Konfigurace klíčů spravovaných zákazníkem pro zátěžové testování Azure pomocí služby Azure Key Vault

Azure Load Testing automaticky šifruje všechna data uložená v prostředku zátěžového testování pomocí klíčů, které Microsoft poskytuje (klíče spravované službou). Volitelně můžete přidat druhou vrstvu zabezpečení tím, že také zadáte vlastní klíče (spravované zákazníkem). Klíče spravované zákazníkem nabízejí větší flexibilitu pro řízení přístupu a používání zásad obměně klíčů.

Zadané klíče se bezpečně ukládají pomocí služby Azure Key Vault. Pro každý prostředek zátěžového testování Azure, který povolíte pomocí klíčů spravovaných zákazníkem, můžete vytvořit samostatný klíč.

Při použití šifrovacích klíčů spravovaných zákazníkem je potřeba zadat spravovanou identitu přiřazenou uživatelem, abyste mohli klíče načíst ze služby Azure Key Vault.

Azure Load Testing používá klíč spravovaný zákazníkem k šifrování následujících dat v prostředku zátěžového testování:

• Testovací skript a konfigurační soubory
• Tajné kódy
• Proměnné prostředí

Poznámka:

Azure Load Testing nešifruje data metrik pro testovací běh pomocí klíče spravovaného zákazníkem, včetně názvů vzorkovníků metrik JMeter, které zadáte ve skriptu JMeter. Microsoft má přístup k datům těchto metrik.

Požadavky

• Účet Azure s aktivním předplatným. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

• Existující spravovaná identita přiřazená uživatelem. Další informace o vytvoření spravované identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.

Omezení

• Klíče spravované zákazníkem jsou k dispozici pouze pro nové prostředky zátěžového testování Azure. Klíč byste měli nakonfigurovat během vytváření prostředků.

• Jakmile je u prostředku povolené šifrování klíče spravovaného zákazníkem, není možné ho zakázat.

• Azure Load Testing nemůže automaticky otočit klíč spravovaný zákazníkem, aby používal nejnovější verzi šifrovacího klíče. Po obměně klíče ve službě Azure Key Vault byste měli v prostředku aktualizovat identifikátor URI klíče.

Konfigurace trezoru klíčů Azure

Pokud chcete používat šifrovací klíče spravované zákazníkem se službou Azure Load Testing, musíte klíč uložit do služby Azure Key Vault. Můžete použít existující trezor klíčů nebo vytvořit nový. Prostředek zátěžového testování a trezor klíčů můžou být v různých oblastech nebo předplatných ve stejném tenantovi.

Při použití šifrovacích klíčů spravovaných zákazníkem nezapomeňte nakonfigurovat následující nastavení trezoru klíčů.

Konfigurace nastavení sítě trezoru klíčů

Pokud jste omezili přístup k trezoru klíčů Azure bránou firewall nebo virtuálními sítěmi, musíte udělit přístup k azure Load Testing pro načtení klíčů spravovaných zákazníkem. Pomocí těchto kroků udělte přístup k důvěryhodným službám Azure.

Konfigurace obnovitelného odstranění a ochrany před vymazáním

Vlastnosti obnovitelného odstranění a vyprázdnění v trezoru klíčů musíte nastavit tak, aby používaly klíče spravované zákazníkem se službou Azure Load Testing. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů a nedá se zakázat. Ochranu před vyprázdněním můžete kdykoli povolit. Přečtěte si další informace o obnovitelném odstranění a ochraně před vymazáním ve službě Azure Key Vault.

Azure Portal

Podle těchto kroků ověřte, jestli je povolené obnovitelné odstranění, a povolte ho v trezoru klíčů. Obnovitelné odstranění je ve výchozím nastavení možné při vytváření nového trezoru klíčů.

Ochranu před vymazáním můžete povolit při vytváření nového trezoru klíčů výběrem nastavení Povolit ochranu před vymazáním.

Pokud chcete u existujícího trezoru klíčů povolit ochranu před vymazáním, postupujte takto:

1. Na webu Azure Portal přejděte ke svému trezoru klíčů.
2. V části Nastavení zvolte Vlastnosti.
3. V části Ochrana před vyprázdněním zvolte Povolit ochranu před vymazáním.

PowerShell

Pokud chcete vytvořit nový trezor klíčů pomocí PowerShellu, nainstalujte verzi 2.0.0 nebo novější modulu Az.KeyVault PowerShellu. Potom zavolejte New-AzKeyVault a vytvořte nový trezor klíčů. Ve verzi 2.0.0 a novější modulu Az.KeyVault je obnovitelné odstranění ve výchozím nastavení povolené při vytváření nového trezoru klíčů.

Následující příklad vytvoří nový trezor klíčů s povoleným obnovitelným odstraněním i ochranou před vymazáním. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Povolení ochrany před vymazáním u existujícího trezoru klíčů pomocí PowerShellu:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Pokud chcete vytvořit nový trezor klíčů pomocí Azure CLI, zavolejte az keyvault create. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů.

Následující příklad vytvoří nový trezor klíčů s povoleným obnovitelným odstraněním i ochranou před vymazáním. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Povolení ochrany před vymazáním u existujícího trezoru klíčů pomocí Azure CLI:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Přidání klíče spravovaného zákazníkem do služby Azure Key Vault

Dále přidejte klíč do trezoru klíčů. Šifrování zátěžového testování Azure podporuje klíče RSA. Další informace o podporovaných typech klíčů ve službě Azure Key Vault najdete v tématu Informace o klíčích.

Azure Portal

Informace o přidání klíče pomocí webu Azure Portal najdete v tématu Nastavení a načtení klíče ze služby Azure Key Vault pomocí webu Azure Portal.

PowerShell

Pokud chcete přidat klíč pomocí PowerShellu, zavolejte Add-AzKeyVaultKey. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami a použít proměnné definované v předchozích příkladech.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Pokud chcete přidat klíč pomocí Azure CLI, zavolejte az keyvault key create. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Přidání zásad přístupu do trezoru klíčů

Pokud používáte šifrovací klíče spravované zákazníkem, musíte zadat spravovanou identitu přiřazenou uživatelem. Spravovaná identita přiřazená uživatelem pro přístup ke klíčům spravovaným zákazníkem ve službě Azure Key Vault musí mít příslušná oprávnění pro přístup k trezoru klíčů.

1. Na webu Azure Portal přejděte do instance služby Azure Key Vault, kterou chcete použít k hostování šifrovacích klíčů.

2. V nabídce vlevo vyberte Zásady přístupu.

   

3. Vyberte + Přidat zásady přístupu.

4. V rozevírací nabídce Oprávnění ke klíči vyberte oprávnění Získat, Rozbalit klíč a Zalamovat klíč.

   

5. V části Vybrat objekt zabezpečení vyberte Možnost Žádný.

6. Vyhledejte spravovanou identitu přiřazenou uživatelem, kterou jste vytvořili dříve, a vyberte ji ze seznamu.

7. Zvolte Vybrat v dolní části.

8. Pokud chcete přidat novou zásadu přístupu, vyberte Přidat .

9. Výběrem možnosti Uložit v instanci trezoru klíčů uložte všechny změny.

Použití klíčů spravovaných zákazníkem se službou Azure Load Testing

Šifrovací klíče spravované zákazníkem můžete nakonfigurovat pouze při vytváření nového prostředku zátěžového testování Azure. Když zadáte podrobnosti o šifrovacím klíči, musíte také vybrat spravovanou identitu přiřazenou uživatelem a načíst klíč ze služby Azure Key Vault.

Pokud chcete nakonfigurovat klíče spravované zákazníkem pro nový prostředek zátěžového testování, postupujte takto:

Azure Portal

1. Pomocí těchto kroků vytvořte prostředek zátěžového testování Azure na webu Azure Portal a vyplňte pole na kartě Základy .

2. Přejděte na kartu Šifrování a pak jako pole Typ šifrování vyberte klíče spravované zákazníkem (CMK).

3. Do pole Identifikátor URI klíče vložte identifikátor URI/klíč klíče služby Azure Key Vault včetně verze klíče.

4. V poli Identita přiřazená uživatelem vyberte existující spravovanou identitu přiřazenou uživatelem.

5. Vyberte Zkontrolovat a vytvořit , abyste ověřili a vytvořili nový prostředek.

PowerShell

Šablonu ARM můžete nasadit pomocí PowerShellu k automatizaci vytváření prostředků Azure. Přidáním následujících vlastností můžete vytvořit libovolný prostředek typu Microsoft.LoadTestService/loadtests s povoleným klíčem spravovaným zákazníkem pro šifrování:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Následující ukázka kódu ukazuje šablonu ARM pro vytvoření prostředku zátěžového testování s povolenými klíči spravovanými zákazníkem:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Nasaďte výše uvedenou šablonu do skupiny prostředků pomocí Rutiny New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Šablonu ARM můžete nasadit pomocí Azure CLI k automatizaci vytváření prostředků Azure. Přidáním následujících vlastností můžete vytvořit libovolný prostředek typu Microsoft.LoadTestService/loadtests s povoleným klíčem spravovaným zákazníkem pro šifrování:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Následující ukázka kódu ukazuje šablonu ARM pro vytvoření prostředku zátěžového testování s povolenými klíči spravovanými zákazníkem:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Nasaďte výše uvedenou šablonu do skupiny prostředků pomocí příkazu az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Změna spravované identity pro načtení šifrovacího klíče

Spravovanou identitu pro klíče spravované zákazníkem pro existující prostředek zátěžového testování můžete kdykoli změnit.

1. Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.

2. Na stránce Nastavení vyberte Šifrování.

   Typ šifrování zobrazuje typ šifrování, který se použil k vytvoření prostředku zátěžového testování.

3. Pokud je typ šifrování klíče spravovaný zákazníkem, vyberte typ identity, který se má použít k ověření v trezoru klíčů. Mezi možnosti patří systémově přiřazený (výchozí) nebo přiřazený uživatelem.

   Další informace o jednotlivých typech spravované identity najdete v tématu Typy spravovaných identit.

   • Pokud vyberete systémově přiřazenou spravovanou identitu, musí být u prostředku povolená spravovaná identita přiřazená systémem a před změnou identity klíčů spravovaných zákazníkem musí být udělen přístup ke službě AKV.
   • Pokud vyberete Uživatelem přiřazenou, musíte vybrat existující identitu přiřazenou uživatelem, která má oprávnění pro přístup k trezoru klíčů. Informace o vytvoření identity přiřazené uživatelem najdete v tématu Použití spravovaných identit pro Azure Load Testing Preview.

4. Uloží vaše změny.

Důležité

Ujistěte se, že vybraná spravovaná identita má přístup ke službě Azure Key Vault.

Aktualizace šifrovacího klíče spravovaného zákazníkem

Klíč, který používáte pro šifrování služby Azure Load Testing, můžete kdykoli změnit. Pokud chcete změnit klíč pomocí webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.

2. Na stránce Nastavení vyberte Šifrování. Typ šifrování zobrazuje šifrování vybrané pro prostředek při vytváření.

3. Pokud je vybraným typem šifrování klíče spravované zákazníkem, můžete upravit pole Identifikátor URI klíče pomocí nového identifikátoru URI klíče.

4. Uloží vaše změny.

Obměna šifrovacích klíčů

Klíč spravovaný zákazníkem můžete ve službě Azure Key Vault otočit podle zásad dodržování předpisů. Otočení klíče:

1. Ve službě Azure Key Vault aktualizujte verzi klíče nebo vytvořte nový klíč.
2. Aktualizujte šifrovací klíč spravovaný zákazníkem pro prostředek zátěžového testování.

Nejčastější dotazy

Účtují se za povolení klíčů spravovaných zákazníkem další poplatky?

Ne, za tuto funkci se neúčtují žádné poplatky.

Podporují se klíče spravované zákazníkem pro stávající prostředky zátěžového testování Azure?

Tato funkce je aktuálně dostupná jenom pro nové prostředky zátěžového testování Azure.

Jak zjistím, jestli jsou u prostředku zátěžového testování Azure povolené klíče spravované zákazníkem?

1. Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.
2. V levém navigačním panelu přejděte na položku Šifrování .
3. U prostředku můžete ověřit typ šifrování.

Návody odvolat šifrovací klíč?

Klíč můžete odvolat zakázáním nejnovější verze klíče ve službě Azure Key Vault. Pokud chcete také odvolat všechny klíče z instance trezoru klíčů, můžete odstranit zásady přístupu udělené spravované identitě prostředku zátěžového testování.

Když odvoláte šifrovací klíč, možná budete moct spouštět testy přibližně 10 minut, po jejichž odstranění prostředku je jedinou dostupnou operací. Místo odvolání klíče se doporučuje klíč otočit a spravovat zabezpečení prostředků a uchovávat vaše data.

Související obsah

• Zjistěte, jak monitorovat metriky aplikací na straně serveru.
• Zjistěte, jak parametrizovat zátěžový test pomocí tajných kódů a proměnných prostředí.