Freigeben über

Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln mit Azure Managed Lustre

  • Artikel

Sie können Azure Key Vault verwenden, um den Besitz der Schlüssel zu steuern, die zum Verschlüsseln Ihrer In einem Azure Managed Lustre-Dateisystem gespeicherten Daten verwendet werden. In diesem Artikel wird erläutert, wie Sie vom Kunden verwaltete Schlüssel für die Datenverschlüsselung mit Azure Managed Lustre verwenden.

Hinweis

Alle in Azure gespeicherten Daten werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Sie müssen nur die Schritte in diesem Artikel ausführen, wenn Sie die Schlüssel verwalten möchten, die zum Verschlüsseln Ihrer Daten verwendet werden, wenn sie in Ihrem Azure Managed Lustre-Cluster gespeichert sind.

Die VM-Hostverschlüsselung schützt alle Informationen auf den verwalteten Datenträgern, die Ihre Daten in einem Azure Managed Lustre-Dateisystem enthalten, auch wenn Sie einen Kundenschlüssel für die Lustre-Datenträger hinzufügen. Das Hinzufügen eines vom Kunden verwalteten Schlüssels bietet eine zusätzliche Sicherheitsstufe für hohe Sicherheitsanforderungen. Weitere Informationen finden Sie unter serverseitige Verschlüsselung des Azure-Datenträgerspeichers.

Es gibt drei Schritte zum Aktivieren der vom Kunden verwalteten Schlüsselverschlüsselung für Azure Managed Lustre:

  1. Richten Sie einen Azure Key Vault ein, um die Schlüssel zu speichern.
  2. Erstellen Sie eine verwaltete Identität , die auf diesen Schlüsseltresor zugreifen kann.
  3. Wählen Sie beim Erstellen des Dateisystems die vom Kunden verwaltete Schlüsselverschlüsselung aus, und geben Sie den zu verwendenden Schlüsseltresor, Schlüssel und verwaltete Identität an.

In diesem Artikel werden diese Schritte ausführlicher erläutert.

Nachdem Sie das Dateisystem erstellt haben, können Sie zwischen vom Kunden verwalteten Schlüsseln und von Microsoft verwalteten Schlüsseln nicht mehr wechseln.

Voraussetzungen

Sie können entweder einen bereits vorhandenen Schlüsseltresor und einen Schlüssel verwenden oder neue erstellen, die mit Azure Managed Lustre verwendet werden. Sehen Sie sich die folgenden erforderlichen Einstellungen an, um sicherzustellen, dass Sie über einen ordnungsgemäß konfigurierten Schlüsseltresor und Schlüssel verfügen.

Erstellen eines Schlüsseltresors und eines Schlüssels

Richten Sie einen Azure Key Vault ein, um Ihre Verschlüsselungsschlüssel zu speichern. Der Schlüsseltresor und der Schlüssel müssen diese Anforderungen erfüllen, um mit Azure Managed Lustre zu arbeiten.

Schlüsseltresoreigenschaften

Die folgenden Einstellungen sind für die Verwendung mit Azure Managed Lustre erforderlich. Sie können Optionen konfigurieren, die bei Bedarf nicht aufgeführt sind.

Grundlagen:

  • Abonnement – Verwenden Sie dasselbe Abonnement, das für den Azure Managed Lustre-Cluster verwendet wird.
  • Region – Der Schlüsseltresor muss sich in derselben Region wie der Azure Managed Lustre-Cluster befinden.
  • Preisstufe – Die Standardebene reicht für die Verwendung mit Azure Managed Lustre aus.
  • Vorläufiges Löschen – Azure Managed Lustre aktiviert vorläufiges Löschen, wenn sie noch nicht im Schlüsseltresor konfiguriert ist.
  • Löschschutz – Aktivieren des Löschschutzes.

Zugriffsrichtlinie:

  • Zugriffskonfiguration – Auf azure-rollenbasierte Zugriffssteuerung festgelegt.

Netzwerk:

  • Öffentlicher Zugriff – Muss aktiviert sein.

  • Zugriff zulassen – Wählen Sie entweder " Alle Netzwerke " aus, oder wählen Sie "Ausgewählte Netzwerke" aus, wenn Sie den Zugriff einschränken müssen.

    • Wenn ausgewählte Netzwerke ausgewählt sind, müssen Sie die vertrauenswürdige Microsoft-Dienste aktivieren, um diese Firewalloption im abschnitt "Ausnahme" weiter unten zu umgehen.

Screenshot, der zeigt, wie Der Zugriff auf den Schlüsseltresor auf ausgewählte Netzwerke eingeschränkt wird, während der Zugriff auf vertrauenswürdige Microsoft-Dienste ermöglicht wird.

Hinweis

Wenn Sie einen vorhandenen Schlüsseltresor verwenden, können Sie den Abschnitt "Netzwerkeinstellungen" überprüfen, um zu bestätigen, dass der Zugriff von allen Netzwerken auf "Zugriff zulassen" festgelegt ist, oder bei Bedarf Änderungen vornehmen.

Schlüsseleigenschaften

  • Schlüsseltyp: RSA
  • RSA-Schlüsselgröße: 2048
  • Aktiviert: Ja

Schlüsseltresor-Zugriffsberechtigungen:

  • Der Benutzer, der das Azure Managed Lustre-System erstellt, muss über Berechtigungen verfügen, die der Rolle "Key Vault-Mitwirkender" entsprechen. Dieselben Berechtigungen sind zum Einrichten und Verwalten von Azure Key Vault erforderlich.

    Weitere Informationen finden Sie unter Sicherer Zugriff auf einen Schlüsseltresor.

Erfahren Sie mehr über die Grundlagen von Azure Key Vault.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Das Azure Managed Lustre-Dateisystem benötigt eine vom Benutzer zugewiesene verwaltete Identität, um auf den Schlüsseltresor zuzugreifen.

Verwaltete Identitäten sind eigenständige Identitätsanmeldeinformationen, die den Platz von Benutzeridentitäten beim Zugriff auf Azure-Dienste über die Microsoft Entra-ID übernehmen. Wie andere Benutzer können ihnen Rollen und Berechtigungen zugewiesen werden. Weitere Informationen zu verwalteten Identitäten

Erstellen Sie diese Identität, bevor Sie das Dateisystem erstellen, und gewähren Sie ihm Zugriff auf den Schlüsseltresor.

Hinweis

Wenn Sie eine verwaltete Identität bereitstellen, die nicht auf den Schlüsseltresor zugreifen kann, können Sie das Dateisystem nicht erstellen.

Weitere Informationen finden Sie in der Dokumentation zu verwalteten Identitäten:

Erstellen des Azure Managed Lustre-Dateisystems mit vom Kunden verwalteten Verschlüsselungsschlüsseln

Wenn Sie Ihr Azure Managed Lustre-Dateisystem erstellen, verwenden Sie die Registerkarte "Datenträgerverschlüsselungsschlüssel", um in der Einstellung "Datenträgerverschlüsselungsschlüssel" die Option "Vom Kunden verwaltet" auszuwählen. Weitere Abschnitte werden für Kundenschlüsseleinstellungen und verwaltete Identitäten angezeigt.

Screenshot der Azure-Portal Schnittstelle zum Erstellen eines neuen Azure Managed Lustre-Systems, wobei vom Kunden verwaltet wird.

Denken Sie daran, dass Sie zum Zeitpunkt der Erstellung nur vom Kunden verwaltete Schlüssel einrichten können. Sie können den Typ der Verschlüsselungsschlüssel, die für ein vorhandenes Azure Managed Lustre-Dateisystem verwendet werden, nicht ändern.

Kundenschlüsseleinstellungen

Wählen Sie den Link in den Kundenschlüsseleinstellungen aus, um die Einstellungen für den Schlüsseltresor, den Schlüssel und die Version auszuwählen. Sie können auch einen neuen Azure Key Vault auf dieser Seite erstellen. Wenn Sie einen neuen Schlüsseltresor erstellen, denken Sie daran, Ihrer verwalteten Identität Zugriff darauf zu gewähren.

Wenn Ihr Azure Key Vault nicht in der Liste angezeigt wird, überprüfen Sie die folgenden Anforderungen:

  • Befindet sich das Dateisystem im selben Abonnement wie der Schlüsseltresor?
  • Befindet sich das Dateisystem in derselben Region wie der Schlüsseltresor?
  • Besteht Netzwerkkonnektivität zwischen dem Azure-Portal und dem Schlüsseltresor?

Wählen Sie nach der Auswahl eines Tresors den einzelnen Schlüssel aus den verfügbaren Optionen aus, oder erstellen Sie einen neuen Schlüssel. Bei dem Schlüssel muss es sich um einen 2.048-Bit-RSA-Schlüssel handeln.

Geben Sie die Version für den ausgewählten Schlüssel an. Weitere Informationen zur Versionsverwaltung finden Sie in der Azure Key Vault-Dokumentation.

Einstellungen für verwaltete Identitäten

Wählen Sie den Link in verwalteten Identitäten aus, und wählen Sie die Identität aus, die das Azure Managed Lustre-Dateisystem für den Schlüsseltresorzugriff verwendet.

Nachdem Sie diese Verschlüsselungsschlüsseleinstellungen konfiguriert haben, fahren Sie mit der Registerkarte "Überprüfen+ Erstellen " fort, und beenden Sie das Erstellen des Dateisystems wie gewohnt.

Nächste Schritte

In diesen Artikeln wird erläutert, wie Sie Azure Key Vault und kundenseitig verwaltete Schlüssel zum Verschlüsseln von Daten in Azure verwenden: