Habilitación del cifrado doble para el clúster en Azure Data Explorer

Cuando crea un clúster, los datos se cifran automáticamente en el nivel de servicio. Para mayor seguridad de los datos, también puede habilitar el cifrado doble.

Si se habilita el cifrado doble, los datos de la cuenta de almacenamiento se cifran dos veces, mediante dos algoritmos diferentes.

Importante

• La habilitación del cifrado doble solo es posible durante la creación del clúster.
• Una vez que el cifrado de la infraestructura esté habilitado en el clúster, no podrá deshabilitarlo.

Para obtener ejemplos de código basados en versiones anteriores del SDK, consulte el artículo archivado.

Azure Portal

1. Creación de un clúster de Azure Data Explorer

2. En la pestaña Seguridad>Habilitar cifrado doble, seleccione Activar. Para quitar el cifrado doble, seleccione Off (Desactivar).

3. Seleccione Siguiente: Red> o Revisar y crear para crear el clúster.

   

C#

Puede habilitar el cifrado de infraestructura durante la creación del clúster mediante C#.

Requisitos previos

Para configurar una identidad administrada mediante el cliente de C# de Azure Data Explorer:

• Instale el paquete NuGet de Azure Data Explorer.
• Instale el paquete NuGet Azure.Identity para la autenticación.
• Cree una aplicación Microsoft Entra y una entidad de servicio que puedan acceder a los recursos. La asignación de roles se agrega en el ámbito de la suscripción y se obtienen los objetos Directory (tenant) ID, Application ID y Client Secretnecesarios.

Creación del clúster

1. Cree el clúster mediante la propiedad enableDoubleEncryption:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var clusterName = "mykustocluster";
   var clusterData = new KustoClusterData(
       location: AzureLocation.EastUS,
       sku: new KustoSku(KustoSkuName.StandardE8adsV5, KustoSkuTier.Standard) { Capacity = 5 }
   ) { IsDoubleEncryptionEnabled = true };
   await clusters.CreateOrUpdateAsync(WaitUntil.Completed, clusterName, clusterData);
   

2. Ejecute el siguiente comando para comprobar si el clúster se creó correctamente:

   clusterData = (await clusters.GetAsync(clusterName)).Value.Data;
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, significa que el clúster se ha creado correctamente.

Plantilla ARM

Puede habilitar el cifrado de infraestructura durante la creación del clúster mediante Azure Resource Manager.

Se puede utilizar una plantilla de Azure Resource Manager para automatizar la implementación de los recursos de Azure. Para obtener información sobre la implementación en Azure Data Explorer, consulte Creación de un clúster y una base de datos de Azure Data Explorer mediante una plantilla de Azure Resource Manager.

Adición de identidad asignada por el sistema mediante una plantilla de Azure Resource Manager

Agregue el tipo "EnableDoubleEncryption" para indicar a Azure que habilite el cifrado de infraestructura (cifrado doble) para el clúster.

{
    "apiVersion": "2020-06-14",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "properties": {
        "trustedExternalTenants": [],
        "virtualNetworkConfiguration": null,
        "optimizedAutoscale": null,
        "enableDiskEncryption": false,
        "enableStreamingIngest": false,
        "enableDoubleEncryption": true
    }
}

Limitaciones

Las siguientes limitaciones se aplican al cifrado de volúmenes seleccionados:

• Impacto en el rendimiento de hasta un solo dígito
• No se puede usar con espacios aislados.

Contenido relacionado

• Habilitación del cifrado del clúster
• Comprobación del estado del clúster