Az Azure Data Explorer titkosítja az inaktív tárfiók összes adatát. Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához megadhatja az ügyfél által felügyelt kulcsokat az adattitkosításhoz.
Az ügyfél által felügyelt kulcsokat egy Azure-Key Vault kell tárolni. Létrehozhat saját kulcsokat, és tárolhatja őket egy kulcstartóban, vagy használhat egy Azure Key Vault API-t a kulcsok létrehozásához. Az Azure Data Explorer-fürtnek és a kulcstartónak ugyanabban a régióban kell lennie, de különböző előfizetésekben lehetnek. Az ügyfél által felügyelt kulcsokkal kapcsolatos részletes magyarázatért lásd: ügyfél által felügyelt kulcsok az Azure Key Vault.
Ez a cikk bemutatja, hogyan konfigurálhatja az ügyfél által felügyelt kulcsokat.
A korábbi SDK-verziókon alapuló kódmintákért tekintse meg az archivált cikket.
Az Azure Key Vault konfigurálása
Ha ügyfél által felügyelt kulcsokat szeretne konfigurálni az Azure Data Explorer, két tulajdonságot kell beállítania a kulcstartón: Helyreállítható törlés és törlés tiltása. Ezek a tulajdonságok alapértelmezés szerint nincsenek engedélyezve. A tulajdonságok engedélyezéséhez végezze el a helyreállítható törlés engedélyezését és a Végleges törlés elleni védelem engedélyezését a PowerShellben vagy az Azure CLI-ben egy új vagy meglévő kulcstartón. Csak a 2048-es méretű RSA-kulcsok támogatottak. További információ a kulcsokról: Key Vault kulcsok.
Megjegyzés
Az ügyfél által felügyelt kulcsok vezető- és követőfürtökön való használatának korlátozásairól a Korlátozások című témakörben olvashat.
Felügyelt identitás hozzárendelése a fürthöz
A fürt ügyfél által felügyelt kulcsainak engedélyezéséhez először rendeljen hozzá egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást a fürthöz. Ezzel a felügyelt identitással engedélyeket adhat a fürtnek a kulcstartó eléréséhez. A felügyelt identitások konfigurálásához lásd: felügyelt identitások.
Titkosítás engedélyezése ügyfél által felügyelt kulcsokkal
Az alábbi lépések bemutatják, hogyan engedélyezheti az ügyfél által felügyelt kulcsok titkosítását a Azure Portal használatával. Alapértelmezés szerint az Azure Data Explorer titkosítása Microsoft által felügyelt kulcsokat használ. Konfigurálja az Azure Data Explorer-fürtöt úgy, hogy ügyfél által felügyelt kulcsokat használjon, és adja meg a fürthöz társítandó kulcsot.
A portálbal oldali ablaktábláján válassza a Beállítások >titkosítása lehetőséget.
A Titkosítás panelen válassza a Be lehetőséget az Ügyfél által felügyelt kulcs beállításhoz.
Válassza a Kulcs kiválasztása lehetőséget.
A Select key from Azure Key Vault (Kulcs kiválasztása az Azure Key Vault-ból) ablakban válasszon ki egy meglévő Kulcstartót a legördülő listából. Ha új Key Vault létrehozásához az Új létrehozása lehetőséget választja, a rendszer a Létrehozás Key Vault képernyőre irányítja.
Válassza a Kulcs lehetőséget.
Verzió:
Ha meg szeretné győződni arról, hogy ez a kulcs mindig a legújabb kulcsverziót használja, jelölje be a Mindig az aktuális kulcsverzió használata jelölőnégyzetet.
Ellenkező esetben válassza a Verzió lehetőséget.
Válassza a Kiválasztás lehetőséget.
Az Identitás típusa területen válassza a Rendszer hozzárendelt vagy a Felhasználó által hozzárendelt lehetőséget.
Ha a Felhasználóhoz rendelt lehetőséget választja, válasszon ki egy felhasználó által hozzárendelt identitást a legördülő listából.
A kulcsot tartalmazó Titkosítás panelen válassza a Mentés lehetőséget. Ha a CMK létrehozása sikeres, egy sikeres üzenet jelenik meg az Értesítésekben.
Ha a rendszer által hozzárendelt identitást választja az Azure Data Explorer-fürt ügyfél által felügyelt kulcsainak engedélyezésekor, akkor rendszer által hozzárendelt identitást fog létrehozni a fürthöz, ha nem létezik. Emellett meg kell adnia a szükséges get, wrapKey és unwrapKey engedélyeket az Azure Data Explorer-fürthöz a kiválasztott Key Vault, és lekérheti a Key Vault tulajdonságokat.
Megjegyzés
A Ki gombra kattintva eltávolíthatja az ügyfél által kezelt kulcsot a létrehozása után.
Az alábbi szakaszok ismertetik, hogyan konfigurálhatja az ügyfél által felügyelt kulcsok titkosítását az Azure Data Explorer C#-ügyfél használatával.
A cikkben szereplő példák futtatásához hozzon létre egy Microsoft Entra alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz. Hozzáadhat szerepkör-hozzárendelést az előfizetés hatókörébe, és lekérheti a szükséges Microsoft Entra Directory (tenant) ID, és Application IDApplication Secret.
Az alábbi kódrészlet bemutatja, hogyan használható a Microsoft Authentication Library (MSAL) egy Microsoft Entra alkalmazásjogkivonat beszerzésére a fürt eléréséhez. Ahhoz, hogy a folyamat sikeres legyen, az alkalmazást Microsoft Entra azonosítóval kell regisztrálni, és rendelkeznie kell az alkalmazáshitelesítéshez szükséges hitelesítő adatokkal, például egy Microsoft Entra azonosítóval kiállított alkalmazáskulcsgal vagy egy Microsoft Entra regisztrált X.509v2-tanúsítvánnyal.
Ügyfél által felügyelt kulcsok konfigurálása
Alapértelmezés szerint az Azure Data Explorer titkosítása Microsoft által felügyelt kulcsokat használ. Konfigurálja az Azure Data Explorer-fürtöt úgy, hogy ügyfél által felügyelt kulcsokat használjon, és adja meg a fürthöz társítandó kulcsot.
Frissítse a fürtöt a következő kóddal:
var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
var clientSecret = "PlaceholderClientSecret"; // Application secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
var clusterName = "mykustocluster";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var clusters = resourceGroup.GetKustoClusters();
var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
{
KeyVaultProperties = new KustoKeyVaultProperties
{
KeyName = "<keyName>",
KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
}
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
Futtassa a következő parancsot annak ellenőrzéséhez, hogy a fürt sikeresen frissült-e:
var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
Ha az eredmény tartalmazza ProvisioningState az Succeeded értéket, a fürt frissítése sikeresen megtörtént.
Az alábbi lépések bemutatják, hogyan engedélyezheti az ügyfél által felügyelt kulcsok titkosítását az Azure CLI-ügyféllel. Alapértelmezés szerint az Azure Data Explorer titkosítása Microsoft által felügyelt kulcsokat használ. Konfigurálja az Azure Data Explorer-fürtöt úgy, hogy ügyfél által felügyelt kulcsokat használjon, és adja meg a fürthöz társítandó kulcsot.
Az alábbi parancs futtatásával jelentkezzen be az Azure-ba:
az login
Állítsa be azt az előfizetést, amelyben a fürt regisztrálva van. Cserélje le a MyAzureSub elemet a használni kívánt Azure-előfizetés nevére.
az account set --subscription MyAzureSub
Futtassa a következő parancsot az új kulcs beállításához a fürt rendszer által hozzárendelt identitásával
Futtassa a következő parancsot, és ellenőrizze a keyVaultProperties tulajdonságot a fürt sikeres frissítésének ellenőrzéséhez.
az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
Az alábbi lépések bemutatják, hogyan engedélyezheti az ügyfél által felügyelt kulcsok titkosítását a PowerShell használatával. Alapértelmezés szerint az Azure Data Explorer titkosítása Microsoft által felügyelt kulcsokat használ. Konfigurálja az Azure Data Explorer-fürtöt úgy, hogy ügyfél által felügyelt kulcsokat használjon, és adja meg a fürthöz társítandó kulcsot.
Az alábbi parancs futtatásával jelentkezzen be az Azure-ba:
Connect-AzAccount
Állítsa be azt az előfizetést, amelyben a fürt regisztrálva van.
Az alábbi lépések bemutatják, hogyan konfigurálhatók az ügyfél által felügyelt kulcsok az Azure Resource Manager-sablonok használatával. Alapértelmezés szerint az Azure Data Explorer titkosítása Microsoft által felügyelt kulcsokat használ. Ebben a lépésben konfigurálja az Azure Data Explorer-fürtöt az ügyfél által felügyelt kulcsok használatára, és adja meg a fürthöz társítandó kulcsot.
Ha rendszer által hozzárendelt identitást szeretne használni a kulcstartó eléréséhez, hagyja userIdentity üresen. Ellenkező esetben állítsa be az identitás erőforrás-azonosítóját.
Az Azure Resource Manager sablont a Azure Portal vagy a PowerShell használatával helyezheti üzembe.
Egy kulcs új verziójának létrehozásakor frissítenie kell a fürtöt az új verzió használatához. Először hívja meg a kulcsot Get-AzKeyVaultKey , hogy lekérje a kulcs legújabb verzióját. Ezután frissítse a fürt kulcstartójának tulajdonságait a kulcs új verziójának használatára, ahogyan az Ügyfél által felügyelt kulcsokkal történő titkosítás engedélyezése című témakörben látható.
