Konfigurace klíčů spravovaných zákazníkem pro účet Azure Batch pomocí Azure Key Vault a spravované identity

Ve výchozím nastavení Azure Batch používá klíče spravované platformou k šifrování všech zákaznických dat uložených ve službě Azure Batch, jako jsou certifikáty, metadata úloh a úkolů. Volitelně můžete k šifrování dat uložených v Azure Batch použít vlastní klíče, tj. klíče spravované zákazníkem.

Klíče, které zadáte, se musí vygenerovat v Azure Key Vault a musí k nim přistupovat spravované identity pro prostředky Azure.

Existují dva typy spravovaných identit: přiřazené systémem a přiřazené uživatelem.

Můžete vytvořit účet Batch se spravovanou identitou přiřazenou systémem nebo samostatnou spravovanou identitu přiřazenou uživatelem, která má přístup ke klíčům spravovaným zákazníkem. Projděte si srovnávací tabulku , abyste pochopili rozdíly a rozmyslete si, která možnost je pro vaše řešení nejvhodnější. Pokud například chcete použít stejnou spravovanou identitu pro přístup k více prostředkům Azure, je potřeba spravovaná identita přiřazená uživatelem. Pokud ne, může stačit spravovaná identita přiřazená systémem přidružená k vašemu účtu Batch. Použití spravované identity přiřazené uživatelem vám také dává možnost vynutit klíče spravované zákazníkem při vytváření účtu Batch, jak je znázorněno dále.

Vytvoření účtu Batch se spravovanou identitou přiřazenou systémem

Pokud nepotřebujete samostatnou spravovanou identitu přiřazenou uživatelem, můžete při vytváření účtu Batch povolit spravovanou identitu přiřazenou systémem.

Důležité

Spravovanou identitu přiřazenou systémem vytvořenou pro účet Batch pro šifrování zákaznických dat, jak je popsáno v tomto dokumentu, nelze použít jako spravovanou identitu přiřazenou uživatelem ve fondu Batch. Pokud chcete použít stejnou spravovanou identitu v účtu Batch i ve fondu Batch, použijte místo toho společnou spravovanou identitu přiřazenou uživatelem.

portál Azure

Při vytváření účtů Batch v Azure Portal vyberte přiřazený systém v typu identity na kartě Upřesnit.

Po vytvoření účtu najdete jedinečný identifikátor GUID v poli ID objektu zabezpečení identity v části Vlastnosti . Typ identity zobrazí System assigned.

Tuto hodnotu potřebujete, abyste tomuto účtu Batch udělili přístup k Key Vault.

Azure CLI

Při vytváření nového účtu Batch jako parametr zadejte SystemAssigned--identity .

resourceGroupName='myResourceGroup'
accountName='mybatchaccount'

az batch account create \
    --name $accountName \
    --resource-group $resourceGroupName \
    --locations regionName='West US 2' \
    --identity 'SystemAssigned'

Po vytvoření účtu můžete ověřit, že je pro tento účet povolená spravovaná identita přiřazená systémem. Nezapomeňte si poznamenat PrincipalId, protože tato hodnota je potřebná k udělení přístupu účtu Batch k Key Vault.

az batch account show \
    --name $accountName \
    --resource-group $resourceGroupName \
    --query identity

Poznámka

Spravovaná identita přiřazená systémem vytvořená v účtu Batch se používá jenom k načítání klíčů spravovaných zákazníkem z Key Vault. Tato identita není k dispozici ve fondech služby Batch. Pokud chcete ve fondu použít spravovanou identitu přiřazenou uživatelem, projděte si téma Konfigurace spravovaných identit ve fondech služby Batch.

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete, můžete vytvořit spravovanou identitu přiřazenou uživatelem , která se dá použít pro přístup ke klíčům spravovaným zákazníkem.

Pro přístup k Key Vault potřebujete hodnotu ID klienta této identity.

Konfigurace instance Azure Key Vault

Key Vault Azure, ve kterém se vaše klíče vygenerují, se musí vytvořit ve stejném tenantovi jako váš účet Batch. Nemusí být ve stejné skupině prostředků ani ve stejném předplatném.

Vytvoření služby Azure Key Vault

Při vytváření instance Azure Key Vault s klíči spravovanými zákazníkem pro Azure Batch se ujistěte, že jsou povolené obnovitelné odstranění i ochrana před vymazáním.

Přidání zásad přístupu do instance Azure Key Vault

V Azure Portal po vytvoření Key Vault v části Zásady přístupu v části Nastavení přidejte přístup k účtu Batch pomocí spravované identity. V části Oprávnění ke klíči vyberte Získat, Zabalit klíč a Rozbalit klíč.

V poli Vybrat v části Objekt zabezpečení vyplňte jednu z následujících možností:

• Spravovaná identita přiřazená systémem: Zadejte principalId dříve načtenou identitu nebo název účtu Batch.
• Spravovaná identita přiřazená uživatelem: Zadejte ID klienta , které jste předtím získali, nebo název spravované identity přiřazené uživatelem.

Vygenerování klíče v Azure Key Vault

V Azure Portal přejděte na instanci Key Vault v části klíč a vyberte Vygenerovat nebo importovat. Vyberte typ klíče , který má být RSA a velikost klíče RSA , aby byla alespoň 2048 bitová. EC Typy klíčů se v současné době nepodporují jako klíč spravovaný zákazníkem v účtu Batch.

Po vytvoření klíče klikněte na nově vytvořený klíč a aktuální verzi a v části Vlastnosti zkopírujte Identifikátor klíče. Ujistěte se, že v části Povolené operace jsou zaškrtnuté obě možnosti Zabalit klíč a Rozbalit klíč .

Povolení klíčů spravovaných zákazníkem v účtu Batch

Teď, když jsou splněné požadavky, můžete ve svém účtu Batch povolit klíče spravované zákazníkem.

portál Azure

V Azure Portal přejděte na stránku účtu Batch. V části Šifrování povolte klíč spravovaný zákazníkem. Můžete použít přímo identifikátor klíče nebo vybrat trezor klíčů a pak kliknout na Vybrat trezor klíčů a klíč.

Azure CLI

Po vytvoření účtu Batch se spravovanou identitou přiřazenou systémem a udělení přístupu k Key Vault aktualizujte účet Batch pomocí adresy URL v parametru {Key Identifier}keyVaultProperties . Nastavte --encryption-key-source také jako Microsoft.KeyVault.

az batch account set \
    --name $accountName \
    --resource-group $resourceGroupName \
    --encryption-key-source Microsoft.KeyVault \
    --encryption-key-identifier {YourKeyIdentifier}

Vytvoření účtu Batch se spravovanou identitou přiřazenou uživatelem a klíči spravovanými zákazníkem

Jako příklad pomocí klienta Batch management .NET můžete vytvořit účet Batch, který má spravovanou identitu přiřazenou uživatelem a klíče spravované zákazníkem.

EncryptionProperties encryptionProperties = new EncryptionProperties()
{
    KeySource = KeySource.MicrosoftKeyVault,
    KeyVaultProperties = new KeyVaultProperties()
    {
        KeyIdentifier = "Your Key Azure Resource Manager Resource ID"
    }
};

BatchAccountIdentity identity = new BatchAccountIdentity()
{
    Type = ResourceIdentityType.UserAssigned,
    UserAssignedIdentities = new Dictionary<string, BatchAccountIdentityUserAssignedIdentitiesValue>
    {
            ["Your Identity Azure Resource Manager ResourceId"] = new BatchAccountIdentityUserAssignedIdentitiesValue()
    }
};
var parameters = new BatchAccountCreateParameters(TestConfiguration.ManagementRegion, encryption:encryptionProperties, identity: identity);

var account = await batchManagementClient.Account.CreateAsync("MyResourceGroup",
    "mynewaccount", parameters);

Aktualizace verze klíče spravovaného zákazníkem

Když vytváříte novou verzi klíče, aktualizujte účet Batch tak, aby používal novou verzi. Postupujte takto:

1. V Azure Portal přejděte ke svému účtu Batch a zobrazte nastavení Šifrování.
2. Zadejte identifikátor URI nové verze klíče. Případně můžete znovu vybrat Key Vault a klíč a aktualizovat verzi.
3. Uložte provedené změny.

K aktualizaci verze můžete použít také Azure CLI.

az batch account set \
    --name $accountName \
    --resource-group $resourceGroupName \
    --encryption-key-identifier {YourKeyIdentifierWithNewVersion}

Tip

Klíče můžete nechat automaticky obměňovat vytvořením zásady obměně klíčů v rámci Key Vault. Při zadávání identifikátoru klíče pro účet Batch použijte identifikátor klíče bez verzí k povolení automatické rotace s platnými zásadami rotace. Další informace najdete v tématu Konfigurace obměně klíčů v Key Vault.

Použití jiného klíče pro šifrování služby Batch

Chcete-li změnit klíč používaný pro šifrování služby Batch, postupujte takto:

1. Přejděte k účtu Batch a zobrazte nastavení Šifrování.
2. Zadejte identifikátor URI nového klíče. Případně můžete vybrat Key Vault a zvolit nový klíč.
3. Uložte provedené změny.

K použití jiného klíče můžete použít také Azure CLI.

az batch account set \
    --name $accountName \
    --resource-group $resourceGroupName \
    --encryption-key-identifier {YourNewKeyIdentifier}

Nejčastější dotazy

• Podporují se pro stávající účty Batch klíče spravované zákazníkem? No. Klíče spravované zákazníkem se podporují jenom pro nové účty Batch.
• Můžu vybrat klíče RSA větší než 2048 bitů? Ano, podporují se také klíče RSA velikosti 3072 a 4096 bitů.
• Jaké operace jsou k dispozici po odvolání klíče spravovaného zákazníkem? Jedinou povolenou operací je odstranění účtu v případě, že služba Batch ztratí přístup ke klíči spravovanému zákazníkem.
• Jak mám obnovit přístup ke svému účtu Batch, když omylem odstraním Key Vault klíč? Vzhledem k tomu, že je povolená ochrana před vymazáním a obnovitelné odstranění, můžete existující klíče obnovit. Další informace najdete v tématu Obnovení Key Vault Azure.
• Můžu zakázat klíče spravované zákazníkem? Typ šifrování účtu Batch můžete kdykoli nastavit zpět na klíč spravovaný Microsoftem. Klíč můžete později odstranit nebo změnit.
• Jak můžu své klíče obměňovat? Klíče spravované zákazníkem se nebudou automaticky obměňovat, pokud klíč není bez verzí s odpovídajícími zásadami obměna klíčů nastavenými v rámci Key Vault. Pokud chcete klíč obměňovat ručně, aktualizujte identifikátor klíče, ke kterému je účet přidružený.
• Jak dlouho po obnovení přístupu bude účet Batch znovu fungovat? Po obnovení přístupu může trvat až 10 minut, než bude účet znovu přístupný.
• Co se stane s mými prostředky, když je účet Batch nedostupný? Všechny fondy, které jsou aktivní, když dojde ke ztrátě přístupu služby Batch ke klíči spravovanému zákazníkem, budou nadále spuštěny. Uzly v těchto fondech ale přejdou do nedostupného stavu a úkoly přestanou běžet (a znovu se zadají do fronty). Po obnovení přístupu se uzly znovu zpřístupní a úlohy se restartují.
• Vztahuje se tento mechanismus šifrování na disky virtuálních počítačů ve fondu služby Batch? No. U fondů konfigurace Cloud Services (které jsou zastaralé) se pro operační systém a dočasný disk nepoužívá žádné šifrování. U fondů konfigurace virtuálních počítačů se operační systém a všechny zadané datové disky ve výchozím nastavení šifrují pomocí klíče spravovaného platformou Microsoftu. V současné době nemůžete pro tyto disky zadat vlastní klíč. Pokud chcete zašifrovat dočasný disk virtuálních počítačů pro fond batch pomocí klíče spravovaného platformou Microsoftu, musíte ve fondu konfigurace virtuálních počítačů povolit vlastnost diskEncryptionConfiguration. Pro vysoce citlivá prostředí doporučujeme povolit dočasné šifrování disku a vyhnout se ukládání citlivých dat na disky s operačním systémem a na datové disky. Další informace najdete v tématu Vytvoření fondu s povoleným šifrováním disků.
• Je spravovaná identita přiřazená systémem v účtu Batch dostupná na výpočetních uzlech? No. Spravovaná identita přiřazená systémem se v současné době používá jenom pro přístup k Key Vault Azure pro klíč spravovaný zákazníkem. Pokud chcete na výpočetních uzlech použít spravovanou identitu přiřazenou uživatelem, projděte si téma Konfigurace spravovaných identit ve fondech služby Batch.

Další kroky

• Přečtěte si další informace o osvědčených postupech zabezpečení v Azure Batch.
• Přečtěte si další informace o Azure Key Vault.