Megosztás a következőn keresztül:


Ügyfél által felügyelt kulcsok konfigurálása felügyelt hardveres biztonsági modullal az Azure NetApp Files kötettitkosításához

Az Azure NetApp Files mennyiségi titkosítása ügyfél által felügyelt kulcsokkal a felügyelt hardveres biztonsági modullal (HSM) az Azure NetApp Files kötettitkosítási funkciójának ügyfél által felügyelt kulcsainak kiterjesztése. Az ügyfél által felügyelt kulcsok a HSM használatával a titkosítási kulcsokat egy biztonságosabb FIPS 140-2 3. szintű HSM-ben tárolhatja az Azure Key Vault (AKV) által használt FIPS 140-2 1. szintű vagy 2. szintű szolgáltatás helyett.

Követelmények

  • A felügyelt HSM-et használó ügyfél által felügyelt kulcsok a 2022.11-es vagy újabb API-verzióval támogatottak.
  • A felügyelt HSM-et használó ügyfél által felügyelt kulcsok csak olyan Azure NetApp Files-fiókok esetében támogatottak, amelyek nem rendelkeznek meglévő titkosítással.
  • Mielőtt ügyfél által felügyelt kulccsal hoz létre kötetet felügyelt HSM-kötettel, a következőkkel kell rendelkeznie:
    • létrehozott egy Azure Key Vaultot, amely legalább egy kulcsot tartalmaz.
      • A kulcstartóban engedélyezni kell a helyreállítható törlést és a kiürítés elleni védelmet.
      • A kulcsnak RSA típusúnak kell lennie.
    • létre kell hoznia egy virtuális hálózatot a Microsoft.Netapp/volumes számára delegált alhálózattal.
    • egy felhasználóhoz vagy rendszer által hozzárendelt identitással az Azure NetApp Files-fiókhoz.
    • felügyelt HSM üzembe helyezése és aktiválása.

Támogatott régiók

  • Ausztrália középső régiója
  • Ausztrália 2. középső régiója
  • Kelet-Ausztrália
  • Délkelet-Ausztrália
  • Dél-Brazília
  • Délkelet-Brazília
  • Közép-Kanada
  • Kelet-Kanada
  • Közép-India
  • Az USA középső régiója
  • Kelet-Ázsia
  • USA keleti régiója
  • USA 2. keleti régiója
  • Közép-Franciaország
  • Észak-Németország
  • Középnyugat-Németország
  • Izrael középső régiója
  • Észak-Olaszország
  • Kelet-Japán
  • Nyugat-Japán
  • Dél-Korea középső régiója
  • USA északi középső régiója
  • Észak-Európa
  • Kelet-Norvégia
  • Nyugat-Norvégia
  • Közép-Katar
  • Dél-Afrika északi régiója
  • USA déli középső régiója
  • Dél-India
  • Délkelet-Ázsia
  • Közép-Spanyolország
  • Közép-Svédország
  • Észak-Svájc
  • Nyugat-Svájc
  • Egyesült Arab Emírségek középső régiója
  • Egyesült Arab Emírségek északi régiója
  • Az Egyesült Királyság déli régiója
  • Nyugat-Európa
  • USA nyugati régiója
  • USA 2. nyugati régiója
  • USA 3. nyugati régiója

A funkció regisztrálása

Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. Az első használat előtt regisztrálnia kell a funkciót. A regisztráció után a funkció engedélyezve van, és a háttérben működik. Nincs szükség felhasználói felületi vezérlőre.

  1. A funkció regisztrálása:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
    
  2. Ellenőrizze a szolgáltatásregisztráció állapotát:

    Feljegyzés

    A RegistrationState legfeljebb 60 percig lehet állapotban Registering , mielőtt átváltanaRegistered. A folytatás előtt várjon, amíg az állapot regisztrálva van.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
    

Használhatja az Azure CLI-parancsokat az feature register is, és az feature show regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.

Ügyfél által felügyelt kulcsok konfigurálása felügyelt HSM-sel a rendszer által hozzárendelt identitáshoz

Ha az ügyfél által felügyelt kulcsokat rendszer által hozzárendelt identitással konfigurálja, az Azure automatikusan konfigurálja a NetApp-fiókot egy rendszer által hozzárendelt identitás hozzáadásával. A hozzáférési szabályzat a Get, Encrypt és Decrypt kulcsengedélyekkel jön létre az Azure Key Vaultban.

Követelmények

A rendszer által hozzárendelt identitás használatához az Azure Key Vaultot úgy kell konfigurálni, hogy a Tároló hozzáférési szabályzatát használja engedélymodellként. Ellenkező esetben felhasználó által hozzárendelt identitást kell használnia.

Lépések

  1. Az Azure Portalon keresse meg az Azure NetApp Filest, majd válassza a Titkosítás lehetőséget.

  2. A Titkosítás menüben adja meg a következő értékeket:

    • Titkosítási kulcs forrásához válassza az Ügyfél által kezelt kulcs lehetőséget.
    • A kulcs URI-ja esetében válassza az Enter Key URI(Kulcs URI) lehetőséget, majd adja meg a felügyelt HSM URI-jának megadását.
    • Válassza ki a NetApp-előfizetést.
    • Identitástípus esetén válassza a Rendszer által hozzárendelt lehetőséget.

    Képernyőkép a titkosítási menüről, amelyen a kulcs URI-mezője látható.

  3. Válassza a Mentés lehetőséget.

Ügyfél által felügyelt kulcsok konfigurálása felügyelt HSM-sel a felhasználó által hozzárendelt identitáshoz

  1. Az Azure Portalon keresse meg az Azure NetApp Filest, majd válassza a Titkosítás lehetőséget.

  2. A Titkosítás menüben adja meg a következő értékeket:

    • Titkosítási kulcs forrásához válassza az Ügyfél által kezelt kulcs lehetőséget.
    • A kulcs URI-ja esetében válassza az Enter Key URI(Kulcs URI) lehetőséget, majd adja meg a felügyelt HSM URI-jának megadását.
    • Válassza ki a NetApp-előfizetést.
    • Identitástípus esetén válassza a Felhasználó által hozzárendelt lehetőséget.
  3. A Felhasználó által hozzárendelt elem kiválasztásakor megnyílik egy környezeti panel az identitás kiválasztásához.

    • Ha az Azure Key Vault tároló-hozzáférési szabályzat használatára van konfigurálva, az Azure automatikusan konfigurálja a NetApp-fiókot, és hozzáadja a felhasználó által hozzárendelt identitást a NetApp-fiókjához. A hozzáférési szabályzat a Get, Encrypt és Decrypt kulcsengedélyekkel jön létre az Azure Key Vaultban.
    • Ha az Azure Key Vault azure-beli szerepköralapú hozzáférés-vezérlés (RBAC) használatára van konfigurálva, győződjön meg arról, hogy a kiválasztott felhasználó által hozzárendelt identitás rendelkezik szerepkör-hozzárendeléssel a kulcstartón az adatműveletek engedélyeivel:

    Képernyőkép a felhasználó által hozzárendelt almenüről.

  4. Válassza a Mentés lehetőséget.

Következő lépések