Sdílet prostřednictvím

Použití šifrovacích klíčů spravovaných zákazníkem se spravovanou službou Azure Lustre

  • Článek

Pomocí služby Azure Key Vault můžete řídit vlastnictví klíčů používaných k šifrování dat uložených v systému souborů Azure Managed Lustre. Tento článek vysvětluje, jak používat klíče spravované zákazníkem pro šifrování dat pomocí služby Azure Managed Lustre.

Poznámka:

Všechna data uložená v Azure se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete spravovat klíče používané k šifrování dat, když jsou uložená v clusteru Azure Managed Lustre, stačí postupovat podle pokynů v tomto článku.

Šifrování hostitele virtuálního počítače chrání všechny informace na spravovaných discích, které obsahují vaše data v systému souborů Azure Managed Lustre, i když pro disky Lustre přidáte klíč zákazníka. Přidání klíče spravovaného zákazníkem poskytuje další úroveň zabezpečení pro vysoké potřeby zabezpečení. Další informace najdete v tématu Šifrování diskového úložiště Azure na straně serveru.

Šifrování klíče spravovaného zákazníkem pro Azure Managed Lustre můžete povolit třemi kroky:

  1. Nastavte službu Azure Key Vault pro uložení klíčů.
  2. Vytvořte spravovanou identitu , která má přístup k danému trezoru klíčů.
  3. Při vytváření systému souborů zvolte šifrování klíče spravovaného zákazníkem a zadejte trezor klíčů, klíč a spravovanou identitu, která se má použít.

Tento článek vysvětluje tyto kroky podrobněji.

Po vytvoření systému souborů se mezi klíči spravovanými zákazníkem a klíči spravovanými Microsoftem nemůžete měnit.

Požadavky

Můžete použít buď existující trezor klíčů a klíč, nebo můžete vytvořit nové, které se použijí se spravovaným Lustrem Azure. Podívejte se na následující požadovaná nastavení, abyste měli jistotu, že máte správně nakonfigurovaný trezor klíčů a klíč.

Vytvoření trezoru klíčů a klíče

Nastavte trezor klíčů Azure pro ukládání šifrovacích klíčů. Trezor klíčů a klíč musí splňovat tyto požadavky, aby fungovaly se službou Azure Managed Lustre.

Vlastnosti trezoru klíčů

Pro použití se službou Azure Managed Lustre se vyžadují následující nastavení. Můžete nakonfigurovat možnosti, které nejsou uvedené podle potřeby.

Základy:

  • Předplatné – Použijte stejné předplatné, které se používá pro cluster Azure Managed Lustre.
  • Oblast – Trezor klíčů musí být ve stejné oblasti jako cluster Azure Managed Lustre.
  • Cenová úroveň – Úroveň Standard je dostatečná pro použití se službou Azure Managed Lustre.
  • Obnovitelné odstranění – Azure Managed Lustre umožňuje obnovitelné odstranění, pokud ještě není nakonfigurované v trezoru klíčů.
  • Ochrana před vyprázdněním – Povolení ochrany před vyprázdněním

Zásady přístupu:

  • Konfigurace přístupu – Nastavení řízení přístupu na základě role v Azure

Sítě:

  • Veřejný přístup – Musí být povolený.

  • Povolit přístup – Vyberte buď všechny sítě , nebo pokud potřebujete omezit přístup, vyberte Vybrané sítě.

    • Pokud vyberete vybrané sítě, musíte povolit povolit možnost Povolit důvěryhodné služby Microsoft obejít tuto možnost brány firewall v části Výjimka níže.

Snímek obrazovky znázorňující, jak omezit přístup trezoru klíčů k vybraným sítím a povolit přístup k důvěryhodným služby Microsoft

Poznámka:

Pokud používáte existující trezor klíčů, můžete si projít část nastavení sítě a ověřit, že možnost Povolit přístup ze všech sítí je nastavená na Povolit veřejný přístup ze všech sítí nebo v případě potřeby provést změny.

Základní vlastnosti

  • Typ klíče – RSA
  • Velikost klíče RSA – 2048
  • Povoleno – Ano

Přístupová oprávnění trezoru klíčů:

  • Uživatel, který vytvoří systém Azure Managed Lustre, musí mít oprávnění odpovídající roli přispěvatele služby Key Vault. Stejná oprávnění jsou potřebná k nastavení a správě služby Azure Key Vault.

    Další informace najdete v tématu Zabezpečení přístupu k trezoru klíčů.

Další informace o základech služby Azure Key Vault

Vytvoření spravované identity přiřazené uživatelem

Systém souborů Azure Managed Lustre potřebuje spravovanou identitu přiřazenou uživatelem pro přístup k trezoru klíčů.

Spravované identity jsou samostatné přihlašovací údaje identity, které se používají při přístupu ke službám Azure prostřednictvím ID Microsoft Entra. Stejně jako jiní uživatelé můžou mít přiřazené role a oprávnění. Přečtěte si další informace o spravovaných identitách.

Vytvořte tuto identitu před vytvořením systému souborů a dejte jí přístup k trezoru klíčů.

Poznámka:

Pokud zadáte spravovanou identitu, která nemá přístup k trezoru klíčů, nebudete moct vytvořit systém souborů.

Další informace najdete v dokumentaci ke spravovaným identitám:

Vytvoření systému souborů Lustre spravovaného Azure pomocí šifrovacích klíčů spravovaných zákazníkem

Když vytváříte systém souborů Azure Managed Lustre, pomocí karty Šifrovací klíče disku vyberte v nastavení typ šifrovacího klíče disku spravovaného zákazníkem. Další části se zobrazují pro nastavení klíče zákazníka a spravované identity.

Snímek obrazovky s rozhraním webu Azure Portal pro vytvoření nového spravovaného systému Azure Lustre s vybraným zákazníkem

Mějte na paměti, že klíče spravované zákazníkem můžete nastavit pouze při vytváření. Typ šifrovacích klíčů, které se používají pro stávající systém souborů Lustre spravované azure, nemůžete změnit.

Nastavení klíče zákazníka

Výběrem odkazu v nastavení klíče zákazníka vyberte trezor klíčů, klíč a nastavení verze. Na této stránce můžete také vytvořit novou službu Azure Key Vault. Pokud vytvoříte nový trezor klíčů, nezapomeňte mu udělit přístup ke spravované identitě.

Pokud se v seznamu nezobrazí vaše služba Azure Key Vault, zkontrolujte tyto požadavky:

  • Je systém souborů ve stejném předplatném jako trezor klíčů?
  • Je systém souborů ve stejné oblasti jako trezor klíčů?
  • Existuje síťové připojení mezi webem Azure Portal a trezorem klíčů?

Po výběru trezoru vyberte jednotlivé klíče z dostupných možností nebo vytvořte nový klíč. Klíč musí být 2048bitový klíč RSA.

Zadejte verzi vybraného klíče. Další informace o správě verzí najdete v dokumentaci ke službě Azure Key Vault.

Nastavení spravovaných identit

Vyberte odkaz ve spravovaných identitách a vyberte identitu, kterou systém souborů Azure Managed Lustre používá pro přístup k trezoru klíčů.

Po dokončení konfigurace těchto nastavení šifrovacího klíče přejděte na kartu Zkontrolovat a vytvořit a dokončete vytváření systému souborů obvyklým způsobem.

Další kroky

V těchto článcích najdete další informace o používání služby Azure Key Vault a klíčů spravovaných zákazníkem k šifrování dat v Azure: