Configure las claves administradas por el cliente para Azure Load Testing con Azure Key Vault

Azure Load Testing cifra automáticamente todos los datos almacenados en el recurso de prueba de carga con claves que Microsoft proporciona (claves administradas por el servicio). Opcionalmente, puede agregar una segunda capa de seguridad proporcionando también sus propias claves (administradas por el cliente). Las claves administradas por el cliente ofrecen una mayor flexibilidad para controlar el acceso y usar directivas de rotación de claves.

Las claves que provee se almacenan de manera segura mediante Azure Key Vault. Puede crear una clave distinta para cada recurso de pruebas de carga de Azure que habilite con claves administradas por el cliente.

Cuando utilice claves de cifrado administradas por el cliente, deberá especificar una identidad administrada por el usuario para recuperar las claves de Azure Key Vault.

Azure Load Testing usa la clave administrada por el cliente para cifrar los siguientes datos en el recurso de prueba de carga:

• Script de prueba y archivos de configuración
• Secretos
• Variables de entorno

Nota:

Azure Load Testing no cifra los datos de las métricas de una ejecución de prueba con su clave administrada por el cliente, incluidos los nombres del muestreador de métricas de JMeter que especifique en el script de JMeter. Microsoft tiene acceso a estos datos de métricas.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

• Una identidad gestionada existente asignada por el usuario. Para obtener más información sobre cómo crear una identidad administrada asignada por el usuario, consulte Administración de identidades administradas asignadas por el usuario.

Limitaciones

• Las claves administradas por el cliente solo están disponibles para los nuevos recursos de Azure Load Testing. Debe configurar la clave durante la creación de recursos.

• Una vez habilitado el cifrado de claves administradas por el cliente en un recurso, no se puede deshabilitar.

• Azure Load Testing no puede rotar automáticamente la clave administrada por el cliente para usar la versión más reciente de la clave de cifrado. Debe actualizar el URI de clave en el recurso después de rotar la clave en Azure Key Vault.

Configuración de Azure Key Vault

Para usar claves de cifrado administradas por el cliente con Azure Load Testing, debe almacenar la clave en Azure Key Vault. Puede usar un almacén de claves existente o crear uno nuevo. El recurso de prueba de carga y el almacén de claves pueden estar en diferentes regiones o suscripciones del mismo inquilino.

Asegúrese de establecer las siguientes configuraciones del almacén de claves cuando use claves de cifrado administradas por el cliente.

Configuración de redes del almacén de claves

Si restringió el acceso a su almacén de claves de Azure mediante un firewall o una red virtual, deberá conceder acceso a Azure Load Testing para recuperar sus claves administradas por el cliente. Siga estos pasos para conceder acceso a servicios de Azure de confianza.

Importante

Recuperar claves administradas por el cliente de un almacén privado de claves de Azure que tiene restricciones de acceso no es compatible actualmente en la región de US Gov Virginia.

Configuración de la eliminación temporal y la protección de purga

Tiene que configurar las propiedades de Eliminación temporal y Protección de purga en su almacén de claves para utilizar claves administradas por el cliente con Azure Load Testing. La eliminación temporal está habilitada de manera predeterminada al crear un almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga en cualquier momento. Obtenga más información sobre la eliminación temporal y protección de purga en Azure Key Vault.

Azure Portal

Siga estos pasos para verificar si la eliminación temporal está habilitada y habilitarla en un almacén de claves. De manera predeterminada, la eliminación temporal se habilita cuando se crea un nuevo almacén de claves.

Puede habilitar la protección de purga cuando crea un nuevo almacén de claves seleccionando la configuración Habilitar protección de purga.

Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:

1. Vaya al almacén de claves en Azure Portal.
2. En Configuración, elija Propiedades.
3. En la sección Protección de purga, elija Habilitar protección de purga.

PowerShell

Para crear un nuevo almacén de claves con PowerShell, instale la versión 2.0.0 o posterior del módulo Az.KeyVault de PowerShell. Luego llame a New-AzKeyVault para crear un nuevo almacén de claves. Con la versión 2.0.0 y posteriores del módulo Az.KeyVault, la eliminación temporal está habilitada de forma predeterminada cuando se crea un nuevo almacén de claves.

En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Para habilitar la protección de purga en un almacén de claves existente con PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

CLI de Azure

Para crear un nuevo almacén de claves con la CLI de Azure, llame al comando az keyvault create. De manera predeterminada se habilita la eliminación temporal cuando se crea un nuevo almacén de claves.

En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Para habilitar la protección de purga en un almacén de claves existente con la CLI de Azure:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Incorporación de una clave administrada por el cliente a Azure Key Vault

A continuación, agregue una clave al almacén de claves. El cifrado de Azure Load Testing admite claves RSA. Para más información sobre los tipos de clave admitidos en Azure Key Vault, consulte Acerca de las claves.

Azure Portal

Para obtener información sobre cómo agregar un almacén de claves con Azure Portal, consulte Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.

PowerShell

Para agregar una clave con PowerShell, llame a Add-AzKeyVaultKey. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

CLI de Azure

Para agregar una clave con la CLI de Azure, llame a az keyvault key create. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Adición de una directiva de acceso al almacén de claves

Cuando use claves de cifrado administradas por el cliente, tendrá que especificar una identidad administrada por el usuario. La identidad administrada por el usuario para acceder a las claves administradas por el cliente en Azure Key Vault debe tener los permisos adecuados para acceder al almacén de claves.

1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para alojar sus claves de cifrado.

2. Seleccione Directivas de acceso en el menú de la izquierda.

   

3. Seleccione + Agregar directiva de acceso.

4. En el menú desplegable Permisos de clave, seleccione los permisos Obtener, Desencapsular clave y Encapsular clave.

   

5. En Seleccionar entidad de seguridad, seleccione Ninguna seleccionada.

6. Busque la identidad administrada asignada por el usuario que creó anteriormente y selecciónela de la lista.

7. Elija Seleccionar en la parte inferior.

8. Seleccione Agregar para agregar la nueva directiva de acceso.

9. Seleccione Guardar en la instancia del almacén de claves para guardar todos los cambios.

Uso de claves administradas por el cliente con Azure Load Testing

Solo puede configurar claves de cifrado administradas por el cliente cuando cree un nuevo recurso de pruebas de carga de Azure. Al especificar los detalles de la clave de cifrado, también tiene que seleccionar una identidad administrada asignada por el usuario para recuperar la clave de Azure Key Vault.

Para configurar las claves administradas por el cliente para un nuevo recurso de pruebas de carga, siga estos pasos:

Azure Portal

1. Siga estos pasos para crear un recurso de Azure Load Testing en Azure Portal y rellene los campos de la pestaña Aspectos básicos.

2. Vaya a la pestaña Cifrado y después seleccione Claves administradas por el cliente (CMK) para el campo Tipo de cifrado.

3. En el campo URI de clave, pegue el URI o identificador de clave de la clave de Azure Key Vault incluida la versión de la clave.

4. En el campo Identidad asignada por el usuario, seleccione una identidad administrada asignada por el usuario existente.

5. Seleccione Revisar y crear para validar y crear el recurso.

PowerShell

Puede implementar una plantilla ARM utilizando PowerShell para automatizar la creación de sus recursos de Azure. Puede crear cualquier recurso de tipo Microsoft.LoadTestService/loadtests con la clave administrada por el cliente habilitada para el cifrado agregando las siguientes propiedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

El siguiente código de ejemplo escribe una plantilla ARM para crear un recurso de prueba de carga con las claves administradas por el cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implemente la plantilla anterior en un grupo de recursos mediante New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

CLI de Azure

Puede implementar una plantilla de ARM mediante la CLI de Azure para automatizar la creación de los recursos de Azure. Puede crear cualquier recurso de tipo Microsoft.LoadTestService/loadtests con la clave administrada por el cliente habilitada para el cifrado agregando las siguientes propiedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

El siguiente código de ejemplo escribe una plantilla ARM para crear un recurso de prueba de carga con las claves administradas por el cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implemente la plantilla anterior en un grupo de recursos mediante az crear grupo de implementación:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Cambio de la identidad administrada para recuperar la clave de cifrado

Puede cambiar la identidad administrada para las claves administradas por el cliente para un recurso de prueba de carga existente en cualquier momento.

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

2. En la página Configuración, seleccione Cifrado.

   El Tipo de cifrado muestra el tipo de cifrado que se usó para crear el recurso de prueba de carga.

3. Si el tipo de cifrado es Claves administradas por el cliente, seleccione el tipo de identidad que se usará para autenticarse en el almacén de claves. Las opciones incluyen Asignada por el sistema (el valor predeterminado) o Asignada por el usuario.

   Para más información sobre cada tipo de identidad administrada, consulte Tipos de identidad administrada.

   • Si selecciona Asignada por el sistema, será necesario habilitar la identidad administrada asignada por el sistema en el recurso y conceder acceso al AKV antes de cambiar la identidad para las claves administradas por el cliente.
   • Si selecciona Asignada por el usuario, debe seleccionar una identidad existente asignada por el usuario que tenga permisos para acceder al almacén de claves. Para aprender a crear una identidad asignada por el usuario, consulte Uso de identidades administradas para la versión preliminar de Azure Load Testing.

4. Guarde los cambios.

Importante

Asegúrese de que la identidad administrada seleccionada tiene acceso a Azure Key Vault.

Actualización de la clave de cifrado administrada por el cliente

Puede cambiar la clave que está usando para el cifrado de Azure Load Testing en cualquier momento. Para cambiar la clave con Azure Portal, haga lo siguiente:

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

2. En la página Configuración, seleccione Cifrado. El tipo de cifrado muestra el cifrado seleccionado para el recurso durante la creación.

3. Si el tipo de cifrado seleccionado es Claves administradas por el cliente, puede editar el campo URI de la clave con la nueva URI de la clave.

4. Guarde los cambios.

Rotación de las claves de cifrado

Las claves administradas por el cliente se pueden rotar en Azure Key Vault según las directivas de cumplimiento. Para rotar una clave:

1. En Azure Key Vault, actualice la versión de la clave o cree una nueva clave.
2. Actualice la clave de cifrado administrada por el cliente para su recurso de prueba de carga.

Preguntas más frecuentes

¿Existe algún cargo adicional al habilitar las claves administradas por el cliente?

No, no hay ningún cargo por habilitar esta característica.

¿Son compatibles las claves administradas por el cliente para los recursos de Azure Load Testing existentes?

Actualmente, esta característica solo está disponible para los nuevos recursos de Azure Load Testing.

¿Cómo puedo saber si las claves administradas por el cliente están habilitadas en mi recurso de prueba de carga de Azure?

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.
2. Vaya al elemento Cifrado en la barra de navegación izquierda.
3. Puede comprobar el tipo de cifrado en su recurso.

¿Cómo se revoca una clave de cifrado?

Para revocar una clave, deshabilite la versión más reciente de la clave en Azure Key Vault. Alternativamente, para revocar todas las claves de una instancia de almacén de claves, puede eliminar la directiva de acceso concedida a la identidad administrada del recurso de prueba de carga.

Al revocar la clave de cifrado, es posible que pueda ejecutar pruebas durante unos 10 minutos, después de lo cual la única operación disponible es la eliminación de recursos. Se recomienda rotar la clave en lugar de revocarla para administrar la seguridad de los recursos y conservar los datos.

Contenido relacionado

• Aprenda a supervisar métricas de aplicación del lado servidor.
• Obtenga información sobre cómo Parametrizar una prueba de carga con secretos y variables de entorno.