Klíč spravovaný zákazníkem v Azure Monitoru

Data ve službě Azure Monitor se šifrují pomocí klíčů spravovaných Microsoftem. K ochraně dat a uložených dotazů v pracovních prostorech můžete použít vlastní šifrovací klíč. Klíče spravované zákazníkem ve službě Azure Monitor poskytují větší flexibilitu při správě řízení přístupu k protokolům. Po konfiguraci se nová data ingestovaná do propojených pracovních prostorů zašifrují pomocí klíče uloženého ve službě Azure Key Vault nebo spravovaném HSM služby Azure Key Vault.

Před konfigurací zkontrolujte omezení a omezení .

Přehled klíčů spravovaných zákazníkem

Šifrování neaktivních uložených dat je běžným požadavkem na ochranu osobních údajů a zabezpečení v organizacích. Azure může plně spravovat šifrování neaktivních uložených uložených dat, zatímco máte různé možnosti pro úzkou správu šifrovacích a šifrovacích klíčů.

Azure Monitor zajišťuje, že všechna data a uložené dotazy jsou v klidovém stavu zašifrované pomocí klíčů spravovaných Microsoftem (MMK). Data můžete šifrovat pomocí vlastního klíče ve službě Azure Key Vault, abyste měli kontrolu nad životním cyklem klíče a možnost odvolat přístup k vašim datům. Použití šifrování ve službě Azure Monitor je stejné jako šifrování azure Storage .

Klíč spravovaný zákazníkem se dodává na vyhrazených clusterech , které poskytují vyšší úroveň ochrany a kontrolu. Data se šifrují v úložišti dvakrát, jednou na úrovni služby pomocí klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. dvojité šifrování chrání před scénářem, kdy může dojít k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. Vyhrazený cluster také umožňuje chránit data pomocí Lockboxu.

Data ingestovaná za posledních 14 dnů nebo nedávno používaná v dotazech se uchovávají v mezipaměti s horkou mezipamětí (ssd) kvůli efektivitě dotazů. Data SSD se šifrují pomocí klíčů Microsoftu bez ohledu na konfiguraci klíče spravovaného zákazníkem, ale vaše kontrola přístupu k SSD dodržuje odvolání klíčů.

Cenový model vyhrazených clusterů Log Analytics vyžaduje úroveň závazku od 100 GB za den.

Jak funguje klíč spravovaný zákazníkem ve službě Azure Monitor

Azure Monitor používá spravovanou identitu k udělení přístupu ke službě Azure Key Vault. Identita clusteru Log Analytics se podporuje na úrovni clusteru. Aby bylo možné klíč spravovaný zákazníkem v několika pracovních prostorech, prostředek clusteru Log Analytics funguje jako zprostředkující připojení identity mezi službou Key Vault a pracovními prostory služby Log Analytics. Úložiště clusteru používá spravovanou identitu přidruženou ke clusteru k ověření ve službě Azure Key Vault prostřednictvím ID Microsoft Entra.

Clustery podporují dva typy spravovaných identit: systémově přiřazený a přiřazený uživatelem, zatímco jednu identitu je možné definovat v clusteru v závislosti na vašem scénáři.

• Spravovaná identita přiřazená systémem je jednodušší a automaticky se generuje při vytváření clusteru, když je identita type nastavená na SystemAssigned. Tuto identitu můžete později použít k udělení přístupu k úložišti ke službě Key Vault pro operace zabalení a rozbalení.
• Spravovaná identita přiřazená uživatelem umožňuje nakonfigurovat klíč spravovaný zákazníkem při vytváření clusteru při udělování oprávnění ve službě Key Vault před vytvořením clusteru.

Konfiguraci klíče spravovaného zákazníkem můžete použít u nového clusteru nebo existujícího clusteru propojeného s pracovními prostory a ingestováním dat. Nová data přijatá do propojených pracovních prostorů se zašifrují pomocí vašeho klíče a starší data přijatá před konfigurací zůstanou zašifrovaná klíčem Microsoftu. Na vaše dotazy nemá vliv konfigurace klíče spravovaného zákazníkem a provádí se v rámci starých a nových dat bez problémů. Pracovní prostory můžete kdykoli odpojit od clusteru. Nová data ingestovaná po zašifrování odpojení pomocí klíče Microsoftu a dotazy se provádějí napříč starými a novými daty bez problémů.

Důležité

Klíčové funkce spravované zákazníkem jsou regionální. Vaše pracovní prostory Azure Key Vault, clusteru a propojených pracovních prostorů musí být ve stejné oblasti, ale můžou být v různých předplatných.

1. Key Vault
2. Prostředek clusteru Log Analytics se spravovanou identitou s oprávněními ke službě Key Vault – Identita se rozšíří do podsítě vyhrazeného úložiště clusteru.
3. Vyhrazený cluster
4. Pracovní prostory propojené s vyhrazeným clusterem

Operace šifrovacích klíčů

Šifrování dat úložiště se týká tří typů klíčů:

• "KEK" – šifrovací klíč klíče (klíč spravovaný zákazníkem)
• "AEK" – šifrovací klíč účtu
• "DEK" – šifrovací klíč dat

Platí následující pravidla:

• Úložiště clusteru má jedinečný šifrovací klíč pro každý účet úložiště, který se označuje jako "AEK".
• AEK se používá k odvození "DEKs, což jsou klíče, které se používají k šifrování každého bloku dat zapsaných na disk.
• Když nakonfigurujete klíč ve službě Key Vault a aktualizujete podrobnosti o klíči v clusteru, úložiště clusteru provede požadavky na zabalení a rozbalení AEK pro šifrování a dešifrování.
• Vaše "KEK" nikdy neopustí službu Key Vault a v případě spravovaného hsM nikdy neopustí hardware.
• Azure Storage k ověřování používá spravovanou identitu přidruženou k prostředku clusteru. Přistupuje ke službě Azure Key Vault prostřednictvím ID Microsoft Entra.

Kroky zřizování klíčů spravovaných zákazníkem

1. Vytvoření služby Azure Key Vault a uložení klíče
2. Vytvoření clusteru
3. Udělení oprávnění službě Key Vault
4. Aktualizace clusteru s podrobnostmi o identifikátoru klíče
5. Propojení pracovních prostorů

Konfigurace klíčů spravovaných zákazníkem se v současné době nepodporuje na webu Azure Portal a zřizování je možné provádět prostřednictvím powershellu, rozhraní příkazového řádku nebo požadavků REST .

Ukládání šifrovacího klíče ("KEK")

Portfolio produktů Azure Key Management obsahuje seznam trezorů a spravovaných hsM, které je možné použít.

Vytvořte nebo použijte existující službu Azure Key Vault v oblasti, ve které je cluster naplánován. V trezoru klíčů vygenerujte nebo importujte klíč, který se má použít k šifrování protokolů. Služba Azure Key Vault musí být nakonfigurovaná jako obnovitelná, aby chránila váš klíč a přístup k vašim datům ve službě Azure Monitor. Tuto konfiguraci můžete ověřit ve vlastnostech ve službě Key Vault. Mělo by být povolené obnovitelné odstranění i ochrana před vymazáním.

Tato nastavení je možné aktualizovat ve službě Key Vault pomocí rozhraní příkazového řádku a PowerShellu:

• Obnovitelné odstranění
• Ochrana před vymazáním před vynucením odstranění tajného kódu, trezoru i po obnovitelném odstranění

Vytvoření clusteru

Clustery používají spravovanou identitu pro šifrování dat ve službě Key Vault. Při vytváření clusteru nakonfigurujte vlastnost SystemAssigned identity type tak, aby umožňovala přístup ke službě Key Vault pro operace zabalení a rozbalení.

Nastavení identity v clusteru pro spravovanou identitu přiřazenou systémem

{
  "identity": {
    "type": "SystemAssigned"
    }
}

Postupujte podle pokynů uvedených v článku Věnovaném vyhrazeným clusterům.

Udělení oprávnění služby Key Vault

Ve službě Key Vault existují dva modely oprávnění, které umožňují udělit přístup ke clusteru a podsítě úložiště – řízení přístupu na základě role v Azure (Azure RBAC) a zásady přístupu trezoru (starší verze).

1. Přiřazení Řízení přístupu na základě role v Azure (doporučeno)

   Pokud chcete přidat přiřazení rolí, musíte mít oprávnění Microsoft.Authorization/roleAssignments/write a Microsoft.Authorization/roleAssignments/delete, jako je uživatelský přístup Správa istrator nebo vlastník.

   Otevřete službu Key Vault na webu Azure Portal, klikněte na Konfiguraci přístupu v Nastavení a vyberte možnost řízení přístupu na základě role v Azure. Pak zadejte řízení přístupu (IAM) a přidejte přiřazení role uživatele šifrování šifrovací služby Key Vault.

   

2. Přiřazení zásad přístupu trezoru (starší verze)

   Otevřete službu Key Vault na webu Azure Portal a klikněte na Zásady přístupu, vyberte Zásady přístupu trezoru a pak kliknutím na + Přidat zásady přístupu vytvořte zásadu s těmito nastaveními:

   • Oprávnění ke klíči – vyberte Získat, Zalamovat klíč a Rozbalit klíč.
   • Výběr objektu zabezpečení – v závislosti na typu identity použitém v clusteru (spravovaná identita přiřazená systémem nebo uživatelem)
     • Spravovaná identita přiřazená systémem – zadejte název clusteru nebo ID objektu zabezpečení clusteru.
     • Spravovaná identita přiřazená uživatelem – zadejte název identity.

   

   K ověření, že je služba Key Vault nakonfigurovaná tak, aby chránila váš klíč a přístup k datům služby Azure Monitor, je potřeba získat oprávnění Získat .

Aktualizace clusteru s podrobnostmi o identifikátoru klíče

Všechny operace v clusteru vyžadují Microsoft.OperationalInsights/clusters/write oprávnění akce. Toto oprávnění může být uděleno prostřednictvím vlastníka nebo přispěvatele, který obsahuje */write akci, nebo prostřednictvím role Přispěvatel Log Analytics, která danou Microsoft.OperationalInsights/* akci obsahuje.

Tento krok aktualizuje vyhrazené úložiště clusteru klíčem a verzí, které se použijí pro zabalení AEK a rozbalení.

Důležité

• Obměně klíčů může být automatická nebo vyžadovat explicitní aktualizaci klíče. Informace o obměně klíčů vám pomůžou určit přístup, který je vhodný před aktualizací podrobností identifikátoru klíče v clusteru.
• Aktualizace clusteru by neměla obsahovat podrobnosti o identifikátoru identity i klíče ve stejné operaci. Pokud potřebujete aktualizovat obojí, aktualizace by měla být ve dvou po sobě jdoucích operacích.

Aktualizujte keyVaultProperties v clusteru s podrobnostmi o identifikátoru klíče.

Operace je asynchronní a dokončení může nějakou dobu trvat.

Azure Portal

–

Azure CLI

Při zadávání hodnoty key-version"'" pro cluster vždy používá poslední verzi klíče ve službě Key Vault a není nutné aktualizovat obměnu klíčů clusteru.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

PowerShell

Při zadávání hodnoty KeyVersion"'" pro cluster vždy používá poslední verzi klíče ve službě Key Vault a není nutné aktualizovat obměnu klíčů clusteru.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

REST

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2021-06-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": "current-version"
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

Response

Chvíli trvá šíření klíče. Stav aktualizace můžete zkontrolovat tak, že odešlete požadavek GET v clusteru a podíváte se na vlastnosti KeyVaultProperties . Váš nedávno aktualizovaný klíč by se měl vrátit v odpovědi.

Odpověď na požadavek GET po dokončení aktualizace klíče: 202 (Přijato) a hlavička

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": "current-version"
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Propojení pracovního prostoru s clusterem

Důležité

Tento krok by se měl provést až po zřízení clusteru. Pokud před zřizováním propojíte pracovní prostory a ingestujete data, ingestovaná data se zahodí a nepůjde obnovit.

K provedení této operace musíte mít ve svém pracovním prostoru a clusteru oprávnění k zápisu. Microsoft.OperationalInsights/workspaces/write Zahrnuje a Microsoft.OperationalInsights/clusters/write.

Postupujte podle pokynů uvedených v článku Věnovaném vyhrazeným clusterům.

Odvolání klíče

Důležité

• Doporučeným způsobem odvolání přístupu k datům je zakázání klíče nebo odstranění zásad přístupu ve službě Key Vault.
• Nastavení clusteru identitytype tak, aby None odvolal přístup k vašim datům, ale tento přístup se nedoporučuje, protože ho nemůžete vrátit zpět bez kontaktování podpory.

Úložiště clusteru vždy respektuje změny v oprávněních ke klíči během hodiny nebo dříve a úložiště se stane nedostupným. Nová data přijatá do propojených pracovních prostorů se zahodí a nedají se obnovit. Data jsou v těchto pracovních prostorech nedostupná a dotazy selžou. Dříve ingestované data zůstávají v úložišti, dokud se váš cluster a pracovní prostory neodstraní. Nepřístupná data se řídí zásadami uchovávání dat a vyprázdněnými při dosažení uchovávání dat. Data přijatá za posledních 14 dnů a data, která se nedávno používala v dotazech, se kvůli efektivitě dotazů uchovávají také v horké mezipaměti (ssd). Data na disku SSD se odstraní při operaci odvolání klíče a stanou se nepřístupnými. Úložiště clusteru se pokusí připojit ke službě Key Vault pro pravidelné zabalení a rozbalení a jakmile je klíč povolený, rozbalení proběhne úspěšně, data SSD se znovu načtou z úložiště a příjem dat a dotaz se obnoví do 30 minut.

Obměna klíčů

Otočení klíče má dva režimy:

• Automatické zotavování – aktualizujte cluster pomocí "keyVaultProperties" vlastnosti, ale vynecháte "keyVersion" ji nebo ji nastavte na ""hodnotu . Úložiště automaticky používá nejnovější verzi klíče.
• Explicitní aktualizace verze klíče – aktualizace clusteru pomocí verze klíče ve "keyVersion" vlastnosti Obměně klíčů vyžaduje explicitní "keyVaultProperties" aktualizaci v clusteru. Viz Aktualizace clusteru s podrobnostmi o identifikátoru klíče. Pokud vygenerujete novou verzi klíče ve službě Key Vault, ale neaktualizujete ji v clusteru, úložiště clusteru bude dál používat předchozí klíč. Pokud před aktualizací nového klíče v clusteru zakážete nebo odstraníte starý klíč, dostanete se do stavu odvolání klíče.

Všechna vaše data zůstanou po operaci obměně klíčů přístupná. Data se vždy šifrují pomocí šifrovacího klíče účtu ("AEK"), který je šifrovaný pomocí nové verze šifrovacího klíče ("KEK") ve službě Key Vault.

Klíč spravovaný zákazníkem pro uložené dotazy a upozornění prohledávání protokolů

Dotazovací jazyk používaný v Log Analytics je výrazný a může obsahovat citlivé informace v komentářích nebo v syntaxi dotazu. Některé organizace vyžadují, aby tyto informace byly chráněny v rámci zásad klíčů spravovaných zákazníkem a vy potřebujete ukládat dotazy zašifrované pomocí klíče. Azure Monitor umožňuje ukládat uložené dotazy a upozornění prohledávání protokolů zašifrovaná pomocí vašeho klíče ve vašem vlastním účtu úložiště při propojení s pracovním prostorem.

Klíč spravovaný zákazníkem pro sešity

S ohledem na důležité informace o klíči spravovaném zákazníkem pro uložené dotazy a upozornění prohledávání protokolů umožňuje Azure Monitor ukládat dotazy sešitu zašifrované pomocí vašeho klíče ve vašem vlastním účtu úložiště při výběru možnosti Uložit obsah do účtu úložiště Azure v operaci Uložit.

Poznámka:

Dotazy zůstávají šifrované pomocí klíče Microsoftu (MMK) v následujících scénářích bez ohledu na konfiguraci klíčů spravovaných zákazníkem: řídicí panely Azure, aplikace logiky Azure, poznámkové bloky Azure a runbooky Automation.

Při propojování účtu úložiště pro uložené dotazy ukládá služba uložené dotazy a dotazy na upozornění prohledávání protokolů ve vašem účtu úložiště. Když máte kontrolu nad zásadami šifrování účtu úložiště a neaktivních uložených dat, můžete chránit uložené dotazy a upozornění prohledávání protokolů pomocí klíče spravovaného zákazníkem. Budete ale odpovídat za náklady spojené s tímto účtem úložiště.

Důležité informace před nastavením klíče spravovaného zákazníkem pro dotazy

• Ke svému pracovnímu prostoru a účtu úložiště musíte mít oprávnění k zápisu.
• Nezapomeňte vytvořit účet úložiště ve stejné oblasti jako pracovní prostor služby Log Analytics s šifrováním klíčů spravovaných zákazníkem. To je důležité, protože uložené dotazy jsou uložené v úložišti tabulek a dají se zašifrovat jenom při vytváření účtu úložiště.
• Dotazy uložené v balíčku dotazů nejsou šifrované pomocí klíče spravovaného zákazníkem. Pokud chcete místo toho chránit dotazy pomocí klíče spravovaného zákazníkem, vyberte Možnost Uložit jako starší dotaz .
• Dotazy uložené v úložišti se považují za artefakty služby a jejich formát se může změnit.
• Propojení účtu úložiště pro dotazy odebere existující dotazy, které se ukládají z pracovního prostoru. Kopírování ukládá dotazy, které potřebujete před touto konfigurací. Uložené dotazy můžete zobrazit pomocí PowerShellu.
• Při propojování účtu úložiště pro dotazy se nepodporuje dotaz historie a připnutí na řídicí panel.
• Jeden účet úložiště můžete propojit s pracovním prostorem pro uložené dotazy i dotazy upozornění prohledávání protokolu.
• Upozornění prohledávání protokolů se ukládají do úložiště objektů blob a šifrování klíče spravovaného zákazníkem je možné nakonfigurovat při vytváření účtu úložiště nebo novějším.
• Upozornění prohledávání aktivovaného protokolu nebudou obsahovat výsledky hledání ani dotaz na upozornění. Pomocí dimenzí výstrah můžete získat kontext v aktivovaných výstrahách.

Konfigurace BYOS pro uložené dotazy

Propojte účet úložiště s dotazy, aby se ukládaly uložené dotazy v účtu úložiště.

Azure Portal

–

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

PowerShell

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2021-06-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

Po konfiguraci se všechny nové uložené vyhledávací dotazy uloží do vašeho úložiště.

Konfigurace BYOS pro dotazy na upozornění prohledávání protokolů

Propojte účet úložiště s upozorněními , aby se ve vašem účtu úložiště zachovaly dotazy na upozornění prohledávání protokolu.

Azure Portal

–

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

PowerShell

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2021-06-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

Po konfiguraci se všechny nové dotazy upozornění uloží do vašeho úložiště.

Customer Lockbox

Lockbox vám umožňuje schválit nebo odmítnout žádost inženýra Microsoftu o přístup k datům během žádosti o podporu.

Lockbox je k dispozici ve vyhrazeném clusteru ve službě Azure Monitor, kde máte oprávnění k přístupu k datům udělená na úrovni předplatného.

Další informace o Customer Lockboxu pro Microsoft Azure

Operace klíčů spravovaných zákazníkem

Klíč spravovaný zákazníkem je k dispozici ve vyhrazeném clusteru a tyto operace jsou uvedené v článku o vyhrazeném clusteru.

• Získání všech clusterů ve skupině prostředků
• Získání všech clusterů v předplatném
• Aktualizace rezervace kapacity v clusteru
• Aktualizace billingType v clusteru
• Zrušení propojení pracovního prostoru s clusterem
• Odstranění clusteru

Limity a omezení

• V každé oblasti a předplatném je možné vytvořit maximálně pět aktivních clusterů.

• V každé oblasti a předplatném může existovat maximálně sedm rezervovaných clusterů (aktivních nebo nedávno odstraněných).

• S clusterem je možné propojit maximálně 1 000 pracovních prostorů služby Log Analytics.

• Maximální počet dvou operací propojení pracovního prostoru s konkrétním pracovním prostorem je povolen v 30denním období.

• Přesun clusteru do jiné skupiny prostředků nebo předplatného se v současné době nepodporuje.

• Aktualizace clusteru by neměla obsahovat podrobnosti o identifikátoru identity i klíče ve stejné operaci. V případě, že potřebujete aktualizovat obojí, by aktualizace měla být ve dvou po sobě jdoucích operacích.

• Lockbox není momentálně k dispozici v Číně.

• Dvojité šifrování se konfiguruje automaticky pro clustery vytvořené z října 2020 v podporovaných oblastech. Pokud je cluster nakonfigurovaný pro dvojité šifrování, můžete ověřit odesláním požadavku GET v clusteru a zjištěním, že isDoubleEncryptionEnabled hodnota je true pro clustery s povoleným dvojitým šifrováním.

  • Pokud vytvoříte cluster a zobrazí se chyba – název oblasti nepodporuje dvojité šifrování pro clustery, můžete cluster vytvořit bez dvojitého šifrování přidáním "properties": {"isDoubleEncryptionEnabled": false} do textu požadavku REST.
  • Nastavení dvojitého šifrování nelze po vytvoření clusteru změnit.

Odstranění propojeného pracovního prostoru je povoleno při propojení s clusterem. Pokud se rozhodnete obnovit pracovní prostor během období obnovitelného odstranění, vrátí se do předchozího stavu a zůstane propojený s clusterem.

• Šifrování klíče spravovaného zákazníkem se vztahuje na nově ingestovaná data po době konfigurace. Data, která byla ingestována před konfigurací, zůstávají šifrovaná pomocí klíče Microsoftu. Data ingestovaná před a po konfiguraci klíče spravovaného zákazníkem můžete bez problémů dotazovat.

• Azure Key Vault musí být nakonfigurovaný jako obnovitelný. Tyto vlastnosti nejsou ve výchozím nastavení povolené a měly by být nakonfigurované pomocí rozhraní příkazového řádku nebo PowerShellu:
  

  • Obnovitelné odstranění
  • Ochrana před vymazáním by měla být zapnutá, aby byla ochrana před vynucením odstranění tajného kódu, trezoru i po obnovitelném odstranění.

• Vaše služba Azure Key Vault, cluster a pracovní prostory musí být ve stejné oblasti a ve stejném tenantovi Microsoft Entra, ale můžou být v různých předplatných.

• Nastavení clusteru identitytype tak, aby None odvolal přístup k vašim datům, ale tento přístup se nedoporučuje, protože ho nemůžete vrátit zpět bez kontaktování podpory. Doporučeným způsobem odvolání přístupu k datům je odvolání klíče.

• Klíč spravovaný zákazníkem se spravovanou identitou přiřazenou uživatelem nemůžete použít, pokud je váš trezor klíčů ve službě Private-Link (vNet). V tomto scénáři můžete použít spravovanou identitu přiřazenou systémem.

• Asynchronní dotazy vyhledávacích úloh se v současné době nepodporují v klíčovém scénáři spravovaném zákazníkem.

Řešení problému

• Chování podle dostupnosti služby Key Vault:

  • Normální provoz – úložiště ukládá do mezipaměti "AEK" po krátkou dobu a vrací se do služby Key Vault, aby se pravidelně rozbalila.

  • Chyby připojení ke službě Key Vault – úložiště zpracovává přechodné chyby (vypršení časového limitu, chyby připojení, problémy s DNS), povolením klíčů zůstat v mezipaměti během problému s dostupností a řeší problémy se třemi tečkami a dostupností. Možnosti dotazů a příjmu dat budou pokračovat bez přerušení.

• Rychlost přístupu ke službě Key Vault – Frekvence přístupu ke službě Azure Cluster Storage přistupuje ke službě Key Vault pro zabalení a rozbalení je mezi 6 až 60 sekundami.

• Pokud cluster aktualizujete v době, kdy je ve stavu zřizování nebo aktualizace, aktualizace se nezdaří.

• Pokud dojde ke konfliktu – chyba při vytváření clusteru, mohlo dojít k odstranění clusteru se stejným názvem za posledníchch Název odstraněného clusteru bude k dispozici 14 dní po odstranění.

• Propojení pracovního prostoru s clusterem selže, pokud je propojené s jiným clusterem.

• Pokud vytvoříte cluster a zadáte keyVaultProperties okamžitě, operace může selhat, dokud se v clusteru nenařadí identita a neudělí se ve službě Key Vault.

• Pokud aktualizujete existující cluster pomocí keyVaultProperties a zásady přístupu ke klíči Get ve službě Key Vault chybí, operace selže.

• Pokud cluster nenasadíte, ověřte, že jsou vaše pracovní prostory Azure Key Vault, clusteru a propojených pracovních prostorů ve stejné oblasti. Můžou se nacházet v různých předplatných.

• Pokud klíč otočíte ve službě Key Vault a neaktualizujete podrobnosti o novém identifikátoru klíče v clusteru, cluster bude nadále používat předchozí klíč a vaše data budou nepřístupná. Aktualizace podrobností o novém identifikátoru klíče v clusteru za účelem obnovení příjmu a dotazování dat Verzi klíče můžete aktualizovat pomocí "'", aby úložiště vždy používalo automatickou verzi klíče s pozdním zpožděním.

• Některé operace jsou dlouho spuštěné a jejich dokončení může nějakou dobu trvat, včetně vytvoření clusteru, aktualizace klíče clusteru a odstranění clusteru. Stav operace můžete zkontrolovat odesláním požadavku GET do clusteru nebo pracovního prostoru a sledovat odpověď. Například nepřipojený pracovní prostor nebude mít clusterResourceId v rámci funkcí.

• Chybové zprávy

  Aktualizace clusteru

  • 400 – Cluster je ve stavu odstraňování. Probíhá asynchronní operace. Cluster musí dokončit svou operaci před provedením jakékoli operace aktualizace.
  • 400 – KeyVaultProperties není prázdný, ale má chybný formát. Viz aktualizace identifikátoru klíče.
  • 400 – Nepodařilo se ověřit klíč ve službě Key Vault. Příčinou může být nedostatek oprávnění nebo pokud klíč neexistuje. Ověřte, že jste ve službě Key Vault nastavili klíč a zásady přístupu.
  • 400 – Klíč nelze obnovit. Key Vault musí být nastavený na obnovitelné odstranění a vyprázdnění. Viz dokumentace ke službě Key Vault
  • 400 – Operaci nelze nyní spustit. Počkejte, až se asynchronní operace dokončí, a zkuste to znovu.
  • 400 – Cluster je ve stavu odstraňování. Počkejte, až se asynchronní operace dokončí, a zkuste to znovu.

  Získání clusteru

  • 404 – Cluster nebyl nalezen, pravděpodobně byl odstraněn. Pokud se pokusíte vytvořit cluster s tímto názvem a dojde ke konfliktu, cluster je v procesu odstranění.

Další kroky

• Informace o fakturaci vyhrazeného clusteru Log Analytics
• Informace o správném návrhu pracovních prostorů služby Log Analytics