', parameters('clusterName'))]",
"encryption":{
"keySource":"Microsoft.KeyVault",
"requireInfrastructureEncryption":true,
"keyVaultProperties":[
{
"keyName":"[parameters('keyName')]",
"keyVaultUri":"[parameters('keyVaultUri')]"
}
]
}
}
Rotera, återkalla och cachelagra krypteringsnycklar
Rotera krypteringsnycklarna
Du kan rotera nyckeln i nyckelvalvet med hjälp av rotationsmekanismen för Azure Key Vaults. Aktiverings- och förfallodatum kan också anges för att automatisera nyckelrotation. Tjänsten Event Hubs identifierar nya nyckelversioner och börjar använda dem automatiskt.
Återkalla åtkomst till nycklar
När du återkallar åtkomsten till krypteringsnycklarna rensas inte data från Event Hubs. Data kan dock inte nås från det Event Hubs namnområdet. Du kan återkalla krypteringsnyckeln via åtkomstprincipen eller genom att ta bort nyckeln. Läs mer om åtkomstprinciper och att skydda ditt nyckelvalv från Säker åtkomst till ett nyckelvalv.
När krypteringsnyckeln har återkallats blir Event Hubs tjänsten i det krypterade namnområdet oanvändbar. Om åtkomsten till nyckeln är aktiverad eller om borttagningsnyckeln har återställts väljer Event Hubs-tjänsten nyckeln så att du kan komma åt data från den krypterade Event Hubs namnrymden.
Cachelagring med nycklar
Instansen Event Hubs (händelsehubb) avsöker de angivna krypteringsnycklarna var 5:e minut. Den cachelagrar och använder dem till nästa avsökning, vilket är efter 5 minuter. Så länge som minst en nyckel är tillgänglig är händelsehubben tillgänglig. Om alla nycklar i listan inte är tillgängliga när de avsöks blir alla händelsehubbar otillgängliga.
Här finns mer information:
- Var femte minut avsöker Event Hubs alla kund hanterade nycklar som anges i namnområdets post:
- Om en nyckel har roterats uppdateras posten med den nya nyckeln.
- Om en nyckel har återkallats tas nyckeln bort från posten.
- Om alla nycklar har återkallats anges namnområdets krypteringsstatus till Återkallad. Data kan inte nås från Event Hubs namnområdet."
Att tänka på när du använder geo-haveriberedskap
Viktigt
Om du vill aktivera geo-dr på ett namnområde som använder BYOK-kryptering måste den sekundära namnrymden för parkoppling ha en system-tilldelad eller användar tilldelad hanterad identitet aktiverad.
Geo-haveriberedskap – kryptering med system tilldelade identiteter
Om du vill aktivera kryptering av Microsoft-hanterad nyckel med en kund hanterad nyckel konfigureras en åtkomstprincip för en systemtilldelade hanterad identitet på det angivna Azure KeyVault. Detta säkerställer kontrollerad åtkomst till Azure KeyVault från Azure Event Hubs namnområdet.
På grund av detta:
- Om Geo-haveriberedskap redan är aktiverat Event Hubs namnområdet och du vill aktivera kundhanteringsnyckel ska du
- Bryt parkopplingen.
- Konfigurera åtkomstprincipen för den system tilldelade hanterade identiteten för både den primära och sekundära namnrymden till nyckelvalvet.
- Konfigurera kryptering på det primära namnområdet.
- Koppla om de primära och sekundära namnrymderna.
- Om du vill aktivera geo-dr på en Event Hubs där kund hanterad nyckel redan har ställts in, följer du dessa steg:
- Konfigurera åtkomstprincipen för den hanterade identiteten för det sekundära namnområdet till nyckelvalvet.
- Koppla ihop de primära och sekundära namnrymderna.
Geo-haveriberedskap – kryptering med användar tilldelade identiteter
Här är några rekommendationer:
- Skapa en hanterad identitet och Key Vault behörigheter till din hanterade identitet.
- Lägg till identiteten som en användar tilldelad identitet och aktivera kryptering med identiteten i båda namnrymderna.
- Koppla ihop namnområden
Villkor för att aktivera geo-dr och kryptering med User-Assigned identiteter:
- Sekundärt namnområde måste redan ha Kryptering aktiverat med en User-Assigned identitet om den ska parkopplas med ett primärt namnområde som har Kryptering aktiverat.
- Det går inte att aktivera kryptering på en redan kopplad primär, även om den sekundära har en User-Assigned identitet som är associerad med namnområdet.
Konfigurera diagnostikloggar
Om du ställer in diagnostikloggar för BYOK-aktiverade namnrymder får du nödvändig information om åtgärderna. Dessa loggar kan aktiveras och senare strömmas till en händelsehubb eller analyseras via logganalys eller strömmas till lagring för att utföra anpassade analyser. Mer information om diagnostikloggar finns i Översikt över Azure-diagnostikloggar. Information om schemat finns i Övervaka datareferens.
Nästa steg
Se följande artiklar: