Configuración de claves administradas por el cliente para Azure Load Testing con Azure Key Vault

Azure Load Testing cifra automáticamente todos los datos almacenados en el recurso de prueba de carga con claves que Microsoft proporciona (claves administradas por el servicio). Opcionalmente, puede agregar una segunda capa de seguridad proporcionando también sus propias claves (administradas por el cliente). Las claves administradas por el cliente ofrecen una mayor flexibilidad para controlar el acceso y usar directivas de rotación de claves.

Las claves que provee se almacenan de manera segura mediante Azure Key Vault. Puede crear una clave independiente para cada recurso de prueba de carga de Azure que habilite con claves administradas por el cliente.

Al usar claves de cifrado administradas por el cliente, debe especificar una identidad administrada asignada por el usuario para recuperar las claves de Azure Key Vault.

Azure Load Testing usa la clave administrada por el cliente para cifrar los siguientes datos en el recurso de prueba de carga:

• Script de prueba y archivos de configuración
• Secretos
• Variables de entorno

Nota:

Azure Load Testing no cifra los datos de métricas de una ejecución de prueba con la clave administrada por el cliente, incluidos los nombres de ejemplo de métricas de JMeter que especifique en el script de JMeter. Microsoft tiene acceso a estos datos de métricas.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

• Una identidad gestionada existente asignada por el usuario. Para obtener más información sobre cómo crear una identidad administrada asignada por el usuario, consulte Administración de identidades administradas asignadas por el usuario.

Limitaciones

• Las claves administradas por el cliente solo están disponibles para los nuevos recursos de prueba de carga de Azure. Debe configurar la clave durante la creación de recursos.

• Una vez habilitado el cifrado de claves administradas por el cliente en un recurso, no se puede deshabilitar.

• Azure Load Testing no puede rotar automáticamente la clave administrada por el cliente para usar la versión más reciente de la clave de cifrado. Debe actualizar el URI de clave en el recurso después de rotar la clave en Azure Key Vault.

Configuración del almacén de claves de Azure

Para usar claves de cifrado administradas por el cliente con Azure Load Testing, debe almacenar la clave en Azure Key Vault. Puede usar un almacén de claves existente o crear uno nuevo. El recurso de prueba de carga y el almacén de claves pueden estar en distintas regiones o suscripciones en el mismo inquilino.

Asegúrese de configurar las siguientes opciones del almacén de claves al usar claves de cifrado administradas por el cliente.

Configuración de redes del almacén de claves

Si restringe el acceso al almacén de claves de Azure mediante un firewall o una red virtual, debe conceder acceso a Azure Load Testing para recuperar las claves administradas por el cliente. Siga estos pasos para conceder acceso a los servicios de Azure de confianza.

Configuración de la eliminación temporal y la protección de purga

Debe establecer las propiedades De eliminación temporal y Protección de purga en el almacén de claves para usar claves administradas por el cliente con Azure Load Testing. La eliminación temporal está habilitada de forma predeterminada cuando se crea un nuevo almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga en cualquier momento. Obtenga más información sobre la eliminación temporal y la protección de purga en Azure Key Vault.

Azure Portal

Siga estos pasos para comprobar si la eliminación temporal está habilitada y habilitarla en un almacén de claves. La eliminación temporal se puede de forma predeterminada al crear un nuevo almacén de claves.

Puede habilitar la protección de purga al crear un nuevo almacén de claves seleccionando la opción Habilitar la configuración de protección de purga.

Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:

1. Vaya al almacén de claves en Azure Portal.
2. En Configuración, elija Propiedades.
3. En la sección Protección de purga, elija Habilitar protección de purga.

PowerShell

Para crear un nuevo almacén de claves con PowerShell, instale la versión 2.0.0 o posterior del módulo Az.KeyVault de PowerShell. Luego llame a New-AzKeyVault para crear un nuevo almacén de claves. Con la versión 2.0.0 y posteriores del módulo Az.KeyVault, la eliminación temporal está habilitada de forma predeterminada cuando se crea un nuevo almacén de claves.

En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Para habilitar la protección de purga en un almacén de claves existente con PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

CLI de Azure

Para crear un nuevo almacén de claves con la CLI de Azure, llame al comando az keyvault create. La eliminación temporal está habilitada de forma predeterminada cuando se crea un nuevo almacén de claves.

En el ejemplo siguiente se crea un nuevo almacén de claves con la eliminación temporal y la protección de purga habilitadas. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Para habilitar la protección de purga en un almacén de claves existente con la CLI de Azure:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Incorporación de una clave administrada por el cliente a Azure Key Vault

A continuación, agregue una clave al almacén de claves. El cifrado de Azure Load Testing admite claves RSA. Para más información sobre los tipos de clave admitidos en Azure Key Vault, consulte Acerca de las claves.

Azure Portal

Para obtener información sobre cómo agregar un almacén de claves con Azure Portal, consulte Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.

PowerShell

Para agregar una clave con PowerShell, llame a Add-AzKeyVaultKey. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores y usar las variables definidas en los ejemplos anteriores.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

CLI de Azure

Para agregar una clave con la CLI de Azure, llame a az keyvault key create. No olvide reemplazar los valores del marcador de posición entre corchetes con sus propios valores.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Adición de una directiva de acceso al almacén de claves

Al usar claves de cifrado administradas por el cliente, debe especificar una identidad administrada asignada por el usuario. La identidad administrada asignada por el usuario para acceder a las claves administradas por el cliente en Azure Key Vault debe tener los permisos adecuados para acceder al almacén de claves.

1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para hospedar las claves de cifrado.

2. Seleccione Directivas de acceso en el menú de la izquierda.

   

3. Seleccione + Agregar directiva de acceso.

4. En el menú desplegable Permisos de clave , seleccione Obtener, Desencapsular clave y Encapsular permisos de clave .

   

5. En Seleccionar entidad de seguridad, seleccione Ninguno seleccionado.

6. Busque la identidad administrada asignada por el usuario que creó anteriormente y selecciónela en la lista.

7. Elija Seleccionar en la parte inferior.

8. Seleccione Agregar para agregar la nueva directiva de acceso.

9. Seleccione Guardar en la instancia del almacén de claves para guardar todos los cambios.

Uso de claves administradas por el cliente con Azure Load Testing

Solo puede configurar claves de cifrado administradas por el cliente al crear un nuevo recurso de prueba de carga de Azure. Al especificar los detalles de la clave de cifrado, también debe seleccionar una identidad administrada asignada por el usuario para recuperar la clave de Azure Key Vault.

Para configurar claves administradas por el cliente para un nuevo recurso de prueba de carga, siga estos pasos:

Azure Portal

1. Siga estos pasos para crear un recurso de prueba de carga de Azure en Azure Portal y rellenar los campos de la pestaña Aspectos básicos .

2. Vaya a la pestaña Cifrado y, a continuación, seleccione Claves administradas por el cliente (CMK) para el campo Tipo de cifrado .

3. En el campo URI de clave, pegue el URI o identificador de clave de la clave de Azure Key Vault incluida la versión de la clave.

4. En el campo Identidad asignada por el usuario, seleccione una identidad administrada asignada por el usuario existente.

5. Seleccione Revisar y crear para validar y crear el recurso.

PowerShell

Puede implementar una plantilla ARM utilizando PowerShell para automatizar la creación de sus recursos de Azure. Puede crear cualquier recurso de tipo Microsoft.LoadTestService/loadtests con la clave administrada por el cliente habilitada para el cifrado agregando las siguientes propiedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

En el ejemplo de código siguiente se muestra una plantilla de ARM para crear un recurso de prueba de carga con claves administradas por el cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implemente la plantilla anterior en un grupo de recursos mediante New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

CLI de Azure

Puede implementar una plantilla de ARM mediante la CLI de Azure para automatizar la creación de los recursos de Azure. Puede crear cualquier recurso de tipo Microsoft.LoadTestService/loadtests con la clave administrada por el cliente habilitada para el cifrado agregando las siguientes propiedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

En el ejemplo de código siguiente se muestra una plantilla de ARM para crear un recurso de prueba de carga con claves administradas por el cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implemente la plantilla anterior en un grupo de recursos mediante az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Cambio de la identidad administrada para recuperar la clave de cifrado

Puede cambiar la identidad administrada para las claves administradas por el cliente para un recurso de prueba de carga existente en cualquier momento.

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

2. En la página Configuración, seleccione Cifrado.

   El tipo de cifrado muestra el tipo de cifrado que se usó para crear el recurso de prueba de carga.

3. Si el tipo de cifrado es Claves administradas por el cliente, seleccione el tipo de identidad que se usará para autenticarse en el almacén de claves. Las opciones incluyen Asignada por el sistema (el valor predeterminado) o Asignada por el usuario.

   Para más información sobre cada tipo de identidad administrada, consulte Tipos de identidad administrada.

   • Si selecciona Asignado por el sistema, la identidad administrada asignada por el sistema debe habilitarse en el recurso y conceder acceso a AKV antes de cambiar la identidad de las claves administradas por el cliente.
   • Si selecciona Asignada por el usuario, debe seleccionar una identidad existente asignada por el usuario que tenga permisos para acceder al almacén de claves. Para aprender a crear una identidad asignada por el usuario, consulte Uso de identidades administradas para la versión preliminar de Azure Load Testing.

4. Guarde los cambios.

Importante

Asegúrese de que la identidad administrada seleccionada tenga acceso a Azure Key Vault.

Actualización de la clave de cifrado administrada por el cliente

Puede cambiar la clave que usa para el cifrado de Azure Load Testing en cualquier momento. Para cambiar la clave con Azure Portal, haga lo siguiente:

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

2. En la página Configuración, seleccione Cifrado. El tipo de cifrado muestra el cifrado seleccionado para el recurso durante la creación.

3. Si el tipo de cifrado seleccionado es Claves administradas por el cliente, puede editar el campo URI de clave con el nuevo URI de clave.

4. Guarde los cambios.

Rotación de las claves de cifrado

Las claves administradas por el cliente se pueden rotar en Azure Key Vault según las directivas de cumplimiento. Para rotar una clave:

1. En Azure Key Vault, actualice la versión de la clave o cree una clave.
2. Actualice la clave de cifrado administrada por el cliente para el recurso de prueba de carga.

Preguntas más frecuentes

¿Hay un cargo adicional para habilitar las claves administradas por el cliente?

No, no hay ningún cargo por habilitar esta característica.

¿Se admiten claves administradas por el cliente para los recursos existentes de pruebas de carga de Azure?

Esta característica solo está disponible actualmente para los nuevos recursos de prueba de carga de Azure.

¿Cómo puedo saber si las claves administradas por el cliente están habilitadas en mi recurso de pruebas de carga de Azure?

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.
2. Vaya al elemento Cifrado en la barra de navegación izquierda.
3. Puede comprobar el tipo de cifrado en su recurso.

¿Cómo se revoca una clave de cifrado?

Para revocar una clave, deshabilite la versión más reciente de la clave en Azure Key Vault. Como alternativa, para revocar todas las claves de una instancia de key vault, puede eliminar la directiva de acceso concedida a la identidad administrada del recurso de prueba de carga.

Al revocar la clave de cifrado, es posible que pueda ejecutar pruebas durante unos 10 minutos, después de lo cual la única operación disponible es la eliminación de recursos. Se recomienda rotar la clave en lugar de revocarla para administrar la seguridad de los recursos y conservar los datos.

Contenido relacionado

• Aprenda a supervisar métricas de aplicación del lado servidor.
• Aprenda a parametrizar una prueba de carga con secretos y variables de entorno.