Ügyfél által felügyelt kulcsok konfigurálása felügyelt hardveres biztonsági modullal az Azure NetApp Files kötettitkosításához
Az Azure NetApp Files mennyiségi titkosítása ügyfél által felügyelt kulcsokkal a felügyelt hardveres biztonsági modullal (HSM) az Azure NetApp Files kötettitkosítási funkciójának ügyfél által felügyelt kulcsainak kiterjesztése. Az ügyfél által felügyelt kulcsok a HSM használatával a titkosítási kulcsokat egy biztonságosabb FIPS 140-2 3. szintű HSM-ben tárolhatja az Azure Key Vault (AKV) által használt FIPS 140-2 1. szintű vagy 2. szintű szolgáltatás helyett.
Követelmények
- A felügyelt HSM-et használó ügyfél által felügyelt kulcsok a 2022.11-es vagy újabb API-verzióval támogatottak.
- A felügyelt HSM-et használó ügyfél által felügyelt kulcsok csak olyan Azure NetApp Files-fiókok esetében támogatottak, amelyek nem rendelkeznek meglévő titkosítással.
- Mielőtt ügyfél által felügyelt kulccsal hoz létre kötetet felügyelt HSM-kötettel, a következőkkel kell rendelkeznie:
- létrehozott egy Azure Key Vaultot, amely legalább egy kulcsot tartalmaz.
- A kulcstartóban engedélyezni kell a helyreállítható törlést és a kiürítés elleni védelmet.
- A kulcsnak RSA típusúnak kell lennie.
- létre kell hoznia egy virtuális hálózatot a Microsoft.Netapp/volumes számára delegált alhálózattal.
- egy felhasználóhoz vagy rendszer által hozzárendelt identitással az Azure NetApp Files-fiókhoz.
- felügyelt HSM üzembe helyezése és aktiválása.
- létrehozott egy Azure Key Vaultot, amely legalább egy kulcsot tartalmaz.
Támogatott régiók
- Ausztrália középső régiója
- Ausztrália 2. középső régiója
- Kelet-Ausztrália
- Délkelet-Ausztrália
- Dél-Brazília
- Délkelet-Brazília
- Közép-Kanada
- Kelet-Kanada
- Közép-India
- Az USA középső régiója
- Kelet-Ázsia
- USA keleti régiója
- USA 2. keleti régiója
- Közép-Franciaország
- Észak-Németország
- Középnyugat-Németország
- Izrael középső régiója
- Észak-Olaszország
- Kelet-Japán
- Nyugat-Japán
- Dél-Korea középső régiója
- USA északi középső régiója
- Észak-Európa
- Kelet-Norvégia
- Nyugat-Norvégia
- Közép-Katar
- Dél-Afrika északi régiója
- USA déli középső régiója
- Dél-India
- Délkelet-Ázsia
- Közép-Spanyolország
- Közép-Svédország
- Észak-Svájc
- Nyugat-Svájc
- Egyesült Arab Emírségek középső régiója
- Egyesült Arab Emírségek északi régiója
- Az Egyesült Királyság déli régiója
- Nyugat-Európa
- USA nyugati régiója
- USA 2. nyugati régiója
- USA 3. nyugati régiója
A funkció regisztrálása
Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. Az első használat előtt regisztrálnia kell a funkciót. A regisztráció után a funkció engedélyezve van, és a háttérben működik. Nincs szükség felhasználói felületi vezérlőre.
A funkció regisztrálása:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
Ellenőrizze a szolgáltatásregisztráció állapotát:
Feljegyzés
A RegistrationState legfeljebb 60 percig lehet állapotban
Registering
, mielőtt átváltanaRegistered
. A folytatás előtt várjon, amíg az állapot regisztrálva van.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
Használhatja az Azure CLI-parancsokat az feature register
is, és az feature show
regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.
Ügyfél által felügyelt kulcsok konfigurálása felügyelt HSM-sel a rendszer által hozzárendelt identitáshoz
Ha az ügyfél által felügyelt kulcsokat rendszer által hozzárendelt identitással konfigurálja, az Azure automatikusan konfigurálja a NetApp-fiókot egy rendszer által hozzárendelt identitás hozzáadásával. A hozzáférési szabályzat a Get, Encrypt és Decrypt kulcsengedélyekkel jön létre az Azure Key Vaultban.
Követelmények
A rendszer által hozzárendelt identitás használatához az Azure Key Vaultot úgy kell konfigurálni, hogy a Tároló hozzáférési szabályzatát használja engedélymodellként. Ellenkező esetben felhasználó által hozzárendelt identitást kell használnia.
Lépések
Az Azure Portalon keresse meg az Azure NetApp Filest, majd válassza a Titkosítás lehetőséget.
A Titkosítás menüben adja meg a következő értékeket:
- Titkosítási kulcs forrásához válassza az Ügyfél által kezelt kulcs lehetőséget.
- A kulcs URI-ja esetében válassza az Enter Key URI(Kulcs URI) lehetőséget, majd adja meg a felügyelt HSM URI-jának megadását.
- Válassza ki a NetApp-előfizetést.
- Identitástípus esetén válassza a Rendszer által hozzárendelt lehetőséget.
Válassza a Mentés lehetőséget.
Ügyfél által felügyelt kulcsok konfigurálása felügyelt HSM-sel a felhasználó által hozzárendelt identitáshoz
Az Azure Portalon keresse meg az Azure NetApp Filest, majd válassza a Titkosítás lehetőséget.
A Titkosítás menüben adja meg a következő értékeket:
- Titkosítási kulcs forrásához válassza az Ügyfél által kezelt kulcs lehetőséget.
- A kulcs URI-ja esetében válassza az Enter Key URI(Kulcs URI) lehetőséget, majd adja meg a felügyelt HSM URI-jának megadását.
- Válassza ki a NetApp-előfizetést.
- Identitástípus esetén válassza a Felhasználó által hozzárendelt lehetőséget.
A Felhasználó által hozzárendelt elem kiválasztásakor megnyílik egy környezeti panel az identitás kiválasztásához.
- Ha az Azure Key Vault tároló-hozzáférési szabályzat használatára van konfigurálva, az Azure automatikusan konfigurálja a NetApp-fiókot, és hozzáadja a felhasználó által hozzárendelt identitást a NetApp-fiókjához. A hozzáférési szabályzat a Get, Encrypt és Decrypt kulcsengedélyekkel jön létre az Azure Key Vaultban.
- Ha az Azure Key Vault azure-beli szerepköralapú hozzáférés-vezérlés (RBAC) használatára van konfigurálva, győződjön meg arról, hogy a kiválasztott felhasználó által hozzárendelt identitás rendelkezik szerepkör-hozzárendeléssel a kulcstartón az adatműveletek engedélyeivel:
- "Microsoft.KeyVault/vaults/keys/read"
- "Microsoft.KeyVault/vaults/keys/encrypt/action"
- "Microsoft.KeyVault/vaults/keys/decrypt/action" A felhasználó által hozzárendelt identitást a rendszer hozzáadja a NetApp-fiókjához. Mivel az RBAC testreszabható, az Azure Portal nem konfigurálja a kulcstartóhoz való hozzáférést. További információ: Azure RBAC-titkos kódok, kulcsok és tanúsítványengedélyek használata a Key Vaulttal
Válassza a Mentés lehetőséget.