Freigeben über


Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für die Volumeverschlüsselung von Azure NetApp Files (Vorschau)

Mandantenübergreifende vom Kunden verwaltete Schlüssel (CMK) für die Volumeverschlüsselung von Azure NetApp Files ermöglicht Dienstanbietern, die auf Azure basieren, die vom Kunden verwaltete Schlüsselverschlüsselung anzubieten. Im mandantenübergreifenden Szenario befindet sich das NetApp-Konto in einem Mandanten, der von einem unabhängigen Softwareanbieter verwaltet wird, während sich der Schlüssel für die Verschlüsselung von Volumes in diesem NetApp-Konto in einem Schlüsseltresor in einem von Ihnen verwalteten Mandanten befindet.

Mandantenübergreifend vom Kunden verwaltete Schlüssel sind in allen unterstützten Regionen von Azure NetApp Files verfügbar.

Grundlegendes zu mandantenübergreifenden kundenseitig verwalteten Schlüsseln

Das folgende Diagramm veranschaulicht ein Beispiel einer mandantenübergreifenden CMK-Konfiguration. Im Diagramm gibt es zwei Azure-Mandanten: den Mandanten eines Dienstanbieters (Mandant 1) und Ihren Mandanten (Mandant 2). Der Abonnent 1 hostet das NetApp-Konto (Azure-Quellressource). Der Mandant 2 hostet Ihren Schlüsseltresor.

Screenshot: Benutzeroberfläche für das Erstellen von Anwendungsvolumegruppen für Erweiterung 1

Eine mehrmandantenfähige Anwendungsregistrierung wird durch den Dienstanbieter in Mandant 1 erstellt. Für diese Anwendung werden mithilfe einer benutzerseitig zugewiesenen verwalteten Identität zusammen mit einem privaten Endpunkt zum Schlüsseltresor Anmeldeinformationen für eine Verbundidentität erstellt. Anschließend werden der Name und die Anwendungs-ID der App freigegeben.

Gehen Sie wie folgt vor: Installieren Sie die Anwendung des Dienstanbieters in Ihrem Mandanten (Mandant 2) und gewähren Sie anschließend dem Dienstprinzipal, der der installierten Anwendung zugeordnet ist, Zugriff auf den Key Vault. Sie speichern auch den Verschlüsselungsschlüssel (d. h. den vom Kunden verwalteten Schlüssel) im Schlüsseltresor. Sie teilen auch den Schlüsselspeicherort (den URI des Schlüssels) mit dem Dienstanbieter. Nach der Konfiguration hat der Dienstanbieter Folgendes:

  • Eine Anwendungs-ID für eine mehrmandantenfähige Anwendung, die im Mandanten von Kund*innen installiert ist und der Zugriff auf den vom Kunden verwalteten Schlüssel gewährt wurde.
  • Eine verwaltete Identität, die als Berechtigungsnachweis für die mehrmandantenfähige Anwendung konfiguriert ist. Die Position des Schlüssels im Schlüsseltresor.

Mit diesen drei Parametern stellt der Dienstanbieter Azure-Ressourcen in Mandant 1 bereit, die mit dem vom Kunden verwalteten Schlüssel in Mandanten 2 verschlüsselt werden können.

Registrieren der Funktion

Diese Funktion steht derzeit als Vorschau zur Verfügung. Sie müssen das Feature registrieren, bevor Sie sie zum ersten Mal verwenden. Nach der Registrierung ist das Feature aktiviert und funktioniert im Hintergrund. Es ist keine Benutzeroberflächensteuerung erforderlich.

  1. Registrieren Sie die Funktion:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFCrossTenantCMK
    
  2. Überprüfen Sie den Status der Funktionsregistrierung:

    Hinweis

    Der RegistrationState kann bis zu 60 Minuten lang den Zustand Registering aufweisen, bevor er sich in Registered ändert. Warten Sie, bis der Status Registriert lautet, bevor Sie fortfahren.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFCrossTenantCMK
    

Sie können auch die Azure CLI-Befehleaz feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

Konfigurieren mandantenübergreifender vom Kunden verwalteter Schlüssel für Azure NetApp Files

Der Konfigurationsprozess für mandantenübergreifende vom Kunden verwaltete Schlüssel verfügt über Teile, die nur mithilfe der REST-API und der Azure CLI abgeschlossen werden können.

Konfigurieren eines NetApp-Kontos für die Verwendung eines Schlüssels aus einem Tresor in einem anderen Mandanten

  1. Erstellen Sie die Anwendungsregistrierung.
    1. Navigieren Sie im Azure-Portal zur Microsoft Entra-ID
    2. Wählen Sie im linken Bereich Verwalten > App-Registrierungen aus.
    3. Wählen Sie + Neue Registrierung aus.
    4. Geben Sie den Namen für die Anwendungsregistrierung an, und wählen Sie dann "Konto " in einem beliebigen Organisationsverzeichnis aus.
    5. Wählen Sie Registrieren aus.
    6. Notieren Sie sich die ApplicationID/ClientID der Anwendung.
  2. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität.
    1. Navigieren Sie im Azure-Portal zu „Verwaltete Identitäten“.
    2. Wählen Sie + Erstellen aus.
    3. Geben Sie die Ressourcengruppe, die Region und den Namen für die verwaltete Identität an.
    4. Klicken Sie auf Überprüfen + erstellen.
    5. Beachten Sie bei erfolgreicher Bereitstellung die Azure Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität, die unter Eigenschaften verfügbar ist. Beispiel: /subscriptions/aaaaaaaa-0000-aaaa-0000-aaaa0000aaaa/resourcegroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityTitle>
  3. Konfigurieren Sie die verwaltete Benutzeridentität als federierte Berechtigung in der Anwendung
    1. Navigieren Sie zu Microsoft Entra ID > App-Registrierungen > Ihre Anwendung.
    2. Wählen Sie Zertifikate & Geheimnisse aus.
    3. Wählen Sie federierte Anmeldeinformationen aus.
    4. Wählen Sie + Anmeldeinformationen hinzufügen aus.
    5. Wählen Sie im Szenario "Verbundanmeldeinformationen" die Option " Vom Kunden verwaltete Schlüssel" aus.
    6. Wählen Sie "Verwaltete Identität auswählen" aus. Wählen Sie im Fenster das Abonnement aus. Wählen Sie unter Verwaltete Identität die Option Benutzerseitig zugewiesene verwaltete Identität aus. Suchen Sie im Auswahlfeld nach der zuvor erstellten verwalteten Identität, und wählen Sie dann unten im Bereich "Auswählen" aus.
    7. Geben Sie unter „Details zu Anmeldeinformationen“ einen Namen und eine optionale Beschreibung für die Anmeldeinformationen an. Wählen Sie Hinzufügen aus.
  4. Erstellen Sie einen privaten Endpunkt für Ihren Schlüsselspeicher.
    1. Teilen Sie die vollständige Azure ResourceId ihres Key Vaults.
    2. Navigieren Sie zu privaten Endpunkten.
    3. Wählen Sie + Erstellen aus.
    4. Wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus, und geben Sie einen Namen für den privaten Endpunkt ein, und wählen Sie dann "Nächste Ressource" >aus.
    5. Geben Sie auf der Registerkarte "Ressource" Folgendes ein:
      • Wählen Sie unter "Connection-Methode" die Option "Mit einer Azure-Ressource verbinden" nach Ressourcen-ID oder Alias aus.
      • Geben Sie unter Ressourcen-ID oder Alias die ResourceID des Schlüsseltresors der Kundin bzw. des Kunden ein.
      • Geben Sie unter der Zielunterressource „Tresor“ ein. Wählen Sie dann "Nächstes > virtuelles Netzwerk" aus.
    6. Wählen Sie auf der Registerkarte „Virtuelles Netzwerk“ ein virtuelles Netzwerk und ein Subnetz für den privaten Endpunkt aus. Der Endpunkt muss sich im selben virtuellen Netzwerk wie die Volumes befinden, die Sie erstellen möchten. Das Subnetz muss ein anderes Subnetz sein als das subnetz, das an Microsoft.NetApp/volumesdelegiert wird.
    7. Wählen Sie auf den nächsten Registerkarten „Weiter“ aus. Wählen Sie abschließend auf der letzten Registerkarte "Erstellen" aus.

Zugriff auf den Key Vault autorisieren

  1. Installieren der Dienstanbieteranwendung im Kundenmandanten
    1. Rufen Sie die Administratoreinwilligungs-URL vom Anbieter für seine mandantenübergreifende Anwendung ab. In unserem Beispiel würde die URL wie folgt aussehen: https://login.microsoftonline.com/<tenant1-tenantId>/adminconsent/client_id=<client/application-ID-for-the-cross-tenant-application>. Die URL öffnet eine Anmeldeseite, auf der Sie aufgefordert werden, Ihre Anmeldeinformationen einzugeben. Sobald Sie Ihre Anmeldeinformationen eingegeben haben, wird möglicherweise ein Fehler angezeigt, der besagt, dass keine Umleitungs-URL konfiguriert ist. dies ist OK.
  2. Gewähren Sie der Dienstanbieteranwendung Zugriff auf den Schlüsseltresor.
    1. Navigieren Sie zu Ihrem Schlüsseltresor. Wählen Sie im linken Bereich die Zugriffssteuerung (IAM) aus.
    2. Wählen Sie unter "Zugriff auf diese Ressource gewähren" die Option "Rollenzuweisung hinzufügen" aus.
    3. Suchen und wählen Sie dann Key Vault Crypto User aus.
    4. Wählen Sie unter "Mitglieder " "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.
    5. Wählen Sie "Mitglieder" aus. Suchen Sie nach dem Namen der Anwendung, die Sie über den Dienstanbieter installiert haben.
    6. Wählen Sie Überprüfen und zuweisen aus.
  3. Akzeptieren Sie die eingehende Verbindung des privaten Endpunkts mit dem Schlüsseltresor.
    1. Navigieren Sie zu Ihrem Schlüsseltresor. Wählen Sie "Netzwerk " im linken Bereich aus.
    2. Wählen Sie unter "Private Endpunktverbindungen" den eingehenden privaten Endpunkt aus dem Mandanten des Anbieters und dann " Genehmigen" aus.
    3. Legen Sie eine optionale Beschreibung fest, oder übernehmen Sie die Standardeinstellung.

Konfigurieren des NetApp-Kontos für die Verwendung Ihrer Schlüssel

Hinweis

Die Verwendung des az rest Befehls wird nur unterstützt, um Ihr NetApp-Konto für die Verwendung von CMK in einem anderen Mandanten zu konfigurieren.

  1. Konfigurieren Sie mit dem az rest Befehl das NetApp-Konto so, dass CMK in einem anderen Mandanten verwendet wird:

    az rest --method put --uri "/subscriptions/<subscription Id>/resourceGroups/<resourceGroupName>/providers/Microsoft.NetApp/netAppAccounts/<NetAppAccountName>?api-version=2024-01-01-preview" --body 
    '{  \"properties\":
        {    \"encryption\":
            {      \"keySource\": \"Microsoft.KeyVault\",   \"keyVaultProperties\":    
                {\"keyVaultUri\": \"<URI to the key vault>\",   \"keyVaultResourceId\": \"/<full resource ID of the key vault>\", \"keyName\": \"<customer’s key name>\"   },
                \"identity\":
                    { \"userAssignedIdentity\": \"<full resource ID of the user-assigned identity>",  \"federatedClientId\": \"<clientId of multi-tenant application>\"
                    }
                }
            },
        \"location\": \"southcentralus\",   \"identity\": 
            {\"type\": \"userAssigned\",   \"userAssignedIdentities\": 
                {  \"<full resource ID of the user-assigned identity>\": {
                    }
                }
            }
        }'
     --verbose 
    

    Nachdem Sie den az rest Befehl gesendet haben, wurde Ihr NetApp-Konto erfolgreich mit mandantenübergreifendem CMK konfiguriert.

Erstellen Sie ein Volumen

Hinweis

Um ein Volume mit mandantenübergreifendem CMK zu erstellen, müssen Sie die Azure CLI verwenden.

  1. Erstellen Sie das Volume mithilfe der CLI:
az netappfiles volume create -g <resource group name> --account-name <NetApp account name> --pool-name <pool name> --name <volume name> -l southcentralus --service-level premium --usage-threshold 100 --file-path "<file path>" --vnet <virtual network name> --subnet default --network-features Standard --encryption-key-source Microsoft.KeyVault --kv-private-endpoint-id <full resource ID to the private endpoint to the customer's vault> --debug 

Nächste Schritte