Müşteri tarafından yönetilen anahtarlar - genel bakış

  • Makale
  • Okumak için 2 dakika

Apache Cassandra için Azure Yönetilen Örneği, kendi anahtarınızı kullanarak diskte verileri şifreleme özelliği sağlar. Bu makalede, yönetilen anahtarlarla müşteri tarafından yönetilen anahtarların nasıl Azure Key Vault.

Önkoşullar

  • Gizli diziyi Azure Key Vault. Daha fazla bilgi için Azure Key Vault buradan öğrenin.
  • Kaynak grubunuz içinde bir sanal ağ dağıttınız ve Azure Cosmos DB hizmet sorumlusuyla ağ katılımcısı rolünü üye olarak uyguladınız. Daha fazla ayrıntı için bkz. Azure CLI kullanarak Apache Cassandra kümesi için Azure Yönetilen Örneği oluşturma.

Önemli

Bu makale, Azure CLI 2.30.0 veya daha yeni bir sürümü gerektirir. Azure Cloud Shell kullanıyorsanız, en son sürüm zaten yüklüdür.

Sistem tarafından atanan kimlikle küme oluşturma

Not

Önkullarda belirtildiği gibi, dağıtım hatasını önlemek için, yönetilen örnek kümesi dağıtmayı denemeden önce sanal ağınıza uygun rolün uygulandığından emin olun:

    az role assignment create \
    --assignee a232010e-820c-4083-83bb-3ace5fc29d0b \
    --role 4d97b98b-1d4f-4787-a291-c67834d212e7 \
    --scope /subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>

  1. Kimlik türünü SystemAssigned olarak belirterek, ve değerlerini uygun <subscriptionID> <resourceGroupName> <vnetName> <subnetName> değerlerle değiştirerek bir küme oluşturun:

    subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"
cluster="thvankra-cmk-test-wcus"
group="thvankra-nova-cmk-test"
region="westcentralus"
password="PlaceholderPassword"

az managed-cassandra cluster create \
    --identity-type SystemAssigned \
    --resource-group $group \
    --location $region \
    --cluster-name $cluster \
    --delegated-management-subnet-id $subnet \
    --initial-cassandra-admin-password $password

  2. Oluşturulan kümenin kimlik bilgilerini al

    az managed-cassandra cluster show -c $cluster -g $group

    Çıktı, aşağıdakine benzer bir kimlik bölümü içerir. Daha principalId sonra kullanmak üzere kopyalayın:

      "identity": {
    "principalId": "1aa51c7f-196a-4013-a656-1ccabfdc54e0",
    "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
    "type": "SystemAssigned"
  }

  3. Bu Azure Key Vault anahtarlarınıza bir erişim ilkesi oluşturun:

    Key Vault Erişim ilkesi 1

  4. Yukarıda get wrap alınan kümeye anahtar kasası üzerindeki ve anahtar unwrap principalId izinlerini attayabilirsiniz. Portalda kümenin Asıl Kimliğini kümenin adıyla da bulabilirsiniz:

    Key Vault Erişim ilkesi 2

    Uyarı

    Anahtar kasasında Temizleme Koruması'nın etkinleştirildiğinden emin olun. Veri merkezi dağıtımları bu olmadan başarısız olur.

  5. Erişim ilkesi eklemek add için üzerine tıklarken, ilkeyi kaydetmeyi emin olun:

    Erişim İlkesini Kaydetme

  6. Anahtar tanımlayıcısını almak için anahtarınızı seçin:

    Anahtar seçme

  7. Geçerli sürüme tıklayın:

    Geçerli sürümü seçin

  8. Anahtar tanımlayıcısını daha sonra kullanmak üzere kaydedin:

    Anahtar tanımlayıcısı 2. adım

  9. Aşağıda gösterildiği gibi hem yönetilen <key identifier> disk (yönetilen-disk-müşteri-anahtarı-uri) hem de yedekleme depolama alanı (backup-storage-customer-key-uri) şifrelemesi için değerini aynı anahtarla (önceki adımda kopyalanan URI) değiştirerek veri merkezi oluşturun (daha önce kullanmak istediğiniz değeri subnet kullanın):

    managedDiskKeyUri = "<key identifier>"
backupStorageKeyUri = "<key identifier>"
group="thvankra-nova-cmk-test"
region="westcentralus"
cluster="thvankra-cmk-test-2"
dc="dc1"
nodecount=3
subnet="/subscriptions/<subscriptionID>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/virtualNetworks/<vnetName>/subnets/<subnetName>"

az managed-cassandra datacenter create \
    --resource-group $group \
    --cluster-name $cluster \
    --data-center-name $dc \
    --managed-disk-customer-key-uri $managedDiskKeyUri \
    --backup-storage-customer-key-uri $backupStorageKeyUri \
    --node-count $nodecount \
    --delegated-subnet-id $subnet \
    --data-center-location $region \
    --sku Standard_DS14_v2

  10. Kimlik bilgilerine sahip mevcut bir kümeye aşağıda gösterildiği gibi bir kimlik atanabilir:

    az managed-cassandra cluster update --identity-type SystemAssigned -g $group -c $cluster

Anahtarı döndürme

  1. Anahtarı güncelleştirme komutu aşağıda verilmiştir:

    managedDiskKeyUri = "<key identifier>"
backupStorageKeyUri = "<key identifier>"

az managed-cassandra datacenter update \
    --resource-group $group \
    --cluster-name $cluster \ 
    --data-center-name $dc \
    --managed-disk-customer-key-uri $managedDiskKeyUri \
    --backup-storage-customer-key-uri $backupStorageKeyUri