Configuración de claves administradas por el cliente para Azure NetApp Files para el cifrado de volumen

Las claves administradas por el cliente para el cifrado de volúmenes de Azure NetApp Files permiten usar sus propias claves en lugar de una clave administrada por la plataforma al crear un nuevo volumen. Con las claves administradas por el cliente, puede administrar completamente la relación entre el ciclo de vida de una clave, los permisos de uso de la claves y las operaciones de auditoría en las claves.

En el diagrama siguiente, se muestra cómo funcionan las claves administradas por el cliente con Azure NetApp Files:

1. Azure NetApp Files concede permisos para las claves de cifrado a una identidad administrada. La identidad administrada es una identidad administrada asignada por el usuario que haya creado y administrado, o bien una identidad administrada asignada por el sistema asociada a la cuenta de NetApp.

2. El cifrado se configura con una clave administrada por el cliente para la cuenta de NetApp.

3. Use la identidad administrada a la que el administrador de Azure Key Vault concedió permisos en el paso 1 para autenticar el acceso a Azure Key Vault mediante Microsoft Entra ID.

4. Azure NetApp Files encapsula la clave de cifrado de la cuenta con la clave administrada por el cliente en Azure Key Vault.

   Las claves administradas por el cliente no tienen ningún impacto en el rendimiento en Azure NetApp Files. Su única diferencia con respecto a las claves administradas por la plataforma es cómo se administra la clave.

5. En operaciones de lectura y escritura, Azure NetApp Files envía solicitudes a Azure Key Vault para desencapsular la clave de cifrado de la cuenta con el fin de realizar operaciones de cifrado y descifrado.

Consideraciones

• Las claves administradas por el cliente solo se pueden configurar en nuevos volúmenes. No se pueden migrar volúmenes existentes al cifrado de claves administradas por el cliente.
• Para crear un volumen mediante claves administradas por el cliente, debe seleccionar las características de red Estándar. No puede usar volúmenes de claves administradas por el cliente con el volumen configurado mediante características de red básicas. Siga las instrucciones para establecer la opción de características de red en la página de creación del volumen.
• Para aumentar la seguridad, puede seleccionar la opción Deshabilitar el acceso público dentro de la configuración de red del almacén de claves. Al seleccionar esta opción, también debe seleccionar Permitir que los servicios de Microsoft de confianza omitan este firewall para permitir que el servicio Azure NetApp Files acceda a la clave de cifrado.
• Las claves administradas por el cliente admiten la renovación automática de certificados de Identidad administrada del sistema (MSI). Si el certificado es válido, no es necesario actualizarlo manualmente.
• La aplicación de grupos de seguridad de red de Azure en la subred de vínculo privado a Azure Key Vault no es compatible con las claves administradas por el cliente de Azure NetApp Files. Los grupos de seguridad de red no afectan a la conectividad a Private Link a menos que la opción Private endpoint network policy esté habilitada en la subred. Es obligatorio mantener esta opción deshabilitada.
• Si Azure NetApp Files no puede crear un volumen con claves administradas por el cliente, se muestran los mensajes de error. Consulte la sección Mensajes de error y solución de problemas para obtener más información.
• Si Azure Key Vault deja de estar accesible, Azure NetApp Files pierde su acceso a las claves de cifrado y la capacidad de leer o escribir datos en volúmenes habilitados con claves administradas por el cliente. En esta situación, cree una incidencia de soporte técnico para tener acceso restaurado manualmente a los volúmenes afectados.
• Azure NetApp Files admite claves administradas por el cliente en volúmenes de replicación de datos y de origen con replicación entre regiones o relaciones de replicación entre zonas.

Regiones admitidas

Las claves administradas por el cliente de Azure NetApp Files son compatibles con las siguientes regiones:

• Centro de Australia
• Centro de Australia 2
• Este de Australia
• Sudeste de Australia
• Sur de Brasil
• Sur de Brasil
• Centro de Canadá
• Este de Canadá
• Centro de la India
• Centro de EE. UU.
• Este de Asia
• Este de EE. UU.
• Este de EE. UU. 2
• Centro de Francia
• Norte de Alemania
• Centro-oeste de Alemania
• Japón Oriental
• Japón Occidental
• Centro de Corea del Sur
• Corea del Sur
• Centro-Norte de EE. UU
• Norte de Europa
• Este de Noruega
• Oeste de Noruega
• Centro de Catar
• Norte de Sudáfrica
• Centro-sur de EE. UU.
• Sur de la India
• Sudeste de Asia
• Centro de Suecia
• Norte de Suiza
• Oeste de Suiza
• Centro de Emiratos Árabes Unidos
• Norte de Emiratos Árabes Unidos
• Sur de Reino Unido
• Oeste de Reino Unido
• Oeste de Europa
• Oeste de EE. UU.
• Oeste de EE. UU. 2
• Oeste de EE. UU. 3

Requisitos

Antes de crear el primer volumen con claves administradas por el cliente, debe configurar lo siguiente:

• Una instancia de Azure Key Vault que contenga al menos una clave.
  • El almacén de claves debe tener la eliminación temporal y la protección contra purgas habilitadas.
  • La clave debe ser de tipo RSA.
• El almacén de claves debe tener un punto de conexión privado de Azure.
  • El punto de conexión privado debe residir en una subred diferente a la delegada en Azure NetApp Files. La subred debe estar en la misma red virtual que la delegada en Azure NetApp.

Para obtener más información sobre Azure Key Vault y el punto de conexión privado de Azure, consulte:

• Inicio rápido: Creación de un almacén de claves
• Creación o importación de una clave en el almacén
• Creación de un punto de conexión privado
• Más información sobre las claves y los tipos de clave admitidos
• Grupos de seguridad de red
• Administrar directivas de red para puntos de conexión privados

Configuración de una cuenta de NetApp para usar claves administradas por el cliente

Portal

1. En Azure Portal y en Azure NetApp Files, seleccione Cifrado.

   La página Cifrado le permite administrar la configuración de cifrado de la cuenta de NetApp. Incluye una opción para permitirle establecer la cuenta de NetApp para usar su propia clave de cifrado, que se almacena en Azure Key Vault. Esta configuración proporciona una identidad asignada por el sistema a la cuenta de NetApp y agrega una directiva de acceso para la identidad con los permisos de clave necesarios.

   

2. Al establecer la cuenta de NetApp para usar la clave administrada por el cliente, tiene dos maneras de especificar el identificador URI de la clave:

   • La opción Seleccionar del almacén de claves permite seleccionar un almacén de claves y una clave.

   • La opción Escriba el identificador URI de la clave permite escribir manualmente el identificador URI de la clave.

3. Seleccione el tipo de identidad que desea usar para la autenticación en Azure Key Vault. Si la instancia de Azure Key Vault está configurada para usar la directiva de acceso del almacén como modelo de permisos, ambas opciones están disponibles. De lo contrario, solo está disponible la opción asignada por el usuario.

   • Si elige Asignada por el sistema, seleccione el botón Guardar. Azure Portal configura automáticamente la cuenta de NetApp con el siguiente proceso: se agrega una identidad asignada por el sistema a la cuenta de NetApp. Se va a crear una directiva de acceso en la instancia de Azure Key Vault con los permisos de clave Get, Encrypt, Decrypt.

   

   • Si elige Asignada por el usuario, debe seleccionar una identidad. Elija Seleccionar una identidad para abrir un panel de contexto donde seleccionar una identidad administrada asignada por el usuario.

   

   Si ha configurado la instancia de Azure Key Vault para usar la directiva de acceso del almacén, Azure Portal configura automáticamente la cuenta de NetApp con el siguiente proceso: la identidad asignada por el usuario que seleccione se agrega a la cuenta de NetApp. Se crea una directiva de acceso en la instancia de Azure Key Vault con los permisos de clave Get, Encrypt, Decrypt.

   Si ha configurado Azure Key Vault para usar el control de acceso basado en rol de Azure, debe asegurarse de que la identidad asignada por el usuario seleccionada tenga una asignación de roles en el almacén de claves con permisos para las acciones:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action La identidad asignada por el usuario que seleccione se agrega a la cuenta de NetApp. Debido a la naturaleza personalizable del control de acceso basado en rol (RBAC), Azure Portal no configura el acceso al almacén de claves. Consulte Acceso a las claves, los certificados y los secretos de Key Vault con un control de acceso basado en rol de Azure para obtener más información sobre la configuración de Azure Key Vault.

4. Seleccione Guardar y, a continuación, observe la notificación que comunica el estado de la operación. Si la operación no se realizó correctamente, se muestra un mensaje de error. Consulte Mensajes de error y solución de problemas para obtener ayuda para resolver el error.

CLI de Azure

La configuración de una cuenta de NetApp con claves administradas por el cliente con la CLI de Azure depende de si usa una identidad asignada por el sistema o una identidad asignada por el usuario.

Uso de una identidad asignada por el sistema

1. Actualice la cuenta de NetApp para usar una identidad asignada por el sistema.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Para usar una directiva de acceso, cree una variable que incluya el identificador de la entidad de seguridad de la identidad de la cuenta, ejecute az keyvault set-policy y asigne los permisos "Get", "Encrypt" y "Decrypt".

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Actualice la cuenta de NetApp con el almacén de claves.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Uso de una nueva identidad asignada por el usuario

1. Cree una nueva identidad asignada por el usuario.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Establezca una directiva de acceso para el almacén de claves.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Nota:

   También puede usar el control de acceso basado en rol para conceder acceso al almacén de claves.

3. Asigne la identidad asignada por el usuario a la cuenta de NetApp y actualice el cifrado del almacén de claves.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

El proceso para configurar una cuenta de NetApp con claves administradas por el cliente en la CLI de Azure depende de si usa una identidad asignada por el sistema o una identidad asignada por el usuario.

Habilitación del acceso para la identidad asignada por el sistema

1. Actualice la cuenta de NetApp para usar una identidad asignada por el sistema.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Para usar una directiva de acceso, ejecute Set-AzKeyVaultAccessPolicy con el nombre del almacén de claves, el identificador de la entidad de seguridad de la identidad de la cuenta y los permisos "Get", "Encrypt" y "Decrypt".

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Actualice la cuenta de NetApp con la información del almacén de claves.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Habilitación del acceso para la identidad asignada por el usuario

1. Cree una nueva identidad asignada por el usuario.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Asigne la directiva de acceso al almacén de claves.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Nota:

   También puede usar el control de acceso basado en rol para conceder acceso al almacén de claves.

3. Asigne la identidad asignada por el usuario a la cuenta de NetApp y actualice el cifrado del almacén de claves.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Uso del control de acceso basado en rol

Puede usar una instancia de Azure Key Vault configurada para usar el control de acceso basado en rol de Azure. Para configurar las claves administradas por el cliente mediante Azure Portal, debe proporcionar una identidad asignada por el usuario.

1. En la cuenta de Azure, vaya a Almacenes de claves y, a continuación, vaya a Directivas de acceso.

2. Para crear una directiva de acceso, en Modelo de permisos, seleccione Control de acceso basado en rol de Azure.

3. Al crear el rol asignado por el usuario, hay tres permisos necesarios para las claves administradas por el cliente:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Aunque hay roles predefinidos que incluyen estos permisos, esos roles conceden más privilegios de los necesarios. Se recomienda crear un rol personalizado solo con los permisos mínimos necesarios. Para más información, consulte Roles personalizados de Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Una vez creado el rol personalizado y disponible para usarlo con el almacén de claves, se aplica a la identidad asignada por el usuario.

Creación de un volumen de Azure NetApp Files mediante claves administradas por el cliente

1. En Azure NetApp Files, seleccione Volúmenes y, después, seleccione + Agregar volumen.

2. Siga las instrucciones que se indican en Configuración de características de red para un volumen de Azure NetApp Files:

   • Establezca la opción Características de red en la página de creación del volumen.
   • El grupo de seguridad de red de la subred delegada del volumen debe permitir el tráfico entrante desde la máquina virtual de almacenamiento de NetApp.

3. Para una cuenta de NetApp configurada para usar una clave administrada por el cliente, la página Crear volumen incluye la opción Origen de la clave de cifrado.

   Para cifrar el volumen con la clave, seleccione Clave administrada por el cliente en el menú desplegable Origen de la clave de cifrado.

   Al crear un volumen mediante una clave administrada por el cliente, también debe seleccionar Estándar para la opción Características de red. No se admiten las características de red básicas.

   También debe seleccionar un punto de conexión privado del almacén de claves. El menú desplegable muestra los puntos de conexión privados de la red virtual seleccionada. Si no hay ningún punto de conexión privado para el almacén de claves en la red virtual seleccionada, la lista desplegable estará vacía y no podrá continuar. En ese caso, consulte Punto de conexión privado de Azure.

   

4. Continúe para completar el proceso de creación del volumen. Consulte

   • Creación de un volumen NFS
   • Creación de un volumen SMB
   • Creación de un volumen de protocolo dual

Volver a especificar la clave en todos los volúmenes de una cuenta de NetApp

Si ya ha configurado la cuenta de NetApp para usar claves administradas por el cliente y tiene uno o varios volúmenes cifrados con claves administradas por el cliente, puede cambiar la clave que se usa para cifrar todos los volúmenes de la cuenta de NetApp. Puede seleccionar cualquier clave que esté en el mismo almacén de claves. No se admite el cambio de almacenes de claves.

1. En la cuenta de NetApp, vaya al menú Cifrado. En el campo de entrada Clave actual, seleccione el vínculo Volver a especificar la clave.

2. En el menú Volver a especificar la clave, seleccione una de las claves disponibles en el menú desplegable. La clave elegida debe ser diferente de la clave actual.

3. Seleccione Aceptar para guardar. La operación para volver a especificar la clave puede tardar varios minutos.

Cambio de identidad asignada por el sistema a identidad asignada por el usuario

Para cambiar de identidad asignada por el sistema a identidad asignada por el usuario, debe conceder acceso a la identidad de destino al almacén de claves que se usa con permisos de lectura y obtención, cifrado y descifrado.

1. Actualice la cuenta de NetApp mediante el envío de una solicitud PATCH con el comando az rest:

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   La carga debe usar la siguiente estructura:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Confirme que la operación se haya completado correctamente con el comando az netappfiles account show. La salida incluye los siguientes campos:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Asegúrese de que:

   • encryption.identity.principalId coincide con el valor de identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity coincide con el valor de identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Mensajes de error y solución de problemas

En esta sección, se enumeran los mensajes de error y las posibles soluciones cuando Azure NetApp Files no puede configurar el cifrado con claves administradas por el cliente o crear un volumen mediante una clave administrada por el cliente.

Errores al configurar el cifrado con claves administradas por el cliente en una cuenta de NetApp

Condición de error	Solución
The operation failed because the specified key vault key was not found	Al escribir manualmente el identificador URI de la clave, compruebe que el identificador URI sea correcto.
Azure Key Vault key is not a valid RSA key	Asegúrese de que la clave seleccionada sea de tipo RSA.
Azure Key Vault key is not enabled	Asegúrese de que la clave seleccionada esté habilitada.
Azure Key Vault key is expired	Asegúrese de que la clave seleccionada no haya expirado.
Azure Key Vault key has not been activated	Asegúrese de que la clave seleccionada esté activa.
Key Vault URI is invalid	Al escribir manualmente el identificador URI de la clave, compruebe que el identificador URI sea correcto.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Actualice el nivel de recuperación del almacén de claves a: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Asegúrese de que el almacén de claves se encuentre en la misma región que la cuenta de NetApp.

Errores al crear un volumen cifrado con claves administradas por el cliente

Condición de error	Solución
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	La cuenta de NetApp no tiene habilitado el cifrado de clave administrada por el cliente. Configure la cuenta de NetApp para usar una clave administrada por el cliente.
EncryptionKeySource cannot be changed	Sin resolución. No se puede cambiar la propiedad EncryptionKeySource de un volumen.
Unable to use the configured encryption key, please check if key is active	Compruebe que: - ¿Son correctas todas las directivas de acceso en el almacén de claves: get, encrypt, decrypt? - ¿Existe un punto de conexión privado para el almacén de claves? - ¿Hay una instancia de Virtual Network NAT en la red virtual con la subred delegada de Azure NetApp Files habilitada?
Could not connect to the KeyVault	Asegúrese de que el punto de conexión privado está configurado correctamente y que los firewalls no bloquean la conexión de la red virtual a KeyVault.

Pasos siguientes

• API de Azure NetApp Files