Compartir a través de


Configure las claves administradas por el cliente para Azure Load Testing con Azure Key Vault

Azure Load Testing cifra automáticamente todos los datos almacenados en el recurso de prueba de carga con claves que Microsoft proporciona (claves administradas por el servicio). Opcionalmente, puede agregar una segunda capa de seguridad proporcionando también sus propias claves (administradas por el cliente). Las claves administradas por el cliente ofrecen una mayor flexibilidad para controlar el acceso y usar directivas de rotación de claves.

Las claves que provee se almacenan de manera segura mediante Azure Key Vault. Puede crear una clave distinta para cada recurso de pruebas de carga de Azure que habilite con claves administradas por el cliente.

Cuando utilice claves de cifrado administradas por el cliente, deberá especificar una identidad administrada por el usuario para recuperar las claves de Azure Key Vault.

Azure Load Testing usa la clave administrada por el cliente para cifrar los siguientes datos en el recurso de prueba de carga:

  • Script de prueba y archivos de configuración
  • Secretos
  • Variables de entorno

Nota:

Azure Load Testing no cifra los datos de las métricas de una ejecución de prueba con su clave administrada por el cliente, incluidos los nombres del muestreador de métricas de JMeter que especifique en el script de JMeter. Microsoft tiene acceso a estos datos de métricas.

Requisitos previos

Limitaciones

  • Las claves administradas por el cliente solo están disponibles para los nuevos recursos de Azure Load Testing. Debe configurar la clave durante la creación de recursos.

  • Una vez habilitado el cifrado de claves administradas por el cliente en un recurso, no se puede deshabilitar.

  • Azure Load Testing no puede rotar automáticamente la clave administrada por el cliente para usar la versión más reciente de la clave de cifrado. Debe actualizar el URI de clave en el recurso después de rotar la clave en Azure Key Vault.

Configuración de Azure Key Vault

Para usar claves de cifrado administradas por el cliente con Azure Load Testing, debe almacenar la clave en Azure Key Vault. Puede usar un almacén de claves existente o crear uno nuevo. El recurso de prueba de carga y el almacén de claves pueden estar en diferentes regiones o suscripciones del mismo inquilino.

Asegúrese de establecer las siguientes configuraciones del almacén de claves cuando use claves de cifrado administradas por el cliente.

Configuración de redes del almacén de claves

Si restringió el acceso a su almacén de claves de Azure mediante un firewall o una red virtual, deberá conceder acceso a Azure Load Testing para recuperar sus claves administradas por el cliente. Siga estos pasos para conceder acceso a servicios de Azure de confianza.

Importante

Recuperar claves administradas por el cliente de un almacén privado de claves de Azure que tiene restricciones de acceso no es compatible actualmente en la región de US Gov Virginia.

Configuración de la eliminación temporal y la protección de purga

Tiene que configurar las propiedades de Eliminación temporal y Protección de purga en su almacén de claves para utilizar claves administradas por el cliente con Azure Load Testing. La eliminación temporal está habilitada de manera predeterminada al crear un almacén de claves y no se puede deshabilitar. Puede habilitar la protección de purga en cualquier momento. Obtenga más información sobre la eliminación temporal y protección de purga en Azure Key Vault.

Siga estos pasos para verificar si la eliminación temporal está habilitada y habilitarla en un almacén de claves. De manera predeterminada, la eliminación temporal se habilita cuando se crea un nuevo almacén de claves.

Puede habilitar la protección de purga cuando crea un nuevo almacén de claves seleccionando la configuración Habilitar protección de purga.

Recorte de pantalla que muestra cómo habilitar la protección de purga al crear un nuevo almacén de claves en Azure Portal.

Para habilitar la protección de purga en un almacén de claves existente, siga estos pasos:

  1. Vaya al almacén de claves en Azure Portal.
  2. En Configuración, elija Propiedades.
  3. En la sección Protección de purga, elija Habilitar protección de purga.

Incorporación de una clave administrada por el cliente a Azure Key Vault

A continuación, agregue una clave al almacén de claves. El cifrado de Azure Load Testing admite claves RSA. Para más información sobre los tipos de clave admitidos en Azure Key Vault, consulte Acerca de las claves.

Para obtener información sobre cómo agregar un almacén de claves con Azure Portal, consulte Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.

Adición de una directiva de acceso al almacén de claves

Cuando use claves de cifrado administradas por el cliente, tendrá que especificar una identidad administrada por el usuario. La identidad administrada por el usuario para acceder a las claves administradas por el cliente en Azure Key Vault debe tener los permisos adecuados para acceder al almacén de claves.

  1. En Azure Portal, vaya a la instancia de Azure Key Vault que planea usar para alojar sus claves de cifrado.

  2. Seleccione Directivas de acceso en el menú de la izquierda.

    Recorte de pantalla que muestra la opción de directivas de acceso a un almacén de claves en Azure Portal.

  3. Seleccione + Agregar directiva de acceso.

  4. En el menú desplegable Permisos de clave, seleccione los permisos Obtener, Desencapsular clave y Encapsular clave.

    Captura de pantalla que muestra los permisos de Azure Key Vault.

  5. En Seleccionar entidad de seguridad, seleccione Ninguna seleccionada.

  6. Busque la identidad administrada asignada por el usuario que creó anteriormente y selecciónela de la lista.

  7. Elija Seleccionar en la parte inferior.

  8. Seleccione Agregar para agregar la nueva directiva de acceso.

  9. Seleccione Guardar en la instancia del almacén de claves para guardar todos los cambios.

Uso de claves administradas por el cliente con Azure Load Testing

Solo puede configurar claves de cifrado administradas por el cliente cuando cree un nuevo recurso de pruebas de carga de Azure. Al especificar los detalles de la clave de cifrado, también tiene que seleccionar una identidad administrada asignada por el usuario para recuperar la clave de Azure Key Vault.

Para configurar las claves administradas por el cliente para un nuevo recurso de pruebas de carga, siga estos pasos:

  1. Siga estos pasos para crear un recurso de Azure Load Testing en Azure Portal y rellene los campos de la pestaña Aspectos básicos.

  2. Vaya a la pestaña Cifrado y después seleccione Claves administradas por el cliente (CMK) para el campo Tipo de cifrado.

  3. En el campo URI de clave, pegue el URI o identificador de clave de la clave de Azure Key Vault incluida la versión de la clave.

  4. En el campo Identidad asignada por el usuario, seleccione una identidad administrada asignada por el usuario existente.

  5. Seleccione Revisar y crear para validar y crear el recurso.

Captura de pantalla que muestra cómo habilitar el cifrado de claves administradas por el cliente al crear un recurso de Azure Load Testing.

Cambio de la identidad administrada para recuperar la clave de cifrado

Puede cambiar la identidad administrada para las claves administradas por el cliente para un recurso de prueba de carga existente en cualquier momento.

  1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

  2. En la página Configuración, seleccione Cifrado.

    El Tipo de cifrado muestra el tipo de cifrado que se usó para crear el recurso de prueba de carga.

  3. Si el tipo de cifrado es Claves administradas por el cliente, seleccione el tipo de identidad que se usará para autenticarse en el almacén de claves. Las opciones incluyen Asignada por el sistema (el valor predeterminado) o Asignada por el usuario.

    Para más información sobre cada tipo de identidad administrada, consulte Tipos de identidad administrada.

    • Si selecciona Asignada por el sistema, será necesario habilitar la identidad administrada asignada por el sistema en el recurso y conceder acceso al AKV antes de cambiar la identidad para las claves administradas por el cliente.
    • Si selecciona Asignada por el usuario, debe seleccionar una identidad existente asignada por el usuario que tenga permisos para acceder al almacén de claves. Para aprender a crear una identidad asignada por el usuario, consulte Uso de identidades administradas para la versión preliminar de Azure Load Testing.
  4. Guarde los cambios.

Captura de pantalla que muestra cómo cambiar la identidad administrada para las claves administradas por el cliente en un recurso de Azure Load Testing existente.

Actualización de la clave de cifrado administrada por el cliente

Puede cambiar la clave que está usando para el cifrado de Azure Load Testing en cualquier momento. Para cambiar la clave con Azure Portal, haga lo siguiente:

  1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

  2. En la página Configuración, seleccione Cifrado. El tipo de cifrado muestra el cifrado seleccionado para el recurso durante la creación.

  3. Si el tipo de cifrado seleccionado es Claves administradas por el cliente, puede editar el campo URI de la clave con la nueva URI de la clave.

  4. Guarde los cambios.

Rotación de las claves de cifrado

Las claves administradas por el cliente se pueden rotar en Azure Key Vault según las directivas de cumplimiento. Para rotar una clave:

  1. En Azure Key Vault, actualice la versión de la clave o cree una nueva clave.
  2. Actualice la clave de cifrado administrada por el cliente para su recurso de prueba de carga.

Preguntas más frecuentes

¿Existe algún cargo adicional al habilitar las claves administradas por el cliente?

No, no hay ningún cargo por habilitar esta característica.

¿Son compatibles las claves administradas por el cliente para los recursos de Azure Load Testing existentes?

Actualmente, esta característica solo está disponible para los nuevos recursos de Azure Load Testing.

¿Cómo puedo saber si las claves administradas por el cliente están habilitadas en mi recurso de prueba de carga de Azure?

  1. En Azure Portal, vaya al recurso de prueba de carga de Azure.
  2. Vaya al elemento Cifrado en la barra de navegación izquierda.
  3. Puede comprobar el tipo de cifrado en su recurso.

¿Cómo se revoca una clave de cifrado?

Para revocar una clave, deshabilite la versión más reciente de la clave en Azure Key Vault. Alternativamente, para revocar todas las claves de una instancia de almacén de claves, puede eliminar la directiva de acceso concedida a la identidad administrada del recurso de prueba de carga.

Al revocar la clave de cifrado, es posible que pueda ejecutar pruebas durante unos 10 minutos, después de lo cual la única operación disponible es la eliminación de recursos. Se recomienda rotar la clave en lugar de revocarla para administrar la seguridad de los recursos y conservar los datos.