Kund hanterade nycklar – översikt
Med Azure Managed Instance för Apache Cassandra kan du kryptera data på disk med din egen nyckel. Den här artikeln beskriver hur du implementerar kund hanterade nycklar med Azure Key Vault.
Förutsättningar
- Konfigurera en hemlighet med hjälp av Azure Key Vault. Läs mer om Azure Key Vault här.
- Distribuerade ett virtuellt nätverk i resursgruppen och tillämpade rollen nätverksdeltagare med Azure Cosmos DB tjänstens huvudnamn som medlem. Mer information finns i Skapa en hanterad Azure-instans för Apache Cassandra-kluster med Azure CLI.
Viktigt
Den här artikeln kräver Azure CLI version 2.30.0 eller senare. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.
Skapa ett kluster med system tilldelad identitet
Anteckning
Se till att du har tillämpat rätt roll på det virtuella nätverket innan du försöker distribuera ett hanterat instanskluster för att undvika distributionsfel, vilket anges i förutsättningar:
az role assignment create \
--assignee a232010e-820c-4083-83bb-3ace5fc29d0b \
--role 4d97b98b-1d4f-4787-a291-c67834d212e7 \
--scope /subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>
Skapa ett kluster genom att ange identitetstyp som SystemAssigned och
<subscriptionID>ersätta , , och med lämpliga<resourceGroupName><vnetName><subnetName>värden:subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>" cluster="thvankra-cmk-test-wcus" group="thvankra-nova-cmk-test" region="westcentralus" password="PlaceholderPassword" az managed-cassandra cluster create \ --identity-type SystemAssigned \ --resource-group $group \ --location $region \ --cluster-name $cluster \ --delegated-management-subnet-id $subnet \ --initial-cassandra-admin-password $passwordHämta identitetsinformationen för det skapade klustret
az managed-cassandra cluster show -c $cluster -g $groupUtdata innehåller ett identitetsavsnitt som liknar nedanstående. Kopiera
principalIdför senare användning:"identity": { "principalId": "1aa51c7f-196a-4013-a656-1ccabfdc54e0", "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47", "type": "SystemAssigned" }I Azure Key Vault du en åtkomstprincip till dina nycklar:
Tilldela
getwrapunwrapnyckelbehörigheterna och för nyckelvalvet till klustretprincipalIdsom hämtades ovan. I portalen kan du också leta upp klustrets huvudnamn-ID efter klustrets namn:
Varning
Kontrollera att Rensningsskydd är aktiverat för nyckelvalvet. Datacenterdistributioner misslyckas utan det.
När du har
addklickat på för att lägga till åtkomstprincipen ska du spara den:
Hämta nyckelidentifieraren genom att välja din nyckel:
Klicka på aktuell version:
Spara nyckelidentifieraren för senare användning:
Skapa datacentret genom att ersätta med samma nyckel (URI:n som du kopierade i föregående steg) för kryptering för både hanterad
<key identifier>disk (managed-disk-customer-key-uri) och säkerhetskopieringslagring (backup-storage-customer-key-uri) enligt nedan (använd samma värde som du användesubnettidigare):managedDiskKeyUri = "<key identifier>" backupStorageKeyUri = "<key identifier>" group="thvankra-nova-cmk-test" region="westcentralus" cluster="thvankra-cmk-test-2" dc="dc1" nodecount=3 subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>" az managed-cassandra datacenter create \ --resource-group $group \ --cluster-name $cluster \ --data-center-name $dc \ --managed-disk-customer-key-uri $managedDiskKeyUri \ --backup-storage-customer-key-uri $backupStorageKeyUri \ --node-count $nodecount \ --delegated-subnet-id $subnet \ --data-center-location $region \ --sku Standard_DS14_v2Ett befintligt kluster utan identitetsinformation kan tilldelas en identitet enligt nedan:
az managed-cassandra cluster update --identity-type SystemAssigned -g $group -c $cluster
Rotera nyckeln
Nedan visas kommandot för att uppdatera nyckeln:
managedDiskKeyUri = "<key identifier>" backupStorageKeyUri = "<key identifier>" az managed-cassandra datacenter update \ --resource-group $group \ --cluster-name $cluster \ --data-center-name $dc \ --managed-disk-customer-key-uri $managedDiskKeyUri \ --backup-storage-customer-key-uri $backupStorageKeyUri