Konfigurace klíčů spravovaných zákazníkem pro šifrování svazků Azure NetApp Files

Klíče spravované zákazníkem pro šifrování svazků Azure NetApp Files umožňují při vytváření nového svazku místo klíče spravovaného platformou používat vlastní klíče. Pomocí klíčů spravovaných zákazníkem můžete plně spravovat vztah mezi životním cyklem klíče, oprávněními použití klíče a operacemi auditování klíčů.

Následující diagram ukazuje, jak fungují klíče spravované zákazníkem se službou Azure NetApp Files:

1. Azure NetApp Files uděluje oprávnění šifrovacím klíčům spravované identitě. Spravovaná identita je spravovaná identita přiřazená uživatelem, kterou vytvoříte a spravujete, nebo spravovanou identitu přiřazenou systémem přidruženou k účtu NetApp.

2. Pro účet NetApp nakonfigurujete šifrování pomocí klíče spravovaného zákazníkem.

3. Použijete spravovanou identitu, ke které správce služby Azure Key Vault udělil oprávnění v kroku 1 k ověření přístupu ke službě Azure Key Vault prostřednictvím Microsoft Entra ID.

4. Azure NetApp Files zabalí šifrovací klíč účtu do klíče spravovaného zákazníkem ve službě Azure Key Vault.

   Klíče spravované zákazníkem nemají vliv na výkon služby Azure NetApp Files. Jeho jediným rozdílem od klíčů spravovaných platformou je způsob, jakým se klíč spravuje.

5. V případě operací čtení a zápisu služba Azure NetApp Files odesílá požadavky do služby Azure Key Vault, aby odbalila šifrovací klíč účtu za účelem provádění operací šifrování a dešifrování.

Klíče spravované zákazníkem napříč tenanty jsou dostupné ve všech podporovaných oblastech Azure NetApp Files.

Úvahy

• Pokud chcete vytvořit svazek pomocí klíčů spravovaných zákazníkem, musíte vybrat standardní síťové funkce . Svazky klíčů spravované zákazníkem nemůžete používat se svazky nakonfigurovanými pomocí základních síťových funkcí. Podle pokynů nastavte možnost Síťové funkce na stránce pro vytvoření svazku.
• Pokud chcete zvýšit zabezpečení, můžete v nastavení sítě trezoru klíčů vybrat možnost Zakázat veřejný přístup . Při výběru této možnosti musíte také vybrat Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall , aby služba Azure NetApp Files mohla přistupovat k šifrovacímu klíči.
• Klíče spravované zákazníkem podporují automatické prodlužování platnosti certifikátu MSI (Managed System Identity). Pokud je certifikát platný, nemusíte ho aktualizovat ručně.
• Pokud se službě Azure NetApp Files nepodaří vytvořit svazek klíče spravovaný zákazníkem, zobrazí se chybové zprávy. Další informace najdete v tématu Chybové zprávy a řešení potíží.
• Po vytvoření svazku klíčů spravovaných zákazníkem neprovádejte žádné změny základní služby Azure Key Vault ani privátního koncového bodu Azure. Provedení změn může způsobit, že svazky budou nepřístupné. Pokud musíte provést změny, přečtěte si téma Aktualizace IP adresy privátního koncového bodu pro klíče spravované zákazníkem.
• Azure NetApp Files podporuje možnost převést stávající svazky z klíčů spravovaných platformou (PMK) na klíče spravované zákazníkem (CMK) bez migrace dat. To poskytuje flexibilitu životního cyklu šifrovacího klíče (prodloužení, obměny) a dodatečného zabezpečení pro regulované požadavky odvětví.
• Pokud je služba Azure Key Vault nepřístupná, Azure NetApp Files ztratí přístup k šifrovacím klíčům a schopnost číst nebo zapisovat data do svazků s klíči spravovanými zákazníkem. V takové situaci vytvořte požadavek na podporu, aby byl ručně obnoven přístup k zasaženým svazkům.
• Azure NetApp Files podporuje klíče spravované zákazníkem na svazcích zdrojů a dat pro replikaci s replikací mezi oblastmi nebo mezi zónami.
• Použití skupin zabezpečení sítě Azure (NSG) v podsíti privátního propojení ve službě Azure Key Vault se podporuje pro klíče spravované zákazníkem ve službě Azure NetApp Files. Skupiny zabezpečení sítě (NSG) neovlivňují připojení k soukromým odkazům, pokud není povolena zásada sítě soukromého koncového bodu na podsíti.
• Zabalování nebo rozbalování není podporováno. Klíče spravované zákazníkem používají šifrování/dešifrování. Další informace naleznete v tématu RSA algoritmy.

Požadavky

Před vytvořením prvního objemu s klíčem spravovaným zákazníkem musíte nastavit:

• Azure Key Vault obsahující alespoň jeden klíč.
  • Trezor klíčů musí mít povolené soft delete a ochranu proti odstranění.
  • Klíč musí být typu RSA.
• Trezor klíčů musí mít privátní koncový bod Azure.
  • Privátní koncový bod se musí nacházet v jiné podsíti než ta, která je delegována pro Azure NetApp Files. Podsíť musí být ve stejné virtuální síti jako podsíť delegovaná do Azure NetAppu.

Další informace o službě Azure Key Vault a privátním koncovém bodu Azure najdete tady:

• Rychlý start: Vytvoření trezoru klíčů
• Vytvořte nebo importujte klíč do trezoru
• Vytvoření privátního koncového bodu
• Další informace o klíčích a podporovaných typech klíčů
• Skupiny zabezpečení sítě
• Správa zásad sítě pro privátní koncové body

Konfigurace účtu NetApp pro použití klíčů spravovaných zákazníkem

Portál

1. Na webu Azure Portal a v části Azure NetApp Files vyberte Šifrování.

   Stránka Šifrování umožňuje spravovat nastavení šifrování pro váš účet NetApp. Obsahuje možnost nastavit účet NetApp tak, aby používal váš vlastní šifrovací klíč, který je uložený ve službě Azure Key Vault. Toto nastavení poskytuje identitu přiřazenou systémem k účtu NetApp a přidá zásadu přístupu pro identitu s požadovanými oprávněními ke klíči.

   

2. Když nastavíte účet NetApp tak, aby používal klíč spravovaný zákazníkem, máte dva způsoby, jak zadat identifikátor URI klíče:

   • Možnost Vybrat z trezoru klíčů umožňuje vybrat trezor klíčů a klíč.

   • Možnost Identifikátor URI klávesy Enter umožňuje zadat identifikátor URI klíče ručně.

3. Vyberte typ identity, který chcete použít k ověřování ve službě Azure Key Vault. Pokud je služba Azure Key Vault nakonfigurovaná tak, aby jako model oprávnění používala zásady přístupu k trezoru, jsou k dispozici obě možnosti. V opačném případě je k dispozici pouze možnost přiřazená uživatelem.

   • Pokud zvolíte Systém přiřazený, vyberte tlačítko Uložit . Azure Portal nakonfiguruje účet NetApp automaticky přidáním identity přiřazené systémem k vašemu účtu NetApp. Ve službě Azure Key Vault se také vytvoří zásada přístupu s oprávněními klíče Get, Encrypt, Decrypt.

   

   • Pokud zvolíte uživatelsky přiřazenou, musíte vybrat identitu. Zvolením možnosti Vybrat identitu otevřete podokno kontextu, ve kterém vyberete spravovanou identitu přiřazenou uživatelem.

   

   Pokud jste nakonfigurovali službu Azure Key Vault tak, aby používala zásady přístupu k trezoru, azure Portal nakonfiguruje účet NetApp automaticky pomocí následujícího procesu: Identita přiřazená uživatelem, kterou vyberete, se přidá do účtu NetApp. Ve službě Azure Key Vault se vytvoří zásada přístupu s oprávněními klíče Get, Encrypt, Decrypt.

   Pokud jste službu Azure Key Vault nakonfigurovali tak, aby používala řízení přístupu na základě role Azure, musíte se ujistit, že vybraná identita přiřazená uživatelem má v trezoru klíčů přiřazení role s oprávněními pro akce:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action Identita přiřazená uživatelem, kterou vyberete, se přidá do vašeho účtu NetApp. Vzhledem k přizpůsobitelné povaze řízení přístupu na základě role azure Portal nekonfiguruje přístup k trezoru klíčů. Podrobnosti o konfiguraci služby Azure Key Vault najdete v tématu Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role Azure .

4. Vyberte Uložit a sledujte oznámení o stavu operace. Pokud operace není úspěšná, zobrazí se chybová zpráva. Pomoc s řešením chyby najdete v chybových zprávách a řešení potíží.

Azure CLI

Způsob konfigurace účtu NetApp s klíči spravovanými zákazníkem pomocí Azure CLI závisí na tom, jestli používáte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

Použijte identitu přidělenou systémem

1. Aktualizujte účet NetApp tak, aby používal identitu přiřazenou systémem.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Pokud chcete použít zásadu přístupu, vytvořte proměnnou, která obsahuje ID identity účtu, poté spusťte az keyvault set-policy a přiřaďte oprávnění "Get," "Encrypt," a "Decrypt."

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Aktualizujte účet NetApp pomocí trezoru klíčů.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Použití nové identity přiřazené uživatelem

1. Vytvořte novou uživatelem přiřazenou identitu.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Nastavte zásadu přístupu pro trezor klíčů.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       --output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Poznámka:

   K udělení přístupu k trezoru klíčů můžete alternativně použít řízení přístupu na základě role.

3. Přiřaďte identitu přiřazenou uživatelem k účtu NetApp a aktualizujte šifrování trezoru klíčů.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Proces konfigurace účtu NetApp s klíči spravovanými zákazníkem v Azure CLI závisí na tom, jestli používáte identitu přiřazenou systémem nebo identitu přiřazenou uživatelem.

Povolení přístupu pro identitu přiřazenou systémem

1. Aktualizujte účet NetApp tak, aby používal identitu přiřazenou systémem.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Pokud chcete použít zásady přístupu, spusťte Set-AzKeyVaultAccessPolicy s názvem trezoru klíčů, ID hlavního objektu identity účtu a oprávněními "Get," "Encrypt" a "Decrypt."

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Aktualizujte svůj účet NetApp pomocí informací o trezoru klíčů.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.Name -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Povolení přístupu pro identitu přiřazenou uživatelem

1. Vytvořte novou uživatelem přiřazenou identitu.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Přiřaďte zásady přístupu k trezoru klíčů.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Poznámka:

   K udělení přístupu k trezoru klíčů můžete alternativně použít řízení přístupu na základě role.

3. Přiřaďte identitu přiřazenou uživatelem k účtu NetApp a aktualizujte šifrování trezoru klíčů.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Použití řízení přístupu na základě rolí

Můžete použít Službu Azure Key Vault, která je nakonfigurovaná tak, aby používala řízení přístupu na základě role v Azure. Pokud chcete nakonfigurovat klíče spravované zákazníkem prostřednictvím webu Azure Portal, musíte zadat identitu přiřazenou uživatelem.

1. Ve svém účtu Azure přejděte do trezorů klíčů a pak zásady přístupu.

2. Pokud chcete vytvořit zásadu přístupu, vyberte v části Model oprávněnířízení přístupu na základě role Azure.

3. Při vytváření role přiřazené uživatelem jsou vyžadována tři oprávnění pro klíče spravované zákazníkem:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Přestože existují předdefinované role, které tato oprávnění zahrnují, tyto role udělují více oprávnění, než je potřeba. Doporučujeme vytvořit vlastní roli pouze s minimálními požadovanými oprávněními. Další informace najdete v tématu Vlastní role Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Jakmile je vlastní role vytvořená a dostupná pro použití s trezorem klíčů, použijete ji u identity přiřazené uživatelem.

Vytvoření svazku Azure NetApp Files pomocí klíčů spravovaných zákazníkem

1. V Azure NetApp Files vyberte Volumes a pak + Add volume.

2. Postupujte podle pokynů v tématu Konfigurace síťových funkcí pro svazek Azure NetApp Files:

   • Nastavte možnost Síťové funkce na stránce pro vytvoření svazku.
   • Skupina zabezpečení sítě pro delegovanou podsíť svazku musí umožnit příchozí provoz z úložného VM od společnosti NetApp.

3. Pro účet NetApp nakonfigurovaný tak, aby používal klíč spravovaný zákazníkem, stránka Vytvořit svazek obsahuje možnost Zdroj šifrovacího klíče.

   Pokud chcete svazek zašifrovat pomocí klíče, v rozevírací nabídce Zdroj šifrovacího klíče vyberte Customer-Managed Klíč.

   Když vytváříte svazek pomocí klíče spravovaného zákazníkem, musíte také pro možnost Síťové funkce vybrat Standard. Základní síťové funkce nejsou podporovány.

   Musíte také vybrat privátní koncový bod trezoru klíčů. V rozevírací nabídce se zobrazí privátní koncové body ve vybrané virtuální síti. Pokud ve vybrané virtuální síti neexistuje žádný privátní koncový bod pro váš trezor klíčů, rozevírací seznam je prázdný a nebudete moct pokračovat. Pokud narazíte na tento scénář, přečtěte si téma Privátní koncový bod Azure.

   

4. Pokračujte v dokončení procesu vytváření svazku. Přečtěte si:

   • Vytvoření svazku NFS
   • Vytvořte svazek SMB
   • Vytvořte dvouprotokolový svazek

Přechod svazku Azure NetApp Files na klíče spravované zákazníkem

Azure NetApp Files podporuje možnost přesouvat existující svazky pomocí klíčů spravovaných platformou na klíče spravované zákazníkem. Po dokončení migrace se nemůžete vrátit k klíčům spravovaným platformou.

Přechodové objemy

Poznámka:

Při přechodu svazků na používání klíčů spravovaných zákazníkem musíte provést přechod pro každou virtuální síť, kde váš účet Azure NetApp Files obsahuje svazky.

1. Ujistěte se, že jste nakonfigurovali účet Azure NetApp Files tak, aby používal klíče spravované zákazníkem.
2. Na webu Azure Portal přejděte na Šifrování.
3. Vyberte kartu Migrace CMK .
4. V rozevírací nabídce vyberte virtuální síť a privátní koncový bod trezoru klíčů, které chcete použít.
5. Azure vygeneruje seznam svazků, které se mají šifrovat pomocí klíče spravovaného zákazníkem.
6. Výběrem možnosti Potvrdit zahájíte migraci.

Změnit klíče pro všechny svazky v rámci účtu NetApp.

Pokud jste už nakonfigurovali účet NetApp pro klíče spravované zákazníkem a máte jeden nebo více svazků šifrovaných pomocí klíčů spravovaných zákazníkem, můžete změnit klíč, který se používá k šifrování všech svazků v rámci účtu NetApp. Můžete vybrat libovolný klíč, který je ve stejném trezoru klíčů. Změna trezorů klíčů se nepodporuje.

1. Pod účtem NetApp přejděte do nabídky Šifrování . Pod vstupním polem Aktuální klíč vyberte odkaz Přegenerovat klíč.

2. V nabídce Rekey vyberte jednu z dostupných kláves z rozevírací nabídky. Zvolený klíč se musí lišit od aktuálního klíče.

3. Vyberte OK pro uložení. Operace opětovného klíče může trvat několik minut.

Přepnutí z identity přiřazené systémem na identitu přiřazenou uživatelem

Pokud chcete přepnout ze systému přiřazené na identitu přiřazenou uživatelem, musíte cílové identitě udělit přístup k trezoru klíčů, který se používá se čtením a získáním, šifrováním a dešifrovacími oprávněními.

1. Aktualizujte účet NetApp odesláním požadavku PATCH pomocí az rest příkazu:

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   Datová část by měla používat následující strukturu:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Pomocí příkazu potvrďte, že se operace úspěšně dokončila az netappfiles account show . Výstup obsahuje následující pole:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Zajistěte následující:

   • encryption.identity.principalId odpovídá hodnotě v identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity odpovídá hodnotě v identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Aktualizace privátního koncového bodu

Úpravy privátního koncového bodu Azure po vytvoření svazku spravovaného klíčem zákazníka mohou způsobit, že svazek bude nepřístupný. Pokud potřebujete provést změny, musíte vytvořit nový koncový bod a aktualizovat svazek tak, aby odkazoval na nový koncový bod.

1. Vytvořte nový koncový bod mezi virtuální sítí a službou Azure Key Vault.
2. Aktualizujte všechny svazky, které používají starý koncový bod, aby používaly nový koncový bod.

   az netappfiles volume update --g $resource-group-name --account-name $netapp-account-name --pool-name $pool-name --name $volume-name --key-vault-private-endpoint-resource-id $newendpoint
   

3. Odstraňte starý privátní koncový bod.

Další kroky

• Řešení potíží s klíči spravovanými zákazníkem
• Azure NetApp Files API
• Konfigurace klíčů spravovaných zákazníkem pomocí spravovaného modulu hardwarového zabezpečení
• Konfigurace klíčů spravovaných zákazníkem napříč tenanty
• Principy šifrování dat ve službě Azure NetApp Files