Konfigurace klíčů spravovaných zákazníkem pro šifrování svazků Azure NetApp Files

Klíče spravované zákazníkem pro šifrování svazků Azure NetApp Files umožňují při vytváření nového svazku místo klíče spravovaného platformou používat vlastní klíče. Pomocí klíčů spravovaných zákazníkem můžete plně spravovat vztah mezi životním cyklem klíče, oprávněními použití klíče a operacemi auditování klíčů.

Následující diagram ukazuje, jak fungují klíče spravované zákazníkem se službou Azure NetApp Files:

1. Azure NetApp Files uděluje oprávnění šifrovacím klíčům spravované identitě. Spravovaná identita je spravovaná identita přiřazená uživatelem, kterou vytvoříte a spravujete, nebo spravovanou identitu přiřazenou systémem přidruženou k účtu NetApp.

2. Pro účet NetApp nakonfigurujete šifrování pomocí klíče spravovaného zákazníkem.

3. Použijete spravovanou identitu, ke které správce služby Azure Key Vault udělil oprávnění v kroku 1 k ověření přístupu ke službě Azure Key Vault prostřednictvím Microsoft Entra ID.

4. Azure NetApp Files zabalí šifrovací klíč účtu do klíče spravovaného zákazníkem ve službě Azure Key Vault.

   Klíče spravované zákazníkem nemají žádný vliv na výkon ve službě Azure NetApp Files. Jeho jediným rozdílem od klíčů spravovaných platformou je způsob, jakým se klíč spravuje.

5. V případě operací čtení a zápisu služba Azure NetApp Files odesílá požadavky do služby Azure Key Vault, aby odbalila šifrovací klíč účtu za účelem provádění operací šifrování a dešifrování.

Důležité informace

• Klíče spravované zákazníkem je možné konfigurovat pouze na nových svazcích. Existující svazky nemůžete migrovat na šifrování klíče spravovaného zákazníkem.
• Pokud chcete vytvořit svazek pomocí klíčů spravovaných zákazníkem, musíte vybrat standardní síťové funkce. Svazky klíčů spravované zákazníkem nemůžete používat se svazky nakonfigurovanými pomocí základních síťových funkcí. Podle pokynů na stránce pro vytvoření svazku nastavte možnost Síťové funkce.
• Pokud chcete zvýšit zabezpečení, můžete v nastavení sítě trezoru klíčů vybrat možnost Zakázat veřejný přístup . Při výběru této možnosti musíte také vybrat Povolit důvěryhodné služby Microsoft obejít tuto bránu firewall, aby služba Azure NetApp Files mohla přistupovat k šifrovacímu klíči.
• Klíče spravované zákazníkem podporují automatické prodlužování platnosti certifikátu MSI (Managed System Identity). Pokud je certifikát platný, nemusíte ho aktualizovat ručně.
• Použití skupin zabezpečení sítě Azure v podsíti privátního propojení ve službě Azure Key Vault se u klíčů spravovaných zákazníkem ve službě Azure NetApp Files nepodporuje. Skupiny zabezpečení sítě nemají vliv na připojení k privátnímu propojení, pokud Private endpoint network policy není v podsíti povolené. Tuto možnost je nutné ponechat zakázanou.
• Pokud se službě Azure NetApp Files nepodaří vytvořit svazek klíče spravovaný zákazníkem, zobrazí se chybové zprávy. Další informace najdete v části Chybové zprávy a řešení potíží.
• Pokud je služba Azure Key Vault nepřístupná, Azure NetApp Files ztratí přístup k šifrovacím klíčům a schopnost číst nebo zapisovat data do svazků s klíči spravovanými zákazníkem. V takovém případě vytvořte lístek podpory, který bude mít přístup k ovlivněným svazkům po ručním obnovení.
• Azure NetApp Files podporuje klíče spravované zákazníkem na svazcích replikace zdrojů a dat s replikací mezi oblastmi nebo vztahy replikace mezi zónami.

Podporované oblasti

Klíče spravované zákazníkem ve službě Azure NetApp Files se podporují v následujících oblastech:

• Austrálie – střed
• Austrálie – střed 2
• Austrálie – východ
• Austrálie – jihovýchod
• Brazílie – jih
• Brazílie – jihovýchod
• Střední Kanada
• Kanada – východ
• Indie – střed
• USA – střed
• Východní Asie
• East US
• USA – východ 2
• Francie – střed
• Německo – sever
• Německo – středozápad
• Japonsko – východ
• Japonsko – západ
• Jižní Korea – střed
• Korea Jih
• USA – středosever
• Severní Evropa
• Norsko – východ
• Norsko – západ
• Střední Katar
• Jižní Afrika – sever
• Středojižní USA
• Indie – jih
• Southeast Asia
• Švédsko – střed
• Švýcarsko – sever
• Švýcarsko – západ
• Spojené arabské emiráty – střed
• Spojené arabské emiráty – sever
• Spojené království – jih
• Spojené království – západ
• West Europe
• USA – západ
• Západní USA 2
• USA – západ 3

Požadavky

Před vytvořením prvního svazku klíče spravovaného zákazníkem musíte nastavit:

• Azure Key Vault obsahující alespoň jeden klíč.
  • Trezor klíčů musí mít povolenou ochranu proti obnovitelnému odstranění a vymazání.
  • Klíč musí být typu RSA.
• Trezor klíčů musí mít privátní koncový bod Azure.
  • Privátní koncový bod se musí nacházet v jiné podsíti, než má delegovaná služba Azure NetApp Files. Podsíť musí být ve stejné virtuální síti jako podsíť delegovaná do Azure NetAppu.

Další informace o službě Azure Key Vault a privátním koncovém bodu Azure najdete v tématu:

• Rychlý start: Vytvoření trezoru klíčů
• Vytvoření nebo import klíče do trezoru
• Vytvoření privátního koncového bodu
• Další informace o klíčích a podporovaných typech klíčů
• Skupiny zabezpečení sítě
• Správa zásad sítě pro privátní koncové body

Konfigurace účtu NetApp pro použití klíčů spravovaných zákazníkem

Azure Portal

1. Na webu Azure Portal a v části Azure NetApp Files vyberte Šifrování.

   Stránka Šifrování umožňuje spravovat nastavení šifrování pro váš účet NetApp. Obsahuje možnost nastavit účet NetApp tak, aby používal váš vlastní šifrovací klíč, který je uložený ve službě Azure Key Vault. Toto nastavení poskytuje identitu přiřazenou systémem k účtu NetApp a přidá zásadu přístupu pro identitu s požadovanými oprávněními ke klíči.

   

2. Když nastavíte účet NetApp tak, aby používal klíč spravovaný zákazníkem, máte dva způsoby, jak zadat identifikátor URI klíče:

   • Možnost Vybrat z trezoru klíčů umožňuje vybrat trezor klíčů a klíč.

   • Možnost Identifikátor URI klávesy Enter umožňuje zadat identifikátor URI klíče ručně.

3. Vyberte typ identity, který chcete použít k ověřování ve službě Azure Key Vault. Pokud je služba Azure Key Vault nakonfigurovaná tak, aby jako model oprávnění používala zásady přístupu k trezoru, jsou k dispozici obě možnosti. V opačném případě je k dispozici pouze možnost přiřazená uživatelem.

   • Pokud zvolíte Systém přiřazený, vyberte tlačítko Uložit . Azure Portal nakonfiguruje účet NetApp automaticky pomocí následujícího procesu: Do vašeho účtu NetApp se přidá identita přiřazená systémem. Ve službě Azure Key Vault se vytvoří zásada přístupu s oprávněními klíče Get, Encrypt, Decrypt.

   

   • Pokud zvolíte Uživatelem přiřazené, musíte vybrat identitu. Zvolením možnosti Vybrat identitu otevřete podokno kontextu, ve kterém vyberete spravovanou identitu přiřazenou uživatelem.

   

   Pokud jste nakonfigurovali službu Azure Key Vault tak, aby používala zásady přístupu k trezoru, azure Portal nakonfiguruje účet NetApp automaticky pomocí následujícího procesu: Identita přiřazená uživatelem, kterou vyberete, se přidá do účtu NetApp. Ve službě Azure Key Vault se vytvoří zásada přístupu s oprávněními klíče Get, Encrypt, Decrypt.

   Pokud jste službu Azure Key Vault nakonfigurovali tak, aby používala řízení přístupu na základě role Azure, musíte se ujistit, že vybraná identita přiřazená uživatelem má v trezoru klíčů přiřazení role s oprávněními pro akce:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action Identita přiřazená uživatelem, kterou vyberete, se přidá do vašeho účtu NetApp. Vzhledem k přizpůsobitelné povaze řízení přístupu na základě role (RBAC) azure Portal nekonfiguruje přístup k trezoru klíčů. Podrobnosti o konfiguraci služby Azure Key Vault najdete v tématu Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role Azure.

4. Vyberte Uložit a sledujte oznámení o stavu operace. Pokud operace nebyla úspěšná, zobrazí se chybová zpráva. Pomoc s řešením chyby najdete v chybových zprávách a řešení potíží.

Azure CLI

Způsob konfigurace účtu NetApp s klíči spravovanými zákazníkem pomocí Azure CLI závisí na tom, jestli používáte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

Použití identity přiřazené systémem

1. Aktualizujte účet NetApp tak, aby používal identitu přiřazenou systémem.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Pokud chcete použít zásadu přístupu, vytvořte proměnnou, která obsahuje ID objektu zabezpečení identity účtu, pak spusťte a přiřaďte az keyvault set-policy oprávnění Get, Encrypt a Decrypt.

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Aktualizujte účet NetApp pomocí trezoru klíčů.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Použití nové identity přiřazené uživatelem

1. Vytvořte novou identitu přiřazenou uživatelem.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Nastavte zásadu přístupu pro trezor klíčů.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Poznámka:

   K udělení přístupu k trezoru klíčů můžete alternativně použít řízení přístupu na základě role.

3. Přiřaďte identitu přiřazenou uživatelem k účtu NetApp a aktualizujte šifrování trezoru klíčů.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Proces konfigurace účtu NetApp s klíči spravovanými zákazníkem v Azure CLI závisí na tom, jestli používáte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

Povolení přístupu pro identitu přiřazenou systémem

1. Aktualizujte účet NetApp tak, aby používal identitu přiřazenou systémem.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Pokud chcete použít zásady přístupu, spusťte Set-AzKeyVaultAccessPolicy ho s názvem trezoru klíčů, ID objektu zabezpečení identity účtu a oprávněními Get, Encrypt a Decrypt.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Aktualizujte svůj účet NetApp pomocí informací o trezoru klíčů.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Povolení přístupu pro identitu přiřazenou uživatelem

1. Vytvořte novou identitu přiřazenou uživatelem.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Přiřaďte zásady přístupu k trezoru klíčů.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Poznámka:

   K udělení přístupu k trezoru klíčů můžete alternativně použít řízení přístupu na základě role.

3. Přiřaďte identitu přiřazenou uživatelem k účtu NetApp a aktualizujte šifrování trezoru klíčů.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Použití řízení přístupu na základě rolí

Můžete použít Službu Azure Key Vault, která je nakonfigurovaná tak, aby používala řízení přístupu na základě role v Azure. Pokud chcete nakonfigurovat klíče spravované zákazníkem prostřednictvím webu Azure Portal, musíte zadat identitu přiřazenou uživatelem.

1. Ve svém účtu Azure přejděte do trezorů klíčů a pak zásady přístupu.

2. Pokud chcete vytvořit zásadu přístupu, vyberte v části Model oprávnění řízení přístupu na základě role Azure.

3. Při vytváření role přiřazené uživatelem jsou vyžadována tři oprávnění pro klíče spravované zákazníkem:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Přestože existují předdefinované role, které tato oprávnění zahrnují, tyto role udělují více oprávnění, než je potřeba. Doporučujeme vytvořit vlastní roli pouze s minimálními požadovanými oprávněními. Další informace najdete v tématu Vlastní role Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Jakmile je vlastní role vytvořená a dostupná pro použití s trezorem klíčů, použijete ji u identity přiřazené uživatelem.

Vytvoření svazku Azure NetApp Files pomocí klíčů spravovaných zákazníkem

1. V Azure NetApp Files vyberte Svazky a pak + Přidat svazek.

2. Postupujte podle pokynů v tématu Konfigurace síťových funkcí pro svazek Azure NetApp Files:

   • Nastavte možnost Síťové funkce na stránce pro vytvoření svazku.
   • Skupina zabezpečení sítě pro delegovanou podsíť svazku musí umožňovat příchozí provoz z virtuálního počítače úložiště NetApp.

3. Pro účet NetApp nakonfigurovaný tak, aby používal klíč spravovaný zákazníkem, stránka Vytvořit svazek obsahuje možnost Zdroj šifrovacího klíče.

   Pokud chcete svazek zašifrovat pomocí klíče, vyberte klíč spravovaný zákazníkem v rozevírací nabídce Zdroj šifrovacího klíče.

   Když vytváříte svazek pomocí klíče spravovaného zákazníkem, musíte také pro možnost Síťové funkce vybrat standard. Základní síťové funkce nejsou podporovány.

   Musíte také vybrat privátní koncový bod trezoru klíčů. V rozevírací nabídce se zobrazí privátní koncové body ve vybrané virtuální síti. Pokud ve vybrané virtuální síti neexistuje žádný privátní koncový bod pro váš trezor klíčů, rozevírací seznam je prázdný a nebudete moct pokračovat. Pokud ano, podívejte se na privátní koncový bod Azure.

   

4. Pokračujte v dokončení procesu vytváření svazku. Přečtěte si:

   • Vytvoření svazku NFS
   • Vytvoření svazku SMB
   • Vytvoření svazku se dvěma protokoly

Opětovné vytvoření klíče všech svazků v rámci účtu NetApp

Pokud jste už nakonfigurovali účet NetApp pro klíče spravované zákazníkem a máte jeden nebo více svazků šifrovaných pomocí klíčů spravovaných zákazníkem, můžete změnit klíč, který se používá k šifrování všech svazků v rámci účtu NetApp. Můžete vybrat libovolný klíč, který je ve stejném trezoru klíčů. Změna trezorů klíčů se nepodporuje.

1. Pod účtem NetApp přejděte do nabídky Šifrování . Pod vstupním polem Aktuální klíč vyberte odkaz Znovu na klíč .

2. V nabídce Rekey vyberte jednu z dostupných kláves z rozevírací nabídky. Zvolený klíč se musí lišit od aktuálního klíče.

3. Výběrem OK konfiguraci uložte. Operace opětovného klíče může trvat několik minut.

Přepnutí ze systému přiřazené na identitu přiřazenou uživatelem

Pokud chcete přepnout ze systému přiřazené na identitu přiřazenou uživatelem, musíte cílové identitě udělit přístup k trezoru klíčů, který se používá se čtením a získáním, šifrováním a dešifrovacími oprávněními.

1. Aktualizujte účet NetApp odesláním požadavku PATCH pomocí az rest příkazu:

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   Datová část by měla používat následující strukturu:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Pomocí příkazu potvrďte, že se operace úspěšně dokončila az netappfiles account show . Výstup obsahuje následující pole:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Zajistěte následující:

   • encryption.identity.principalId odpovídá hodnotě v identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity odpovídá hodnotě v identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Chybové zprávy a řešení potíží

Tato část obsahuje chybové zprávy a možná řešení, když Azure NetApp Files nedokáže nakonfigurovat šifrování klíče spravovaného zákazníkem nebo vytvořit svazek pomocí klíče spravovaného zákazníkem.

Chyby při konfiguraci šifrování klíčů spravovaných zákazníkem v účtu NetApp

Chybový stav	Rozlišení
The operation failed because the specified key vault key was not found	Při ručním zadávání identifikátoru URI klíče se ujistěte, že je identifikátor URI správný.
Azure Key Vault key is not a valid RSA key	Ujistěte se, že vybraný klíč je typu RSA.
Azure Key Vault key is not enabled	Ujistěte se, že je vybraný klíč povolený.
Azure Key Vault key is expired	Ujistěte se, že nevypršela platnost vybraného klíče.
Azure Key Vault key has not been activated	Ujistěte se, že je vybraný klíč aktivní.
Key Vault URI is invalid	Při ručním zadávání identifikátoru URI klíče se ujistěte, že je identifikátor URI správný.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Aktualizujte úroveň obnovení trezoru klíčů na: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Ujistěte se, že je trezor klíčů ve stejné oblasti jako účet NetApp.

Chyby při vytváření svazku šifrovaného pomocí klíčů spravovaných zákazníkem

Chybový stav	Rozlišení
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	Váš účet NetApp nemá povolené šifrování klíčů spravovaných zákazníkem. Nakonfigurujte účet NetApp tak, aby používal klíč spravovaný zákazníkem.
EncryptionKeySource cannot be changed	Žádné řešení. Vlastnost EncryptionKeySource svazku nelze změnit.
Unable to use the configured encryption key, please check if key is active	Zkontrolujte, že: -Jsou všechny zásady přístupu v trezoru klíčů správné: Získání, šifrování, dešifrování? -Existuje privátní koncový bod pro trezor klíčů? - Je ve virtuální síti překlad adres virtuální sítě s povolenou delegovanou podsítí Azure NetApp Files?
Could not connect to the KeyVault	Ujistěte se, že je privátní koncový bod správně nastavený a brány firewall neblokují připojení z vaší virtuální sítě ke službě KeyVault.

Další kroky

• Azure NetApp Files API