Compartir a través de

Configuración de claves administradas por el cliente entre inquilinos para el cifrado de volúmenes de Azure NetApp Files (versión preliminar)

El cifrado de volúmenes de Azure NetApp Files permite a los proveedores de servicios basados en Azure ofrecer cifrado de claves administradas por el cliente. En el escenario entre inquilinos, la cuenta de NetApp reside en un inquilino gestionado por un proveedor de software independiente, mientras que la clave utilizada para el cifrado de volúmenes en esa cuenta de NetApp reside en un almacén de claves de un inquilino gestionado.

Las claves administradas por el cliente entre inquilinos están disponibles en todas las regiones compatibles con Azure NetApp Files.

Descripción de las claves administradas por el cliente entre inquilinos

En el diagrama siguiente se muestra un ejemplo de configuración de CMK entre inquilinos. En el diagrama, hay dos inquilinos de Azure: el inquilino de un proveedor de servicios (inquilino 1) y el inquilino (inquilino 2). El inquilino 1 aloja la cuenta de NetApp (recurso de Azure de origen). El inquilino 2 hospeda el almacén de claves.

Captura de pantalla de la interfaz de creación del grupo de volúmenes de aplicaciones para la extensión uno.

El proveedor de servicios crea un registro de aplicación multiinquilino en el inquilino 1. Se crea una credencial de identidad federada en esta aplicación mediante una identidad administrada asignada por el usuario junto con un punto de conexión privado en el almacén de claves. A continuación, se comparten el nombre y el ID de aplicación de la aplicación.

Siguiendo estos pasos, instale la aplicación del proveedor de servicios en el inquilino (inquilino 2) y, a continuación, conceda a la entidad de servicio asociada a la aplicación instalada acceso al almacén de claves. También almacena la clave de cifrado (es decir, la clave administrada por el cliente) en el almacén de claves. También comparte la ubicación de la clave (el URI de la clave) con el proveedor de servicios. Después de la configuración, el proveedor de servicios tiene:

  • Un ID de aplicación para una aplicación multicliente instalada en la entidad del cliente, a la que se le ha concedido acceso a la clave administrada por el cliente.
  • Una identidad administrada configurada como credencial en la aplicación multicliente. La ubicación de la clave en el almacén de claves.

Con estos tres parámetros, el proveedor de servicios aprovisiona recursos de Azure en el inquilino 1 que se pueden cifrar con la clave administrada por el cliente en el inquilino 2.

Registrar la característica

Esta funcionalidad actualmente está en su versión preliminar. Antes de usar esta característica por primera vez, debe registrarla. Después del registro, la característica está habilitada y funciona en segundo plano. No se requiere ningún control de la interfaz de usuario.

  1. Registre la característica:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFCrossTenantCMK

  2. Compruebe el estado del registro de la característica:

    Nota:

    RegistrationState puede permanecer en el Registering estado durante un máximo de 60 minutos antes de cambiar aRegistered. Espere hasta que el estado sea Registrado antes de continuar.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFCrossTenantCMK

También puede usar los comandos de la CLI de Azureaz feature register para registrar la característica y mostrar el estado de registro.

Configuración de claves administradas por el cliente entre inquilinos para Azure NetApp Files

El proceso de configuración de las claves administradas por el cliente entre inquilinos tiene partes que solo se pueden completar mediante la API de REST y la CLI de Azure.

Configurar una cuenta de NetApp para utilizar una clave de un almacén en otro inquilino

  1. Cree el registro de aplicación
    1. Vaya a Microsoft Entra ID en Azure Portal
    2. Seleccione Administrar > Registros de aplicaciones en el panel izquierdo.
    3. Seleccione + Nuevo registro.
    4. Proporcione el nombre para el registro de la aplicación y, a continuación, seleccione Cuenta en cualquier directorio de la organización.
    5. Seleccione Registrar.
    6. Tome nota del ApplicationID/ClientID de la aplicación.
  2. Cree una identidad administrada asignada por el usuario.
    1. Vaya a Identidades administradas en el portal de Azure.
    2. Seleccione + Create.
    3. Proporcione el grupo de recursos, la región y el nombre de la identidad administrada.
    4. Selecciona Revisar + crear.
    5. Si la implementación se realiza correctamente, anote el valor de resourceId de Azure de la identidad administrada asignada por el usuario, que está disponible en Propiedades. Por ejemplo: /subscriptions/aaaaaaaa-0000-aaaa-0000-aaaa0000aaaa/resourcegroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityTitle>
  3. Configurar la identidad administrada asignada por el usuario como una credencial federada en la aplicación
    1. Vaya a Microsoft Entra ID > Registros de aplicaciones > la aplicación.
    2. Seleccione Certificados y secretos.
    3. Seleccione Credenciales federadas.
    4. Seleccione + Agregar credencial.
    5. En Escenario de credenciales federadas, seleccione Claves administradas por el cliente.
    6. Elija Select a managed identity (Seleccionar una identidad administrada). En el panel, seleccione la suscripción. En Identidad administrada, seleccione Identidad administrada asignada por el usuario. En el cuadro Seleccionar, busque la identidad administrada que creó anteriormente y, a continuación, elija Seleccionar en la parte inferior del panel.
    7. En Detalles de credencial, proporcione un nombre y una descripción opcional para la credencial. Selecciona Agregar.
  4. Cree un punto de conexión privado en el almacén de claves:
    1. Comparta el ResourceId de Azure completo de su Key Vault.
    2. Vaya a Puntos de conexión privados.
    3. Seleccione + Create.
    4. Elija la suscripción y el grupo de recursos, escriba un nombre para el punto de conexión privado y, a continuación, seleccione Siguiente > recurso.
    5. En la pestaña Recurso, escriba lo siguiente:
      • En Método de conexión, seleccione Conectarse a un recurso de Azure por identificador de recurso o alias.
      • En Id. de recurso o alias, escriba el ResourceID del almacén de claves del cliente.
      • En Subrecurso de destino, introduzca "almacén". A continuación, seleccione Siguiente > red virtual.
    6. En la pestaña Red virtual, seleccione una red virtual y una subred para el punto de conexión privado. El punto de conexión debe estar en la misma red virtual que los volúmenes que desea crear. La subred debe ser una subred diferente a la delegada a Microsoft.NetApp/volumes.
    7. Seleccione Siguiente en las siguientes pestañas. Por último, seleccione Crear en la pestaña final.

Autorizar el acceso al almacén de claves

  1. Instalar la aplicación del proveedor de servicios en el inquilino del cliente
    1. Obtenga la URL de consentimiento de administración del proveedor para su aplicación multiarrendatario. En nuestro ejemplo, la URL se vería así: https://login.microsoftonline.com/<tenant1-tenantId>/adminconsent/client_id=<client/application-ID-for-the-cross-tenant-application>. La URL abre una página de inicio de sesión en la que se le pide que introduzca sus credenciales. Una vez que ingreses tus credenciales, es posible que veas un error que indica que no hay ninguna URL de redireccionamiento configurada; esto está bien.
  2. Conceda a la aplicación del proveedor de servicios acceso a la cámara acorazada de claves.
    1. Vaya al almacén de claves. Seleccione Control de acceso (IAM) en el panel izquierdo.
    2. En Conceder acceso a este recurso, seleccione Agregar asignación de roles.
    3. Busque y, a continuación, seleccione Usuario criptográfico de Key Vault.
    4. En Miembros, seleccione Usuario, grupo o entidad de servicio.
    5. Seleccione Miembros. Busque el nombre de la aplicación que instaló desde el proveedor de servicios.
    6. Seleccione Revisar y asignar.
  3. Acepte la conexión entrante de punto de conexión privado al almacén de claves.
    1. Vaya al almacén de claves. Seleccione Redes en el panel izquierdo.
    2. En Conexiones de punto de conexión privado, seleccione el punto de conexión privado entrante del inquilino del proveedor y, a continuación, seleccione Aprobar.
    3. Establezca una descripción opcional o acepte la predeterminada.

Configurar la cuenta de NetApp para utilizar las claves

Nota:

El uso del az rest comando es la única forma admitida de configurar su cuenta de NetApp para utilizar CMK en un inquilino diferente.

  1. Con el az rest comando, configure la cuenta de NetApp para utilizar CMK en un inquilino diferente:

    az rest --method put --uri "/subscriptions/<subscription Id>/resourceGroups/<resourceGroupName>/providers/Microsoft.NetApp/netAppAccounts/<NetAppAccountName>?api-version=2024-01-01-preview" --body 
'{  \"properties\":
    {    \"encryption\":
        {      \"keySource\": \"Microsoft.KeyVault\",   \"keyVaultProperties\":    
            {\"keyVaultUri\": \"<URI to the key vault>\",   \"keyVaultResourceId\": \"/<full resource ID of the key vault>\", \"keyName\": \"<customer’s key name>\"   },
            \"identity\":
                { \"userAssignedIdentity\": \"<full resource ID of the user-assigned identity>",  \"federatedClientId\": \"<clientId of multi-tenant application>\"
                }
            }
        },
    \"location\": \"southcentralus\",   \"identity\": 
        {\"type\": \"userAssigned\",   \"userAssignedIdentities\": 
            {  \"<full resource ID of the user-assigned identity>\": {
                }
            }
        }
    }'
 --verbose

    Una vez que haya enviado el az rest comando, su cuenta de NetApp se ha configurado correctamente con CMK multiinquilino.

Crear un volumen

Nota:

Para crear un volumen mediante CMK entre inquilinos, debe usar la CLI de Azure.

  1. Cree el volumen mediante la CLI:
az netappfiles volume create -g <resource group name> --account-name <NetApp account name> --pool-name <pool name> --name <volume name> -l southcentralus --service-level premium --usage-threshold 100 --file-path "<file path>" --vnet <virtual network name> --subnet default --network-features Standard --encryption-key-source Microsoft.KeyVault --kv-private-endpoint-id <full resource ID to the private endpoint to the customer's vault> --debug

Pasos siguientes