Sdílet prostřednictvím

Použití šifrovacích klíčů spravovaných zákazníkem pro Azure HPC Cache

  • Článek

Azure Key Vault můžete použít k řízení vlastnictví klíčů používaných k šifrování dat ve službě Azure HPC Cache. Tento článek vysvětluje, jak používat klíče spravované zákazníkem pro šifrování dat mezipaměti.

Poznámka:

Všechna data uložená v Azure, včetně disků mezipaměti, se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete spravovat klíče používané k šifrování dat, stačí postupovat podle kroků v tomto článku.

Azure HPC Cache je také chráněn šifrováním hostitele virtuálního počítače na spravovaných discích, které obsahují data uložená v mezipaměti, i když pro disky mezipaměti přidáte klíč zákazníka. Přidání klíče spravovaného zákazníkem pro dvojité šifrování poskytuje vyšší úroveň zabezpečení pro zákazníky s vysokými potřebami zabezpečení. Podrobnosti najdete v šifrování úložiště disků Azure na straně serveru.

Existují tři kroky, jak povolit šifrování klíčů spravovaných zákazníkem pro Azure HPC Cache:

  1. Nastavte službu Azure Key Vault pro uložení klíčů.

  2. Při vytváření služby Azure HPC Cache zvolte šifrování klíčů spravované zákazníkem a zadejte trezor klíčů a klíč, který se má použít. Volitelně můžete zadat spravovanou identitu pro mezipaměť, která se má použít pro přístup k trezoru klíčů.

    V závislosti na možnostech, které v tomto kroku provedete, možná budete moct přeskočit krok 3. Přečtěte si možnost Zvolit spravovanou identitu pro mezipaměť s podrobnostmi.

  3. Pokud používáte spravovanou identitu přiřazenou systémem nebo identitu přiřazenou uživatelem, která není nakonfigurovaná s přístupem k trezoru klíčů: Přejděte do nově vytvořené mezipaměti a autorizujete ji pro přístup k trezoru klíčů.

    Pokud spravovaná identita ještě nemá přístup ke službě Azure Key Vault, nebude šifrování zcela nastaveno, dokud ji nevytvořili autorizaci z nově vytvořené mezipaměti (krok 3).

    Pokud používáte identitu spravovanou systémem, vytvoří se identita při vytvoření mezipaměti. Identitu mezipaměti musíte předat trezoru klíčů, aby byl po vytvoření mezipaměti autorizovaným uživatelem.

    Tento krok můžete přeskočit, pokud přiřadíte identitu spravovanou uživatelem, která už má přístup k trezoru klíčů.

Po vytvoření mezipaměti se mezi klíči spravovanými zákazníkem a klíči spravovanými Microsoftem nemůžete měnit. Pokud však vaše mezipaměť používá klíče spravované zákazníkem, můžete podle potřeby změnit šifrovací klíč, verzi klíče a trezor klíčů.

Vysvětlení požadavků na trezor klíčů a klíče

Trezor klíčů a klíč musí splňovat tyto požadavky, aby fungovaly se službou Azure HPC Cache.

Vlastnosti trezoru klíčů:

  • Předplatné – Použijte stejné předplatné, které se používá pro mezipaměť.
  • Oblast – Trezor klíčů musí být ve stejné oblasti jako Azure HPC Cache.
  • Cenová úroveň – Úroveň Standard je dostatečná pro použití se službou Azure HPC Cache.
  • Obnovitelné odstranění – Azure HPC Cache povolí obnovitelné odstranění, pokud ještě není nakonfigurované v trezoru klíčů.
  • Ochrana před vyprázdněním – Ochrana před vyprázdněním musí být povolená.
  • Zásady přístupu – Výchozí nastavení stačí.
  • Připojení k síti – Azure HPC Cache musí mít přístup k trezoru klíčů bez ohledu na nastavení koncového bodu, které zvolíte.

Vlastnosti klíče:

  • Typ klíče – RSA
  • Velikost klíče RSA – 2048
  • Povoleno – Ano

Přístupová oprávnění trezoru klíčů:

  • Uživatel, který vytvoří Azure HPC Cache, musí mít oprávnění odpovídající roli přispěvatele služby Key Vault. Stejná oprávnění jsou potřebná k nastavení a správě služby Azure Key Vault.

    Další informace najdete v zabezpečeném přístupu k trezoru klíčů.

Volba možnosti spravované identity pro mezipaměť

Vaše služba HPC Cache používá k připojení k trezoru klíčů přihlašovací údaje spravované identity.

Azure HPC Cache může používat dva druhy spravovaných identit:

  • Spravovaná identita přiřazená systémem – automaticky vytvořená jedinečná identita pro vaši mezipaměť. Tato spravovaná identita existuje pouze v době, kdy existuje služba HPC Cache a nejde ji přímo spravovat ani upravovat.

  • Spravovaná identita přiřazená uživatelem – Přihlašovací údaje samostatné identity, které spravujete odděleně od mezipaměti. Můžete nakonfigurovat spravovanou identitu přiřazenou uživatelem, která má přesně požadovaný přístup, a použít ji ve více službě HPC Cache.

Pokud při vytváření nepřiřazujete spravovanou identitu k mezipaměti, Azure automaticky vytvoří spravovanou identitu přiřazenou systémem pro mezipaměť.

Pomocí spravované identity přiřazené uživatelem můžete zadat identitu, která už má přístup k vašemu trezoru klíčů. (Například se přidala do zásad přístupu trezoru klíčů nebo má roli Azure RBAC, která povoluje přístup.) Pokud používáte identitu přiřazenou systémem nebo zadáte spravovanou identitu, která nemá přístup, budete po vytvoření muset požádat o přístup z mezipaměti. Toto je ruční krok popsaný níže v kroku 3.

1. Nastavení služby Azure Key Vault

Trezor klíčů a klíč můžete nastavit před vytvořením mezipaměti nebo ho provést při vytváření mezipaměti. Ujistěte se, že tyto prostředky splňují výše uvedené požadavky.

Při vytváření mezipaměti musíte zadat trezor, klíč a verzi klíče, které se mají použít pro šifrování mezipaměti.

Podrobnosti najdete v dokumentaci ke službě Azure Key Vault.

Poznámka:

Azure Key Vault musí používat stejné předplatné a být ve stejné oblasti jako Azure HPC Cache. Ujistěte se, že zvolená oblast podporuje oba produkty.

2. Vytvoření mezipaměti s povolenými klíči spravovanými zákazníkem

Při vytváření služby Azure HPC Cache musíte zadat zdroj šifrovacího klíče. Postupujte podle pokynů v tématu Vytvoření služby Azure HPC Cache a na stránce Šifrovací klíče disku zadejte trezor klíčů a klíč. Během vytváření mezipaměti můžete vytvořit nový trezor klíčů a klíč.

Tip

Pokud se stránka Šifrovací klíče disku nezobrazí, ujistěte se, že je vaše mezipaměť v jedné z podporovaných oblastí.

Snímek obrazovky s hotovými šifrovacími klíči disku, který je součástí rozhraní pro vytvoření mezipaměti na portálu

Uživatel, který vytváří mezipaměť, musí mít oprávnění rovna roli přispěvatele služby Key Vault nebo vyšší.

  1. Kliknutím na tlačítko povolíte privátní spravované klíče. Po změně tohoto nastavení se zobrazí nastavení trezoru klíčů.

  2. Kliknutím na Vybrat trezor klíčů otevřete stránku výběru klíčů. Zvolte nebo vytvořte trezor klíčů a klíč pro šifrování dat na discích této mezipaměti.

    Pokud se v seznamu nezobrazí vaše služba Azure Key Vault, zkontrolujte tyto požadavky:

    • Je mezipaměť ve stejném předplatném jako trezor klíčů?
    • Je mezipaměť ve stejné oblasti jako trezor klíčů?
    • Existuje síťové připojení mezi webem Azure Portal a trezorem klíčů?

  3. Po výběru trezoru vyberte jednotlivé klíče z dostupných možností nebo vytvořte nový klíč. Klíč musí být 2048bitový klíč RSA.

  4. Zadejte verzi vybraného klíče. Další informace o správě verzí najdete v dokumentaci ke službě Azure Key Vault.

Tato nastavení jsou volitelná:

  • Pokud chcete použít automatickou obměnu klíčů, zaškrtněte políčko Vždy používat aktuální verzi klíče.

  • Pokud chcete pro tuto mezipaměť použít konkrétní spravovanou identitu, vyberte v části Spravované identity přiřazené uživatelem a vyberte identitu, kterou chcete použít. Nápovědu najdete v dokumentaci ke spravovaným identitám.

    Tip

    Spravovaná identita přiřazená uživatelem může zjednodušit vytváření mezipaměti, pokud předáte identitu, která je už nakonfigurovaná pro přístup k trezoru klíčů. Pokud máte spravovanou identitu přiřazenou systémem, musíte po vytvoření mezipaměti provést další krok, aby se nově vytvořená identita přiřazená systémem mezipaměti autorizovala k používání vašeho trezoru klíčů.

    Poznámka:

    Po vytvoření mezipaměti nemůžete změnit přiřazenou identitu.

Pokračujte zbývajícími specifikacemi a vytvořte mezipaměť, jak je popsáno v tématu Vytvoření služby Azure HPC Cache.

3. Autorizace šifrování služby Azure Key Vault z mezipaměti (v případě potřeby)

Poznámka:

Tento krok se nevyžaduje, pokud jste při vytváření mezipaměti zadali spravovanou identitu přiřazenou uživatelem s přístupem k trezoru klíčů.

Po několika minutách se nová služba Azure HPC Cache zobrazí na webu Azure Portal. Přejděte na stránku Přehled a povolte jeho autorizaci pro přístup ke službě Azure Key Vault a povolte šifrování klíčů spravovaných zákazníkem.

Tip

Mezipaměť se může zobrazit v seznamu prostředků, než se vymažou zprávy o probíhajícím nasazení. Místo čekání na oznámení o úspěchu zkontrolujte seznam prostředků po minutě nebo dvou.

Šifrování musíte autorizovat do 90 minut po vytvoření mezipaměti. Pokud tento krok nedokončíte, vyprší časový limit mezipaměti a selže. Mezipaměť, která selhala, se musí znovu vytvořit, nejde ji opravit.

V mezipaměti se zobrazuje stav Čekání na klíč. Kliknutím na tlačítko Povolit šifrování v horní části stránky autorizujete mezipaměť pro přístup k zadanému trezoru klíčů.

Snímek obrazovky se stránkou přehledu mezipaměti na portálu se zvýrazněním tlačítka Povolit šifrování (horní řádek) a stavem: Čekání na klíč

Klepněte na tlačítko Povolit šifrování a potom kliknutím na tlačítko Ano autorizujete mezipaměť pro použití šifrovacího klíče. Tato akce také umožňuje obnovitelné odstranění a ochranu před vymazáním (pokud ještě není povolená) v trezoru klíčů.

Snímek obrazovky se stránkou přehledu mezipaměti na portálu s bannerovou zprávou v horní části, která uživatele vyzve, aby povolil šifrování kliknutím na ano

Jakmile mezipaměť požádá o přístup k trezoru klíčů, může vytvořit a zašifrovat disky, které ukládají data uložená v mezipaměti.

Po autorizaci šifrování projde Azure HPC Cache několika minut nastavením a vytvoří šifrované disky a související infrastrukturu.

Aktualizace nastavení klíče

Trezor klíčů, klíč nebo verzi klíče pro mezipaměť můžete změnit z webu Azure Portal. Kliknutím na odkaz nastavení šifrování mezipaměti otevřete stránku Nastavení klíče zákazníka.

Mezipaměť mezi klíči spravovanými zákazníkem a klíči spravovanými systémem nemůžete změnit.

Snímek obrazovky se stránkou Nastavení klíčů zákazníka, ke které se dostanete kliknutím na Šifrování nastavení > na stránce mezipaměti na webu Azure Portal

Klikněte na odkaz Změnit klíč a potom kliknutím na Změnit trezor klíčů, klíč nebo verzi otevřete selektor klíčů.

Snímek obrazovky se stránkou Vybrat klíč ze služby Azure Key Vault se třemi rozevíracími selektory pro výběr trezoru klíčů, klíče a verze

Trezory klíčů ve stejném předplatném a stejné oblasti jako tato mezipaměť se zobrazují v seznamu.

Po výběru nových hodnot šifrovacího klíče klikněte na Vybrat. Zobrazí se potvrzovací stránka s novými hodnotami. Kliknutím na Uložit výběr dokončíte.

Snímek obrazovky s potvrzovací stránkou s tlačítkem Uložit vlevo nahoře

Další informace o klíčích spravovaných zákazníkem v Azure

V těchto článcích najdete další informace o používání služby Azure Key Vault a klíčů spravovaných zákazníkem k šifrování dat v Azure:

Další kroky

Po vytvoření služby Azure HPC Cache a autorizovaného šifrování založeného na službě Key Vault pokračujte v nastavení mezipaměti tím, že jí udělíte přístup k vašim zdrojům dat.