Uso de claves de cifrado administradas por el cliente con Azure Managed Lustre

Puede usar Azure Key Vault para controlar la propiedad de las claves usadas para cifrar los datos almacenados en un sistema de archivos de Azure Managed Lustre. En este artículo se explica cómo usar claves administradas por el cliente para el cifrado de datos con Azure Managed Lustre.

Nota:

Todos los datos almacenados en Azure se cifran en reposo mediante claves administradas por Microsoft de forma predeterminada. Solo tiene que seguir los pasos descritos en este artículo si desea administrar las claves que se usan para cifrar los datos cuando se almacenan en el clúster de Azure Managed Lustre.

El cifrado de host de máquina virtual protege toda la información sobre los discos administrados que contienen los datos en un sistema de archivos de Azure Managed Lustre, incluso si agrega una clave de cliente para los discos de Lustre. Agregar una clave administrada por el cliente proporciona un nivel adicional de seguridad para las necesidades de alta seguridad. Para más información, consulte Cifrado del lado servidor de Azure Disk Storage.

Hay tres pasos para habilitar el cifrado de claves administradas por el cliente para Azure Managed Lustre:

1. Configure una instancia de Azure Key Vault para almacenar las claves.
2. Cree una identidad administrada que pueda acceder a ese almacén de claves.
3. Al crear el sistema de archivos, elija cifrado de claves administradas por el cliente y especifique el almacén de claves, la clave y la identidad administrada que se van a usar.

En este artículo se explican estos pasos con más detalle.

Después de crear el sistema de archivos, no puede cambiar entre claves administradas por el cliente y claves administradas por Microsoft.

Requisitos previos

Puede usar un almacén de claves y una clave preexistentes, o bien puede crear nuevos para usarlos con Azure Managed Lustre. Consulte la siguiente configuración necesaria para asegurarse de que tiene un almacén de claves y una clave configurados correctamente.

Creación de una instancia de Key Vault y una clave

Configure un almacén de claves de Azure para almacenar las claves de cifrado. El almacén de claves y la clave deben cumplir estos requisitos para trabajar con Azure Managed Lustre.

Propiedades de Key Vault

Se requiere la siguiente configuración para su uso con Azure Managed Lustre. Puede configurar las opciones que no aparecen según sea necesario.

Aspectos básicos:

• Suscripción : use la misma suscripción que se usa para el clúster de Azure Managed Lustre.
• Región : el almacén de claves debe estar en la misma región que el clúster de Azure Managed Lustre.
• Plan de tarifa: el nivel estándar es suficiente para su uso con Azure Managed Lustre.
• Eliminación temporal: Azure Managed Lustre habilita la eliminación temporal si aún no está configurada en el almacén de claves.
• Protección de purga: habilite la protección de purga.

Directiva de acceso:

• Configuración de acceso: establézcalo en el control de acceso basado en rol de Azure.

Redes:

• Acceso público: debe estar habilitado.

• Permitir acceso : seleccione Todas las redes o, si necesita restringir el acceso, seleccione Redes seleccionadas.

  • Si se elige Redes seleccionadas, debe habilitar la opción Permitir servicios Microsoft de confianza para omitir esta opción de firewall en la sección Excepción siguiente.

Nota:

Si usa un almacén de claves existente, puede revisar la sección configuración de red para confirmar que Permitir el acceso desde está establecido en Permitir el acceso público desde todas las redes o realizar cambios si es necesario.

Propiedades importantes

• Tipo de clave: RSA
• Tamaño de la clave RSA: 2048
• Habilitado: Sí

Permisos de acceso al almacén de claves:

• El usuario que crea el sistema Azure Managed Lustre debe tener permisos equivalentes al rol de colaborador de Key Vault. Se necesitan los mismos permisos para configurar y administrar Azure Key Vault.

  Para más información, consulte Protección del acceso a un almacén de claves.

Obtenga más información sobre los conceptos básicos de Azure Key Vault.

Creación de una identidad administrada asignada por el usuario

El sistema de archivos de Azure Managed Lustre necesita una identidad administrada asignada por el usuario para acceder al almacén de claves.

Las identidades administradas son credenciales de identidad independientes que tienen lugar las identidades de usuario al acceder a los servicios de Azure a través de Microsoft Entra ID. Al igual que otros usuarios, se les pueden asignar roles y permisos. Más información sobre las identidades administradas.

Cree esta identidad antes de crear el sistema de archivos y asígnele acceso al almacén de claves.

Nota:

Si proporciona una identidad administrada que no puede acceder al almacén de claves, no podrá crear el sistema de archivos.

Para más información, consulte la documentación de identidades administradas:

• Creación de una identidad administrada asignada por el usuario

Creación del sistema de archivos de Azure Managed Lustre con claves de cifrado administradas por el cliente

Al crear el sistema de archivos de Azure Managed Lustre, use la pestaña Claves de cifrado de disco para seleccionar El cliente administrado en la opción Tipo de clave de cifrado de disco. Aparecen otras secciones para la configuración de la clave de cliente y las identidades administradas.

Recuerde que solo puede configurar claves administradas por el cliente en el momento de la creación. No se puede cambiar el tipo de claves de cifrado usadas para un sistema de archivos de Azure Managed Lustre existente.

Configuración de clave de cliente

Seleccione el vínculo en Configuración de clave de cliente para seleccionar la configuración del almacén de claves, la clave y la versión. También puede crear una instancia de Azure Key Vault desde esta página. Si crea un nuevo almacén de claves, no olvide concederle acceso a la identidad administrada.

Si azure Key Vault no aparece en la lista, compruebe estos requisitos:

• ¿El sistema de archivos está en la misma suscripción que el almacén de claves?
• ¿El sistema de archivos está en la misma región que el almacén de claves?
• ¿Hay conectividad de red entre Azure Portal y el almacén de claves?

Después de seleccionar un almacén, seleccione la clave individual en las opciones disponibles o cree una clave nueva. Debe ser una clave RSA de 2048 bits.

Especifique la versión de la clave seleccionada. Para más información sobre el control de versiones, consulte la documentación de Azure Key Vault.

Configuración de identidades administradas

Seleccione el vínculo en Identidades administradas y seleccione la identidad que usa el sistema de archivos de Azure Managed Lustre para el acceso al almacén de claves.

Después de configurar estas opciones de clave de cifrado, vaya a la pestaña Revisar y crear y termine de crear el sistema de archivos como de costumbre.

Pasos siguientes

En estos artículos se explica más sobre el uso de Azure Key Vault y las claves administradas por el cliente para cifrar datos en Azure:

• Información general del cifrado de almacenamiento en Azure
• Cifrado de disco con claves administradas por el cliente