Konfigurace klíčů spravovaných zákazníkem

Azure Data Explorer šifruje všechna uložená data v neaktivním účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete získat větší kontrolu nad šifrovacími klíči, můžete zadat klíče spravované zákazníkem, které se použijí pro šifrování dat.

Klíče spravované zákazníkem musí být uložené v azure Key Vault. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete k vygenerování klíčů použít rozhraní API azure Key Vault. Cluster Azure Data Explorer a trezor klíčů musí být ve stejné oblasti, ale můžou být v různých předplatných. Podrobné vysvětlení klíčů spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pomocí Azure Key Vault.

V tomto článku se dozvíte, jak nakonfigurovat klíče spravované zákazníkem.

Ukázky kódu založené na předchozích verzích sady SDK najdete v archivovaného článku.

Konfigurace Azure Key Vaultu

Pokud chcete nakonfigurovat klíče spravované zákazníkem pomocí Azure Data Explorer, musíte v trezoru klíčů nastavit dvě vlastnosti: Obnovitelné odstranění a Nevyprázdnit. Tyto vlastnosti nejsou ve výchozím nastavení povolené. Pokud chcete tyto vlastnosti povolit, proveďte povolení obnovitelného odstranění a povolení ochrany proti vymazání v PowerShellu nebo Azure CLI v novém nebo existujícím trezoru klíčů. Podporují se pouze klíče RSA velikosti 2048. Další informace o klíčích najdete v tématu Key Vault klíče.

Poznámka

Informace o omezeních používání klíčů spravovaných zákazníkem v clusterech leader a follower najdete v tématu Omezení.

Přiřazení spravované identity ke clusteru

Pokud chcete pro cluster povolit klíče spravované zákazníkem, nejprve clusteru přiřaďte spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem. Tuto spravovanou identitu použijete k udělení oprávnění clusteru pro přístup k trezoru klíčů. Informace o konfiguraci spravovaných identit najdete v tématu Spravované identity.

Povolení šifrování pomocí klíčů spravovaných zákazníkem

Azure Portal

Následující postup vysvětluje, jak povolit šifrování klíčů spravovaných zákazníkem pomocí Azure Portal. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. V Azure Portal přejděte k prostředku clusteru Azure Data Explorer.

2. V levém podokně portálu vyberte Nastavení>Šifrování .

3. V podokně Šifrování vyberte Zapnuto pro nastavení klíče spravovaného zákazníkem .

4. Vyberte Vybrat klíč.

   

5. V okně Vybrat klíč z Azure Key Vault vyberte v rozevíracím seznamu existující trezor klíčů. Pokud vyberete Vytvořit nový a vytvoříte nový Key Vault, budete přesměrováni na obrazovku Vytvořit Key Vault.

6. Vyberte Klíč.

7. Verze:

   • Pokud chcete zajistit, aby tento klíč vždy používal nejnovější verzi klíče, zaškrtněte políčko Vždy používat aktuální verzi klíče .
   • V opačném případě vyberte Verze.

8. Vyberte Vybrat.

   

9. V části Typ identity vyberte Přiřazeno systémem nebo Přiřazeno uživatelem.

10. Pokud vyberete Přiřazeno uživatelem, vyberte z rozevíracího seznamu identitu přiřazenou uživatelem.

    

11. V podokně Šifrování , které teď obsahuje váš klíč, vyberte Uložit. Po úspěšném vytvoření CMK se v oznámeních zobrazí zpráva o úspěchu.

    

Pokud při povolování klíčů spravovaných zákazníkem pro cluster Azure Data Explorer vyberete identitu přiřazenou systémem, vytvoříte pro cluster identitu přiřazenou systémem, pokud neexistuje. Kromě toho na vybraném Key Vault poskytnete clusteru Azure Data Explorer požadovaná oprávnění get, wrapKey a unwrapKey a získáte Key Vault vlastnosti.

Poznámka

Výběrem možnosti Vypnuto odeberete klíč spravovaný zákazníkem po jeho vytvoření.

C#

Následující části vysvětlují, jak nakonfigurovat šifrování klíčů spravovaných zákazníkem pomocí klienta Azure Data Explorer jazyka C#.

Instalace balíčků

• Nainstalujte balíček NuGet azure Data Explorer (Kusto).
• Nainstalujte balíček NuGet Azure.Identity pro ověřování s Microsoft Entra ID.

Authentication

Pokud chcete spustit příklady v tomto článku, vytvořte Microsoft Entra aplikaci a instanční objekt, které mají přístup k prostředkům. Přiřazení role můžete přidat v oboru předplatného a získat požadované Microsoft Entra Directory (tenant) ID, Application IDa Application Secret.

Následující fragment kódu ukazuje, jak pomocí knihovny Microsoft Authentication Library (MSAL) získat token aplikace Microsoft Entra pro přístup ke clusteru. Aby tok proběhl úspěšně, musí být aplikace zaregistrovaná s Microsoft Entra ID a vy musíte mít přihlašovací údaje pro ověřování aplikace, jako je klíč aplikace vydaný Microsoft Entra ID nebo Microsoft Entra zaregistrovaný certifikát X.509v2.

Konfigurace klíčů spravovaných zákazníkem

Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. Aktualizujte cluster pomocí následujícího kódu:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. Spuštěním následujícího příkazu zkontrolujte, jestli se cluster úspěšně aktualizoval:

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   Pokud výsledek obsahuje ProvisioningState s Succeeded hodnotou, cluster se úspěšně aktualizoval.

Azure CLI

Následující kroky vysvětlují, jak povolit šifrování klíčů spravovaných zákazníkem pomocí klienta Azure CLI. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. Spuštěním následujícího příkazu se přihlaste k Azure:

   az login
   

2. Nastavte předplatné, ve kterém je váš cluster zaregistrovaný. Nahraďte MyAzureSub názvem předplatného Azure, které chcete použít.

   az account set --subscription MyAzureSub
   

3. Spuštěním následujícího příkazu nastavte nový klíč s identitou přiřazenou systémem clusteru.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Případně nastavte nový klíč s identitou přiřazenou uživatelem.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Spusťte následující příkaz a zkontrolujte vlastnost keyVaultProperties a ověřte, že se cluster úspěšně aktualizoval.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

PowerShell

Následující postup vysvětluje, jak povolit šifrování klíčů spravovaných zákazníkem pomocí PowerShellu. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. Spuštěním následujícího příkazu se přihlaste k Azure:

   Connect-AzAccount
   

2. Nastavte předplatné, ve kterém je váš cluster zaregistrovaný.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Spuštěním následujícího příkazu nastavte nový klíč pomocí identity přiřazené systémem.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Případně můžete nový klíč nastavit pomocí identity přiřazené uživatelem.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Spusťte následující příkaz a zkontrolujte KeyVaultProperty... vlastnosti pro ověření úspěšné aktualizace clusteru.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

Šablona ARM

Následující postup vysvětluje, jak nakonfigurovat klíče spravované zákazníkem pomocí šablon Azure Resource Manager. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. V tomto kroku nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

Pokud chcete pro přístup k trezoru klíčů použít identitu přiřazenou systémem, nechte userIdentity prázdnou. V opačném případě nastavte ID prostředku identity.

Šablonu Azure Resource Manager můžete nasadit pomocí Azure Portal nebo PowerShellu.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, budete muset cluster aktualizovat tak, aby používal novou verzi. Nejprve zavolejte, Get-AzKeyVaultKey abyste získali nejnovější verzi klíče. Pak aktualizujte vlastnosti trezoru klíčů clusteru tak, aby používaly novou verzi klíče, jak je znázorněno v tématu Povolení šifrování pomocí klíčů spravovaných zákazníkem.

Související obsah

• Zabezpečení clusterů Azure Data Explorer v Azure
• Konfigurace spravovaných identit pro cluster Azure Data Explorer
• Zabezpečení clusteru pomocí služby Disk Encryption v Azure Data Explorer