Ügyfél által felügyelt kulcsok konfigurálása az Azure Load Testinghez az Azure Key Vaulttal

Az Azure Load Testing automatikusan titkosítja a terheléstesztelési erőforrásban tárolt összes adatot a Microsoft által biztosított kulcsokkal (szolgáltatás által felügyelt kulcsokkal). Ha szeretné, hozzáadhat egy második biztonsági réteget is, ha saját (ügyfél által felügyelt) kulcsokat is megad. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés szabályozásához és a kulcsforgatási szabályzatok használatához.

A megadott kulcsokat biztonságosan tároljuk az Azure Key Vault használatával. Az ügyfél által felügyelt kulcsokkal minden egyes Azure-beli terheléstesztelési erőforráshoz létrehozhat egy külön kulcsot.

Ügyfél által felügyelt titkosítási kulcsok használatakor meg kell adnia egy felhasználó által hozzárendelt felügyelt identitást, hogy lekérje a kulcsokat az Azure Key Vaultból.

Az Azure Load Testing az ügyfél által felügyelt kulccsal titkosítja a következő adatokat a terheléstesztelési erőforrásban:

• Szkript és konfigurációs fájlok tesztelése
• Titkos kódok
• Környezeti változók

Megjegyzés

Az Azure Load Testing nem titkosítja az ügyfél által felügyelt kulccsal futtatott teszt metrikáinak adatait, beleértve a JMeter-szkriptben megadott JMeter-metrikák mintavevőneveit és a Locust-szkriptben megadott kérésneveket. A Microsoft hozzáfér ezekhez a metrikákhoz.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

• Egy meglévő, felhasználó által hozzárendelt felügyelt identitás. További információ a felhasználó által hozzárendelt felügyelt identitások létrehozásáról: Felhasználó által hozzárendelt felügyelt identitások kezelése.

Korlátozások

• Az ügyfél által felügyelt kulcsok csak új Azure-beli terheléstesztelési erőforrásokhoz érhetők el. Az erőforrás létrehozásakor konfigurálnia kell a kulcsot.

• Ha az ügyfél által felügyelt kulcstitkosítás engedélyezve van egy erőforráson, az nem tiltható le.

• Az Azure Load Testing nem tudja automatikusan elforgatni az ügyfél által kezelt kulcsot a titkosítási kulcs legújabb verziójának használatához. A kulcs Azure Key Vaultban való elforgatása után frissítenie kell az erőforrásban szereplő kulcs URI-t.

Az Azure Key Vault konfigurálása

Ha ügyfél által felügyelt titkosítási kulcsokat szeretne használni az Azure Load Testing használatával, a kulcsot az Azure Key Vaultban kell tárolnia. Használhat egy meglévő kulcstartót, vagy létrehozhat egy újat. A terheléstesztelési erőforrás és a kulcstár különböző régiókban vagy előfizetésekben lehet ugyanabban a bérlőben.

Az ügyfél által felügyelt titkosítási kulcsok használatakor mindenképpen konfigurálja a következő kulcstartó-beállításokat.

A Key Vault hálózati beállításainak konfigurálása

Ha tűzfal vagy virtuális hálózat korlátozza az Azure Key Vaulthoz való hozzáférést, hozzáférést kell adnia az Azure Load Testinghez az ügyfél által felügyelt kulcsok lekéréséhez. A megbízható Azure-szolgáltatásokhoz való hozzáférés biztosításához kövesse az alábbi lépéseket.

Fontos

Az ügyfél által felügyelt kulcsok lekérése egy privát Azure Key Vaultból, amely hozzáférési korlátozásokkal rendelkezik, jelenleg nem támogatott az USA gov virginiai régiójában.

Ideiglenes törlés és végleges törlés elleni védelem konfigurálása

A kulcstartó "helyreállítható törlés" és "tisztításvédelem" tulajdonságait be kell állítania, hogy ügyfél által felügyelt kulcsokat tudjon használni az Azure Load Testinghez. A helyreállítható törlés alapértelmezés szerint engedélyezve van egy új kulcstartó létrehozásakor, és nem tiltható le. A törlés elleni védelmet bármikor engedélyezheti. További információ az Azure Key Vault lágy törléséről és a végleges törlés elleni védelemről.

Azure portál

Kövesse az alábbi lépéseket annak ellenőrzéséhez, hogy engedélyezve van-e a helyreállítható törlés, és engedélyezze-e azt egy kulcstartóban. Alapértelmezés szerint az új kulcstartó-tár létrehozásakor a puha törlés engedélyezve van.

Ha új kulcstartót hoz létre, engedélyezheti a törlés elleni védelmet a törlésvédelmi beállítások engedélyezésével.

Ha engedélyezni szeretné a törlés elleni védelmet egy meglévő kulcstartón, kövesse az alábbi lépéseket:

1. Navigáljon a kulcstartóházához az Azure portálon.
2. A Beállítások területen válassza a Tulajdonságok lehetőséget.
3. A Törlés elleni védelem szakaszban válassza a Törlés elleni védelem engedélyezése lehetőséget.

PowerShell

Ha új kulcstartót szeretne létrehozni a PowerShell-lel, telepítse az Az.KeyVault PowerShell modul 2.0.0-s vagy újabb verzióját. Ezután hívja meg a New-AzKeyVaultot egy új kulcstartó létrehozásához. Az Az.KeyVault modul 2.0.0-s és újabb verziójával alapértelmezés szerint engedélyezve van a helyreállítható törlés egy új kulcstartó létrehozásakor.

Az alábbi példa egy új kulcstárat hoz létre, amelyen engedélyezve van a helyreállítható törlés és a törlés elleni védelem. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Meglévő kulcstartó törlés elleni védelmének engedélyezése a PowerShell segítségével:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Ha új kulcstartót szeretne létrehozni az Azure CLI használatával, hívja meg az keyvault create parancsot. Új kulcstartó létrehozásakor alapértelmezés szerint engedélyezve van a helyreállítható törlés.

Az alábbi példa egy új kulcstárat hoz létre, amelyen engedélyezve van a helyreállítható törlés és a törlés elleni védelem. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Meglévő kulcstartó törlés elleni védelmének engedélyezése az Azure CLI-vel:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Ügyfél által felügyelt kulcs hozzáadása az Azure Key Vaulthoz

Ezután adjon hozzá egy kulcsot a kulcstárhoz. Az Azure Load Testing titkosítása támogatja az RSA-kulcsokat. Az Azure Key Vault támogatott kulcstípusairól további információt a Kulcsok ismertetése című témakörben talál.

Azure portál

Ha tudni szeretné, hogyan adhat hozzá kulcsot az Azure Portalhoz, olvassa el a Kulcs beállítása és lekérése az Azure Key Vaultból az Azure Portal használatával című témakört.

PowerShell

Kulcs PowerShell-lel való hozzáadásához hívja meg az Add-AzKeyVaultKey parancsot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire, és használja az előző példákban definiált változókat.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Ha egy kulcsot szeretne hozzáadni az Azure CLI-vel, hívja meg az keyvault key create parancsot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Hozzáférési szabályzat hozzáadása a kulcstartó tárolóhoz

Ha ügyfél által felügyelt titkosítási kulcsokat használ, meg kell adnia egy felhasználó által hozzárendelt felügyelt identitást. Az Azure Key Vault ügyfél által felügyelt kulcsainak eléréséhez a felhasználó által hozzárendelt felügyelt identitásnak megfelelő engedélyekkel kell rendelkeznie a kulcstartó eléréséhez.

1. Az Azure Portalon nyissa meg azt az Azure Key Vault-példányt, amelyet a titkosítási kulcsok üzemeltetésére kíván használni.

2. A bal oldali menüben válassza a Hozzáférési szabályzatok lehetőséget.

   

3. Válassza a + Hozzáférési szabályzat hozzáadása lehetőséget.

4. A kulcsengedélyek legördülő menüjében válassza a lekérés, a kulcs feloldása és a kulcs becsomagolása engedélyek lehetőségeket.

   

5. A Főkiválasztás menüben válassza a Nincs kijelölve lehetőséget.

6. Keresse meg a korábban létrehozott felhasználó által hozzárendelt felügyelt identitást, és válassza ki a listából.

7. Válassza a Kiválasztás elemet az alján.

8. Válassza a Hozzáadás lehetőséget az új hozzáférési szabályzat hozzáadásához.

9. Az összes módosítás mentéséhez válassza a Key Vault-példány Mentés elemét.

Ügyfél által felügyelt kulcsok használata az Azure Load Testing használatával

Az ügyfél által felügyelt titkosítási kulcsokat csak új Azure-terheléstesztelési erőforrás létrehozásakor konfigurálhatja. A titkosítási kulcs részleteinek megadásakor ki kell választania egy felhasználó által hozzárendelt felügyelt identitást is, hogy lekérje a kulcsot az Azure Key Vaultból.

Ha ügyfél által felügyelt kulcsokat szeretne konfigurálni egy új terheléstesztelési erőforráshoz, kövesse az alábbi lépéseket:

Azure portál

1. Ezeket a lépéseket követve hozzon létre egy Azure-terheléstesztelési erőforrást az Azure Portalon, és töltse ki az Alapismeretek lapon található mezőket.

2. Lépjen a Titkosítás lapra, majd válassza ki az Ügyfél által felügyelt kulcsokat (CMK) a Titkosítás típusa mezőhöz.

3. A Kulcs URI mezőbe illessze be az Azure Key Vault kulcs URI/kulcsazonosítóját, beleértve a kulcsverziót is.

4. A felhasználó által hozzárendelt identitásmezőben válasszon ki egy meglévő, felhasználó által hozzárendelt felügyelt identitást.

5. Válassza a Véleményezés + létrehozás lehetőséget az új erőforrás érvényesítéséhez és létrehozásához.

PowerShell

Arm-sablont helyezhet üzembe a PowerShell használatával az Azure-erőforrások létrehozásának automatizálásához. A titkosításhoz engedélyezett ügyfél által kezelt kulccsal bármilyen típusú Microsoft.LoadTestService/loadtests erőforrást létrehozhat a következő tulajdonságok hozzáadásával:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Az alábbi kódminta egy ARM-sablont mutat be egy terheléstesztelési erőforrás létrehozásához az ügyfél által felügyelt kulcsokkal engedélyezve:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

A fenti sablon üzembe helyezése egy erőforráscsoportban a New-AzResourceGroupDeployment használatával:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Az Azure CLI használatával arm-sablont helyezhet üzembe az Azure-erőforrások létrehozásának automatizálásához. A titkosításhoz engedélyezett ügyfél által kezelt kulccsal bármilyen típusú Microsoft.LoadTestService/loadtests erőforrást létrehozhat a következő tulajdonságok hozzáadásával:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Az alábbi kódminta egy ARM-sablont mutat be egy terheléstesztelési erőforrás létrehozásához az ügyfél által felügyelt kulcsokkal engedélyezve:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Helyezze üzembe a fenti sablont egy erőforráscsoportban a az deployment group create használatával.

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

A titkosítási kulcs lekéréséhez használt felügyelt identitás módosítása

Egy meglévő terheléstesztelési erőforrás ügyfél által felügyelt kulcsainak felügyelt identitását bármikor módosíthatja.

1. Az Azure Portalon nyissa meg az Azure-terheléstesztelési erőforrást.

2. A Beállítások lapon válassza a Titkosítás lehetőséget.

   A titkosítási típus a terheléstesztelési erőforrás létrehozásához használt titkosítási típust jeleníti meg.

3. Ha a titkosítási típus ügyfél által felügyelt kulcs, válassza ki a kulcstartóban való hitelesítéshez használni kívánt identitástípust. A beállítások közé tartoznak a rendszer által hozzárendelt (alapértelmezett) vagy a felhasználó által hozzárendelt lehetőségek.

   A felügyelt identitástípusokról további információt a Felügyelt identitástípusok című témakörben talál.

   • Ha a rendszer által hozzárendelt identitást választja, a rendszer által hozzárendelt felügyelt identitást engedélyezni kell az erőforráson, és hozzáférést kell biztosítani az AKV-hoz, mielőtt módosítaná az ügyfél által felügyelt kulcsok identitását.
   • Ha a felhasználó által hozzárendelt identitást választja, ki kell választania egy meglévő, felhasználó által hozzárendelt identitást, amely rendelkezik a kulcstartó eléréséhez szükséges engedélyekkel. Ha tudni szeretné, hogyan hozhat létre felhasználó által hozzárendelt identitást, olvassa el a Felügyelt identitások használata az Azure Load Testing Előzetes verziójához című témakört.

4. Mentse a módosításokat.

Fontos

Győződjön meg arról, hogy a kiválasztott felügyelt identitás hozzáfér az Azure Key Vaulthoz.

Az ügyfél által felügyelt titkosítási kulcs frissítése

Az Azure Load Testing titkosításához használt kulcsot bármikor módosíthatja. Ha módosítani szeretné a kulcsot az Azure Portalon, kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg az Azure-terheléstesztelési erőforrást.

2. A Beállítások lapon válassza a Titkosítás lehetőséget. A titkosítás típusa az erőforráshoz kiválasztott titkosítást jeleníti meg a létrehozás során.

3. Ha a kiválasztott titkosítási típus ügyfél által felügyelt kulcs, szerkesztheti a Kulcs URI mezőt az új kulcs URI-val.

4. Mentse a módosításokat.

Titkosítási kulcsok elforgatása

Az ügyfél által felügyelt kulcsokat a megfelelőségi szabályzatoknak megfelelően elforgathatja az Azure Key Vaultban. Kulcs elforgatása:

1. Az Azure Key Vaultban frissítse a kulcs verzióját, vagy hozzon létre egy új kulcsot.
2. Frissítse az ügyfél által felügyelt titkosítási kulcsot a terheléstesztelési erőforráshoz.

Gyakori kérdések

Van külön díj az ügyfél által felügyelt kulcsok engedélyezéséért?

Nem, ennek a funkciónak a engedélyezése díjmentes.

Támogatottak az ügyfél által felügyelt kulcsok a meglévő Azure terheléstesztelési erőforrásokhoz?

Ez a funkció jelenleg csak az új Azure terheléstesztelési erőforrásokhoz érhető el.

Hogyan állapíthatom meg, hogy az ügyfél által felügyelt kulcsok engedélyezve vannak-e az Azure-beli terheléstesztelési erőforráson?

1. Az Azure Portalon nyissa meg az Azure-terheléstesztelési erőforrást.
2. Lépjen a bal oldali navigációs sáv Titkosítás elemére.
3. Ellenőrizheti az erőforrás titkosítási típusát .

Hogyan visszavonni egy titkosítási kulcsot?

A kulcsok visszavonásához tiltsa le a kulcs legújabb verzióját az Azure Key Vaultban. Másik lehetőségként a kulcstartópéldány összes kulcsának visszavonásához törölheti a terheléstesztelési erőforrás felügyelt identitásához megadott hozzáférési szabályzatot.

A titkosítási kulcs visszavonása után körülbelül 10 percig futtathat teszteket, amelyek után az egyetlen elérhető művelet az erőforrás törlése. Javasoljuk, hogy forgassa el a kulcsot ahelyett, hogy visszavonja az erőforrás-biztonság kezelése és az adatok megőrzése érdekében.

Kapcsolódó tartalom

• Megtudhatja, hogyan figyelheti a kiszolgálóoldali alkalmazásmetrikákat.
• Megtudhatja, hogyan paraméterezhet egy terhelési tesztet titkos kódokkal és környezeti változókkal.