針對 Azure HPC Cache 使用客戶管理的加密金鑰
您可以使用 Azure 金鑰保存庫來控制用來加密 Azure HPC Cache 中資料的金鑰擁有權。 本文說明如何使用客戶管理的金鑰進行快取資料加密。
注意
儲存在 Azure 中的所有資料,包括快取磁片上,預設會使用 Microsoft 管理的金鑰進行待用加密。 如果您想要管理用來加密資料的金鑰,您只需要遵循本文中的步驟。
Azure HPC Cache 也會受到 保存快取資料之受控磁片上的 VM 主機加密 保護,即使您為快取磁片新增客戶金鑰也一樣。 為雙重加密新增客戶管理的金鑰,可提供高安全性需求之客戶的額外安全性層級。 如需詳細資訊,請閱讀 Azure 磁片儲存體 的伺服器端加密。
有三個步驟可啟用 Azure HPC Cache 的客戶自控金鑰加密:
設定 Azure 金鑰保存庫來儲存金鑰。
建立 Azure HPC Cache 時,請選擇客戶管理的金鑰加密,並指定要使用的金鑰保存庫和金鑰。 或者,為快取提供受控識別,以用來存取金鑰保存庫。
根據您在此步驟中所做的選擇,您可能可以略過步驟 3。 如需詳細資訊,請參閱 為快取 選擇受控識別選項。
如果使用 系統指派的受控識別 或 未設定金鑰保存庫存取 權的使用者指派身分識別:請移至新建立的快取,並授權它存取金鑰保存庫。
如果受控識別尚未存取 Azure 金鑰保存庫,則在從新建立的快取授權之後,您的加密才會完全設定(步驟 3)。
如果您使用系統管理的身分識別,則會在建立快取時建立身分識別。 您必須將快取的身分識別傳遞至金鑰保存庫,才能在建立快取之後成為授權的使用者。
如果您指派已具有金鑰保存庫存取權的使用者受控識別,則可以略過此步驟。
建立快取之後,您無法在客戶管理的金鑰與 Microsoft 管理的金鑰之間變更。 不過,如果您的快取使用客戶管理的金鑰,您可以 視需要變更 加密金鑰、金鑰版本和金鑰保存庫。
瞭解金鑰保存庫和金鑰需求
金鑰保存庫和金鑰必須符合這些需求,才能使用 Azure HPC Cache。
金鑰保存庫屬性:
- 訂 用帳戶 - 使用用於快取的相同訂用帳戶。
- 區域 - 金鑰保存庫必須位於與 Azure HPC Cache 相同的區域中。
- 定價層 - 標準層足以與 Azure HPC Cache 搭配使用。
- 虛刪除 - 如果尚未在金鑰保存庫上設定,Azure HPC Cache 將會啟用虛刪除。
- 清除保護 - 必須啟用清除保護。
- 存取原則 - 預設設定已足夠。
- 網路連線 - 無論您選擇的端點設定為何,Azure HPC Cache 都必須能夠存取金鑰保存庫。
索引鍵屬性:
- 金鑰類型 - RSA
- RSA 金鑰大小 - 2048
- 已啟用 - 是
金鑰保存庫存取權限:
建立 Azure HPC Cache 的使用者必須具有相當於 金鑰保存庫參與者角色 的許可權。 設定和管理 Azure 金鑰保存庫需要相同的許可權。
如需詳細資訊,請參閱 安全存取金鑰保存庫 。
選擇快取的受控識別選項
您的 HPC Cache 會使用其受控識別認證來連線到金鑰保存庫。
Azure HPC Cache 可以使用兩種受控識別:
系統指派的 受控識別 - 自動為您快取建立的唯一身分識別。 此受控識別只有在 HPC Cache 存在時才會存在,而且無法直接加以管理或修改。
使用者指派的 受控識別 - 與快取分開管理的獨立身分識別認證。 您可以設定使用者指派的受控識別,其具有您想要的存取權,並在多個 HPC Caches 中使用。
如果您在建立受控識別時未將受控識別指派給快取,Azure 會自動為快取建立系統指派的受控識別。
透過使用者指派的受控識別,您可以提供已存取金鑰保存庫的身分識別。 (例如,它已新增至金鑰保存庫存取原則,或具有允許存取的 Azure RBAC 角色。如果您使用系統指派的身分識別,或提供沒有存取權的受控識別,您必須在建立之後向快取要求存取權。 這是手動步驟,如下 所述步驟 3 。
深入瞭解 受控識別
1.設定 Azure 金鑰保存庫
您可以在建立快取之前設定金鑰保存庫和金鑰,或在快取建立時進行。 請確定這些資源符合上述 需求 。
在快取建立期間,您必須指定保存庫、金鑰和金鑰版本,以用於快取的加密。
如需詳細資訊, 請參閱 Azure 金鑰保存庫檔 。
注意
Azure 金鑰保存庫必須使用相同的訂用帳戶,且位於與 Azure HPC Cache 相同的區域中。 請確定您選擇的 區域支援這兩個產品 。
2.使用已啟用客戶管理的金鑰建立快取
建立 Azure HPC Cache 時,您必須指定加密金鑰來源。 遵循建立 Azure HPC Cache 中的 指示,並在 [磁片加密金鑰 ] 頁面中指定金鑰保存庫和金鑰 。 您可以在快取建立期間建立新的金鑰保存庫和金鑰。
提示
如果 [磁片加密金鑰 ] 頁面未出現,請確定您的快取位於其中 一個支援的區域 。
建立快取的使用者必須具有等於 金鑰保存庫參與者角色或更高許可權 的許可權。
按一下按鈕以啟用私人管理金鑰。 變更此設定之後,金鑰保存庫設定隨即出現。
按一下 [ 選取金鑰保存庫 ] 以開啟金鑰選取頁面。 選擇或建立金鑰保存庫和金鑰,以加密此快取磁片上的資料。
如果您的 Azure 金鑰保存庫未出現在清單中,請檢查下列需求:
- 快取是否與金鑰保存庫位於相同的訂用帳戶中?
- 快取是否位於與金鑰保存庫相同的區域中?
- Azure 入口網站與金鑰保存庫之間是否有網路連線?
選取保存庫之後,請從可用的選項中選取個別金鑰,或建立新的金鑰。 金鑰必須是 2048 位 RSA 金鑰。
指定所選索引鍵的版本。 深入瞭解 Azure 金鑰保存庫 檔中 的版本設定 。
這些設定是選擇性的:
如果您想要使用此快取的特定受控識別,請選取 [受控識別 ] 區段中指派 的使用者,然後選取要使用的身分識別。 如需協助, 請閱讀受控識別檔 。
提示
如果您傳遞已設定存取金鑰保存庫的身分識別,則使用者指派的受控識別可以簡化快取建立。 使用系統指派的受控識別,您必須在建立快取之後採取額外的步驟,才能授權快取新建立的系統指派身分識別使用金鑰保存庫。
注意
建立快取之後,您無法變更指派的身分識別。
繼續進行其餘的規格,並建立快取,如建立 Azure HPC Cache 中所述 。
3.授權 Azure 金鑰保存庫來自快取的加密(如有需要)
注意
如果您在建立快取時提供具有金鑰保存庫存取權的使用者指派受控識別,則不需要此步驟。
幾分鐘後,新的 Azure HPC Cache 會出現在您的Azure 入口網站中。 移至 [ 概 觀] 頁面,以授權它存取您的 Azure 金鑰保存庫,並啟用客戶管理的金鑰加密。
提示
快取可能會出現在 [部署進行中] 訊息之前的資源清單中。 在一兩分鐘之後檢查您的資源清單,而不是等待成功通知。
建立快取之後,您必須在 90 分鐘內授權加密。 如果您未完成此步驟,快取將會逾時並失敗。 必須重新建立失敗的快取,因此無法修正。
快取會顯示正在等候金鑰 的狀態 。 按一下頁面頂端的 [ 啟用加密] 按鈕,授權快取存取指定的金鑰保存庫。
按一下 [ 啟用加密 ],然後按一下 [ 是 ] 按鈕,授權快取使用加密金鑰。 此動作也會啟用金鑰保存庫上的虛刪除和清除保護(如果尚未啟用)。
快取要求存取金鑰保存庫之後,即可建立並加密儲存快取資料的磁片。
授權加密之後,Azure HPC Cache 會經過數分鐘的設定,以建立加密的磁片和相關基礎結構。
更新金鑰設定
您可以從Azure 入口網站變更快取的金鑰保存庫、金鑰或金鑰版本。 按一下快取的 [加密 設定] 連結,以開啟 [ 客戶金鑰設定 ] 頁面。
您無法變更客戶自控金鑰與系統管理金鑰之間的快取。
按一下 [ 變更金鑰 ] 連結,然後按一下 [ 變更金鑰保存庫]、[金鑰] 或 [版本 ] 以開啟金鑰選取器。
清單中的金鑰保存庫與這個快取位於相同訂用帳戶和相同區域。
選擇新的加密金鑰值之後,按一下 [ 選取 ]。 確認頁面隨即出現,其中包含新的值。 按一下 [ 儲存 ] 以完成選取專案。
深入瞭解 Azure 中客戶管理的金鑰
這些文章將進一步說明如何使用 Azure 金鑰保存庫和客戶管理的金鑰來加密 Azure 中的資料:
- Azure 儲存體加密概觀
- 使用客戶自控金鑰 的磁片加密 - 搭配使用 Azure 金鑰保存庫與受控磁片的檔,與 Azure HPC Cache 類似
下一步
建立 Azure HPC Cache 並授權金鑰保存庫型加密之後,請繼續設定快取,方法是授與資料來源的存取權。