A felügyelt lemezek titkosítása bérlők közötti, ügyfél által kezelt kulcsokkal

Ez a cikk egy olyan megoldás készítését ismerteti, amelyben a felügyelt lemezeket ügyfél által felügyelt kulcsokkal titkosítja egy másik Microsoft Entra-bérlőben tárolt Azure Key Vault használatával. Ez a konfiguráció több forgatókönyvhöz is ideális lehet, például Azure-támogatás azoknak a szolgáltatóknak, akik saját titkosítási kulcsokat szeretnének kínálni ügyfeleiknek, ahol a szolgáltató bérlőjéből származó erőforrásokat az ügyfél bérlőjének kulcsaival titkosítják.

A bérlők közötti CMK-munkafolyamatok összevont identitással rendelkező lemeztitkosítási készlete a szolgáltatói/ISV-bérlői erőforrásokra (lemeztitkosítási készlet, felügyelt identitások és alkalmazásregisztrációk) és az ügyfél-bérlői erőforrásokra (vállalati alkalmazások, felhasználói szerepkör-hozzárendelések és kulcstartó) terjed ki. Ebben az esetben a forrás Azure-erőforrás a szolgáltató lemeztitkosítási készlete.

Ha kérdései vannak a bérlők közötti, felügyelt lemezekkel rendelkező, ügyfél által felügyelt kulcsokkal kapcsolatban, küldjön e-mailt crosstenantcmkvteam@service.microsoft.com.

Korlátozások

• A felügyelt lemezeknek és az ügyfél Key Vaultjának ugyanabban az Azure-régióban kell lenniük, de különböző előfizetésekben lehetnek.
• Ez a funkció nem támogatja az Ultra Disks vagy az Azure Premium SSD v2 felügyelt lemezeket.
• Ez a funkció nem érhető el a 21Vianet vagy Kormányzati felhők által üzemeltetett Microsoft Azure-ban.

A bérlők közötti ügyfél által felügyelt kulcsok ismertetése

Számos szolgáltatásként (SaaS)-ajánlatot építő szolgáltató szeretné kínálni ügyfeleinek a saját titkosítási kulcsok kezelését. Az ügyfél által kezelt kulcsokkal a szolgáltató titkosíthatja az ügyfél adatait egy olyan titkosítási kulccsal, amelyet a szolgáltató ügyfele kezel, és amely nem érhető el a szolgáltató számára. Az Azure-ban a szolgáltató ügyfele az Azure Key Vault használatával kezelheti a titkosítási kulcsokat a saját Microsoft Entra-bérlőjében és -előfizetésében.

A szolgáltató tulajdonában lévő és a szolgáltató bérlőjében található Azure-platformszolgáltatásokhoz és erőforrásokhoz az ügyfél bérlőjének kulcsához kell hozzáférnie a titkosítási/visszafejtési műveletek végrehajtásához.

Az alábbi képen egy inaktív adattitkosítás látható összevont identitással egy bérlőközi CMK-munkafolyamatban, amely egy szolgáltatót és annak ügyfeleit öleli fel.

A fenti példában két Microsoft Entra-bérlő található: egy független szolgáltató bérlője (1. bérlő) és egy ügyfél bérlője (2. bérlő). Az 1 . bérlő azure-platformszolgáltatásokat üzemeltet, a 2 . bérlő pedig az ügyfél kulcstartóját.

A szolgáltató több-bérlős alkalmazásregisztrációt hoz létre az 1. bérlőben. Az összevont identitás hitelesítő adatai ezen az alkalmazáson egy felhasználó által hozzárendelt felügyelt identitás használatával jönnek létre. Ezután az alkalmazás neve és alkalmazásazonosítója meg lesz osztva az ügyféllel.

A megfelelő engedélyekkel rendelkező felhasználó telepíti a szolgáltató alkalmazását a 2. bérlő ügyfélbérlében. A felhasználó ezután hozzáférést biztosít a telepített alkalmazáshoz társított szolgáltatásnévnek az ügyfél kulcstartója számára. Az ügyfél a titkosítási kulcsot vagy az ügyfél által felügyelt kulcsot is a kulcstartóban tárolja. Az ügyfél megosztja a kulcs helyét (a kulcs URL-címét) a szolgáltatóval.

A szolgáltató most a következőt használja:

• Az ügyfél bérlőjében telepített több-bérlős alkalmazás alkalmazásazonosítója, amely hozzáférést kapott az ügyfél által felügyelt kulcshoz.
• A több-bérlős alkalmazás hitelesítő adataiként konfigurált felügyelt identitás.
• A kulcs helye az ügyfél kulcstartójában.

Ezzel a három paraméterrel a szolgáltató olyan Azure-erőforrásokat helyez üzembe az 1. bérlőben, amelyek a 2. bérlő ügyfél által felügyelt kulccsal titkosíthatók.

Osztjuk a fenti végpontok közötti megoldást három fázisra:

1. A szolgáltató identitásokat konfigurál.
2. Az ügyfél hozzáférést biztosít a szolgáltató több-bérlős alkalmazásának egy titkosítási kulcshoz az Azure Key Vaultban.
3. A szolgáltató az Azure-erőforrás adatait a CMK használatával titkosítja.

Az 1. fázisban végzett műveletek a legtöbb szolgáltatói alkalmazás egyszeri beállítását jelentenék. A 2. és a 3. fázisban végzett műveletek minden ügyfélnél ismétlődnek.

1. fázis – A szolgáltató egy Microsoft Entra-alkalmazást konfigurál

Step	Leírás	Minimális szerepkör az Azure RBAC-ben	Minimális szerepkör a Microsoft Entra RBAC-ben
1.	Hozzon létre egy új több-bérlős Microsoft Entra-alkalmazásregisztrációt, vagy kezdje egy meglévő alkalmazásregisztrációval. Jegyezze fel az alkalmazásregisztráció alkalmazásazonosítóját (ügyfélazonosítóját) az Azure Portal, a Microsoft Graph API, az Azure PowerShell vagy az Azure CLI használatával	None	Application Developer
2.	Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást (amely összevont identitás hitelesítőadatként használható). Azure Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager-sablonok	Felügyelt identitás közreműködője	None
3.	Konfigurálja a felhasználó által hozzárendelt felügyelt identitást összevont identitás hitelesítő adatként az alkalmazásban, hogy megszemélyesíthesse az alkalmazás identitását. Graph API-referencia/ Azure Portal/ Azure CLI/ Azure PowerShell	None	Az alkalmazás tulajdonosa
4.	Ossza meg az alkalmazás nevét és az alkalmazásazonosítót az ügyféllel, hogy telepítheti és engedélyezheti az alkalmazást.	None	None

A szolgáltatók szempontjai

• Az Azure Resource Manager-sablonok nem ajánlottak Microsoft Entra-alkalmazások létrehozásához.
• Ugyanazt a több-bérlős alkalmazást használhatja a kulcsok elérésére tetszőleges számú bérlőben, például a 2. bérlőben, a 3. bérlőben, a 4. bérlőben stb. Minden bérlőben létrejön az alkalmazás egy független példánya, amely ugyanazzal az alkalmazásazonosítóval, de egy másik objektumazonosítóval rendelkezik. Ennek az alkalmazásnak minden példánya önállóan van engedélyezve. Fontolja meg, hogy a szolgáltatáshoz használt alkalmazásobjektum hogyan particionálja az alkalmazást az összes ügyfél között.
  • Az alkalmazás legfeljebb 20 összevont identitás hitelesítő adattal rendelkezhet, ami megköveteli, hogy a szolgáltató megossza az összevont identitásokat az ügyfelei között. Az összevont identitások tervezési szempontjaival és korlátozásokkal kapcsolatos további információkért lásd : Alkalmazás konfigurálása külső identitásszolgáltató megbízhatóságára
• Ritkán előfordulhat, hogy egy szolgáltató egyetlen alkalmazásobjektumot használ az ügyfélenként, de ehhez jelentős karbantartási költségekre van szükség az alkalmazások minden ügyfélre kiterjedő nagy léptékű kezeléséhez.
• A szolgáltató bérlőjében nem automatizálható a közzétevő ellenőrzése.

2. fázis – Az ügyfél engedélyezi a kulcstartóhoz való hozzáférést

Step	Leírás	Legkevésbé kiemelt Azure RBAC-szerepkörök	Legkevésbé kiemelt Microsoft Entra-szerepkörök
1.	Ajánlott: Küldje el a felhasználót, hogy jelentkezzen be az alkalmazásba. Ha a felhasználó bejelentkezhet, akkor az alkalmazáshoz tartozó szolgáltatásnév létezik a bérlőjében. A szolgáltatásnév létrehozásához használja a Microsoft Graphot, a Microsoft Graph PowerShellt, az Azure PowerShellt vagy az Azure CLI-t . Hozzon létre egy rendszergazdai hozzájárulási URL-címet , és adjon bérlői szintű hozzájárulást a szolgáltatásnév létrehozásához az alkalmazásazonosító használatával.	None	Alkalmazások telepítéséhez szükséges engedélyekkel rendelkező felhasználók
2.	Hozzon létre egy Azure Key Vaultot és egy, az ügyfél által felügyelt kulcsként használt kulcsot.	A kulcstartó létrehozásához egy felhasználónak hozzá kell rendelnie a Key Vault közreműködői szerepkörét A key vault kulcstartóhoz való hozzáadásához a felhasználónak hozzá kell rendelnie a Key Vault titkosítási tisztviselői szerepkörét	None
3.	A Key Vault titkosítási szolgáltatástitkosítási felhasználó szerepkörének hozzárendelésével adjon hozzáférést a hozzájárult alkalmazás-identitásnak az Azure Key Vaulthoz	A Key Vault titkosítási szolgáltatás titkosítási felhasználói szerepkörének az alkalmazáshoz való hozzárendeléséhez hozzá kell rendelnie a Felhasználói hozzáférés Rendszergazda istrator szerepkört.	None
4.	Másolja a kulcstartó URL-címét és kulcsnevét az SaaS-ajánlat ügyfél által felügyelt kulcskonfigurációjába.	None	None

Megjegyzés:

A felügyelt HSM-hez való hozzáférés CMK használatával történő titkosításhoz való engedélyezéséhez tekintse meg a tárfiókra vonatkozó példát. A kulcsok felügyelt HSM-ekkel való kezelésével kapcsolatos további információkért lásd : Felügyelt HSM kezelése az Azure CLI használatával

A szolgáltatók ügyfeleinek szempontjai

• A 2. bérlői ügyfélbérlében a rendszergazda házirendeket állíthat be, hogy letiltsa a nem rendszergazdai felhasználók alkalmazásainak telepítését. Ezek a szabályzatok megakadályozhatják, hogy a nem rendszergazdai felhasználók szolgáltatásneveket hozzanak létre. Ha egy ilyen szabályzat konfigurálva van, akkor a szolgáltatásnevek létrehozására jogosult felhasználókat is be kell vonni.
• Az Azure Key Vaulthoz való hozzáférés az Azure RBAC-vel vagy hozzáférési szabályzatokkal engedélyezhető. Amikor hozzáférést ad egy kulcstartóhoz, mindenképpen használja a kulcstartó aktív mechanizmusát.
• A Microsoft Entra-alkalmazások regisztrációja rendelkezik egy alkalmazásazonosítóval (ügyfél-azonosítóval). Amikor az alkalmazás telepítve van a bérlőben, létrejön egy szolgáltatásnév. A szolgáltatásnév ugyanazzal az alkalmazásazonosítóval rendelkezik, mint az alkalmazásregisztráció, de saját objektumazonosítót hoz létre. Ha engedélyezi az alkalmazás számára az erőforrásokhoz való hozzáférést, előfordulhat, hogy a szolgáltatásnevet Name vagy ObjectID a tulajdonságot kell használnia.

3. fázis – A szolgáltató az ügyfél által felügyelt kulccsal titkosítja az Azure-erőforrások adatait

Az 1. és a 2. fázis befejeződése után a szolgáltató konfigurálhatja az Azure-erőforrás titkosítását az ügyfél bérlőjében lévő kulccsal és kulcstartóval, valamint az ISV bérlőjében lévő Azure-erőforrással. A szolgáltató konfigurálhatja a bérlők közötti ügyfél által felügyelt kulcsokat az adott Azure-erőforrás által támogatott ügyféleszközökkel, ARM-sablonnal vagy a REST API-val.

Bérlők közötti ügyfél által felügyelt kulcsok konfigurálása

Ez a szakasz bemutatja, hogyan konfigurálhat bérlők közötti ügyfél által felügyelt kulcsokat (CMK), és hogyan titkosíthatja az ügyféladatokat. Megtudhatja, hogyan titkosíthatja a Bérlő1 erőforrás ügyféladatait a Bérlő2 kulcstartójában tárolt CMK használatával. Használhatja az Azure Portalt, az Azure PowerShellt vagy az Azure CLI-t.

Portal

Jelentkezzen be az Azure Portalra , és kövesse az alábbi lépéseket.

A szolgáltató identitásokat konfigurál

A következő lépéseket a szolgáltató hajtja végre a szolgáltató bérlői bérlőjében1.

A szolgáltató létrehoz egy új több-bérlős alkalmazásregisztrációt

Létrehozhat egy új több-bérlős Microsoft Entra-alkalmazásregisztrációt, vagy elindíthat egy meglévő több-bérlős alkalmazásregisztrációt. Ha egy meglévő alkalmazásregisztrációval kezdődik, jegyezze fel az alkalmazás alkalmazásazonosítóját (ügyfélazonosítóját).

Új regisztráció létrehozása:

1. Keresse meg a Microsoft Entra-azonosítót a keresőmezőben. Keresse meg és válassza ki a Microsoft Entra ID bővítményt .

2. A bal oldali panelen válassza a Alkalmazásregisztrációk kezelése > lehetőséget.

3. Válassza az + Új regisztráció lehetőséget.

4. Adja meg az alkalmazásregisztráció nevét, és válassza a Fiók lehetőséget bármely szervezeti könyvtárban (Bármely Microsoft Entra-címtár – Több-bérlő).

5. Válassza ki a pénztárgépet.

6. Jegyezze fel az alkalmazás ApplicationId/ClientId azonosítóját .

   

A szolgáltató létrehoz egy felhasználó által hozzárendelt felügyelt identitást

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást, amelyet összevont identitás-hitelesítő adatként szeretne használni.

1. Felügyelt identitások keresése a keresőmezőben. Keresse meg és válassza ki a Felügyelt identitások bővítményt .

2. Válassza a +Létrehozás lehetőséget.

3. Adja meg a felügyelt identitás erőforráscsoportját, régióját és nevét.

4. Select Review + create.

5. Sikeres üzembe helyezés esetén jegyezze fel a felhasználó által hozzárendelt felügyelt identitás Azure ResourceId azonosítóját, amely a Tulajdonságok területen érhető el. Például:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

A szolgáltató összevont hitelesítő adatként konfigurálja a felhasználó által hozzárendelt felügyelt identitást az alkalmazásban

Konfiguráljon egy felhasználó által hozzárendelt felügyelt identitást összevont identitás hitelesítő adatként az alkalmazásban, hogy megszemélyesítse az alkalmazás identitását.

1. Keresse meg a Microsoft Entra-azonosítót > az alkalmazás Alkalmazásregisztrációk>.

2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.

3. Válassza ki az összevont hitelesítő adatokat.

   

4. Válassza a + Hitelesítő adatok hozzáadása lehetőséget.

5. Az összevont hitelesítőadat-forgatókönyvben válassza az Ügyfél által kezelt kulcsok lehetőséget.

6. Kattintson a Felügyelt identitás kiválasztása elemre. A panelen válassza ki az előfizetést. A Felügyelt identitás csoportban válassza a felhasználó által hozzárendelt felügyelt identitást. A Kijelölés mezőben keresse meg a korábban létrehozott felügyelt identitást, majd kattintson a Kijelölés gombra a panel alján.

   

7. A Hitelesítő adatok csoportban adja meg a hitelesítő adatok nevét és opcionális leírását, majd válassza a Hozzáadás lehetőséget.

   

PowerShell

Ha az Azure PowerShell használatával szeretné konfigurálni az ISV-bérlőt, telepítse a legújabb Az modult. A PowerShell telepítéséről további információt az Azure PowerShell telepítése Windows rendszeren a PowerShellGet használatával című témakörben talál.

• Ha az Azure PowerShell helyi használatát választja:
  • Telepítse az Az PowerShell-modul legújabb verzióját.
  • Csatlakozás az Azure-fiókjába az Csatlakozás-AzAccount parancsmag használatával.
• Ha az Azure Cloud Shell használata mellett dönt:
  • További információkért tekintse meg az Azure Cloud Shell áttekintését.

A szolgáltató identitásokat konfigurál

A következő lépéseket a szolgáltató (ISV) hajtja végre a szolgáltató Bérlő1 bérlőjében.

A szolgáltató bejelentkezik az Azure-ba

Az Azure PowerShellben jelentkezzen be az ISV bérlőjéhez, és állítsa be az aktív előfizetést az ISV előfizetésére.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

A szolgáltató létrehoz egy új több-bérlős alkalmazásregisztrációt

Válasszon nevet a több-bérlős regisztrált alkalmazásnak a Tenant1-ben, és hozza létre a több-bérlős alkalmazást az Azure Portalon.

A több-bérlős alkalmazáshoz megadott nevet az ügyfél használja az alkalmazás bérlő2-ben való azonosításához. Jegyezze fel az alkalmazás objektumazonosítóját és alkalmazásazonosítóját. Ezekre az értékekre a következő lépésekben lesz szüksége.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

A szolgáltató létrehoz egy felhasználó által hozzárendelt felügyelt identitást

Jelentkezzen be az ISV bérlőjéhez, majd hozzon létre egy felhasználó által hozzárendelt felügyelt identitást, amelyet összevont identitás hitelesítő adatként használ. Új, felhasználó által hozzárendelt felügyelt identitás létrehozásához olyan szerepkört kell hozzárendelnie, amely tartalmazza a Microsoft.ManagedIdentity/userAssignedIdentities/write műveletet.

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

A szolgáltató összevont hitelesítő adatként konfigurálja a felhasználó által hozzárendelt felügyelt identitást az alkalmazásban

Konfiguráljon egy felhasználó által hozzárendelt felügyelt identitást összevont identitás hitelesítő adatként az alkalmazásban, hogy megszemélyesítse az alkalmazás identitását.

Az összevont identitás hitelesítő adatainak a PowerShellből való konfigurálásához először telepítse az Az.Resources modul 6.3.0-s vagy újabb verzióját.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

A szolgáltató identitásokat konfigurál

A következő lépéseket a szolgáltató hajtja végre a szolgáltató bérlői bérlőjében1.

A szolgáltató bejelentkezik az Azure-ba

Jelentkezzen be az Azure-ba az Azure CLI használatához.

az login

A szolgáltató létrehoz egy új több-bérlős alkalmazásregisztrációt

Válasszon nevet a több-bérlős alkalmazásnak a Tenant1-ben, és hozza létre a több-bérlős alkalmazást az Azure Portalon.

A több-bérlős alkalmazáshoz megadott nevet az ügyfél használja az alkalmazás bérlő2-ben való azonosításához. Másolja ki az alkalmazás alkalmazásazonosítóját (vagy ügyfél-azonosítóját), az alkalmazás objektumazonosítóját, valamint az alkalmazás bérlőazonosítóját. Ezekre az értékekre az alábbi lépésekben lesz szüksége.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

A szolgáltató létrehoz egy felhasználó által hozzárendelt felügyelt identitást

Jelentkezzen be az ISV bérlőjéhez, majd hozzon létre egy felhasználó által hozzárendelt felügyelt identitást, amelyet összevont identitás hitelesítő adatként használ. Új, felhasználó által hozzárendelt felügyelt identitás létrehozásához olyan szerepkört kell hozzárendelnie, amely tartalmazza a Microsoft.ManagedIdentity/userAssignedIdentities/write műveletet.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

A szolgáltató összevont hitelesítő adatként konfigurálja a felhasználó által hozzárendelt felügyelt identitást az alkalmazásban

Futtassa az az ad app federated-credential create metódust egy összevont identitás hitelesítő adatainak konfigurálásához egy alkalmazásban, és hozzon létre egy megbízhatósági kapcsolatot egy külső identitásszolgáltatóval.

Használja api://AzureADTokenExchange az audience összevont identitás hitelesítő adatainak értékeként. További részletekért tekintse meg az API-referenciát .

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

A szolgáltató megosztja az alkalmazásazonosítót az ügyféllel

Keresse meg a több-bérlős alkalmazás alkalmazásazonosítóját (ügyfélazonosítóját), és ossza meg az ügyféllel.

Az ügyfél hozzáférést biztosít a szolgáltató alkalmazásának a kulcshoz a kulcstartóban

Az ügyfél a következő lépéseket hajtja végre az ügyfél bérlői bérlőjében2. Az ügyfél használhatja az Azure Portalt, az Azure PowerShellt vagy az Azure CLI-t.

A lépéseket végrehajtó felhasználónak olyan kiemelt szerepkörrel rendelkező rendszergazdának kell lennie, mint az Application Rendszergazda istrator, a Cloud Application Rendszergazda istrator vagy a Global Rendszergazda istrator.

Portal

Jelentkezzen be az Azure Portalra , és kövesse az alábbi lépéseket.

Az ügyfél telepíti a szolgáltatói alkalmazást az ügyfélbérlében

A szolgáltató regisztrált alkalmazásának az ügyfél bérlőjében való telepítéséhez létre kell hoznia egy egyszerű szolgáltatást a regisztrált alkalmazás alkalmazásazonosítójával. A szolgáltatásnevet az alábbi módokon hozhatja létre:

• A szolgáltatásnév manuális létrehozásához használja a Microsoft Graphot, a Microsoft Graph PowerShellt, az Azure PowerShellt vagy az Azure CLI-t .
• Hozzon létre egy rendszergazdai hozzájárulási URL-címet , és adjon bérlői szintű hozzájárulást a szolgáltatásnév létrehozásához. Meg kell adnia nekik az AppId azonosítót.

Az ügyfél létrehoz egy kulcstartót

A kulcstartó létrehozásához a felhasználó fiókjához hozzá kell rendelni a Key Vault közreműködői szerepkörét, vagy egy olyan szerepkört, amely lehetővé teszi a kulcstartó létrehozását.

1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az + Erőforrás létrehozása lehetőséget. A Keresőmezőbe írja be a Kulcstartókat. Az eredmények listájában válassza a Kulcstartók lehetőséget. A Kulcstartók lapon válassza a Létrehozás lehetőséget.

2. Az Alapszintű beállítások lapon válasszon egy előfizetést. Az Erőforráscsoport területen válassza az Új létrehozása lehetőséget, és adjon meg egy erőforráscsoportnevet.

3. Adjon meg egy egyedi nevet a kulcstartónak.

4. Válasszon régiót és tarifacsomagot.

5. Engedélyezze a kiürítés elleni védelmet az új kulcstartóhoz.

6. Az Hozzáférési szabályzat lapon válassza az Azure szerepköralapú hozzáférés-vezérlését az engedélymodellhez.

7. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

   

Jegyezze fel a kulcstartó nevét és a kulcstartóhoz hozzáférő URI-alkalmazásoknak ezt az URI-t.

További információ: Rövid útmutató – Azure Key Vault létrehozása az Azure Portallal.

Az ügyfél Key Vault crypto officer szerepkört rendel egy felhasználói fiókhoz

Ez a lépés biztosítja, hogy titkosítási kulcsokat hozzon létre.

1. Lépjen a kulcstartóra, és válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali panelen.
2. Az erőforráshoz való hozzáférés biztosítása csoportban válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
3. Keresse meg és válassza ki a Key Vault titkosítási tisztviselőjét.
4. A Tagok területen válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
5. Válassza a Tagok lehetőséget, és keresse meg a felhasználói fiókját.
6. Válassza az Áttekintés + hozzárendelés lehetőséget.

Az ügyfél létrehoz egy titkosítási kulcsot

A titkosítási kulcs létrehozásához a felhasználó fiókjához hozzá kell rendelni a Key Vault titkosítási tisztviselői szerepkört, vagy egy kulcs létrehozását lehetővé tevő másik szerepkört.

1. A Key Vault tulajdonságai lapon válassza a Kulcsok lehetőséget.
2. Válassza a Generálás/importálás lehetőséget.
3. A Kulcs létrehozása képernyőn adja meg a kulcs nevét. A többi értéket hagyja az alapértelmezett értéken.
4. Select Create.
5. Másolja ki a kulcs URI-jának másolatát.

Az ügyfél hozzáférést biztosít a szolgáltatói alkalmazásnak a kulcstartóhoz

Rendelje hozzá az Azure RBAC-szerepkör Key Vault titkosítási szolgáltatástitkosítási felhasználóját a szolgáltató regisztrált alkalmazásához, hogy hozzáférhessen a kulcstartóhoz.

1. Lépjen a kulcstartóra, és válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali panelen.
2. Az erőforráshoz való hozzáférés biztosítása csoportban válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
3. Keresse meg és válassza ki a Key Vault titkosítási szolgáltatás titkosítási felhasználójának nevét.
4. A Tagok területen válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
5. Válassza a Tagok lehetőséget, és keresse meg a szolgáltatótól telepített alkalmazás nevét.
6. Válassza az Áttekintés + hozzárendelés lehetőséget.

Mostantól konfigurálhatja az ügyfél által kezelt kulcsokat a key vault URI-val és kulccsal.

PowerShell

Ha az Azure PowerShell használatával szeretné konfigurálni az ügyfél bérlőjét, telepítse a legújabb Az modult. A PowerShell telepítéséről további információt az Azure PowerShell telepítése Windows rendszeren a PowerShellGet használatával című témakörben talál.

• Ha az Azure PowerShell helyi használatát választja:
  • Telepítse az Az PowerShell-modul legújabb verzióját.
  • Csatlakozás az Azure-fiókjába az Csatlakozás-AzAccount parancsmag használatával.
• Ha az Azure Cloud Shell használata mellett dönt:
  • További információkért tekintse meg az Azure Cloud Shell áttekintését.

Az ügyfél bejelentkezik az Azure-ba

Az Azure PowerShellben jelentkezzen be az ügyfél bérlőjéhez, és állítsa be az aktív előfizetést az ügyfél előfizetésére.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Az ügyfél telepíti a szolgáltatói alkalmazást az ügyfélbérlében

Miután megkapta a szolgáltató több-bérlős alkalmazásának alkalmazásazonosítóját, telepítse az alkalmazást a Bérlő2 bérlőbe egy szolgáltatásnév létrehozásával.

Hajtsa végre a következő parancsokat abban a bérlőben, ahol létre szeretné hozni a kulcstartót.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Az ügyfél létrehoz egy kulcstartót

A kulcstartó létrehozásához az ügyfél fiókjához hozzá kell rendelni a Key Vault közreműködői szerepkörét, vagy egy olyan szerepkört, amely lehetővé teszi a kulcstartó létrehozását.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Az ügyfél Key Vault crypto officer szerepkört rendel egy felhasználói fiókhoz

Rendelje hozzá a Key Vault crypto officer szerepkört egy felhasználói fiókhoz. Ez a lépés biztosítja, hogy a felhasználó létrehozhatja a kulcstartót és a titkosítási kulcsokat. Az alábbi példa hozzárendeli a szerepkört az aktuális bejelentkezett felhasználóhoz.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Az ügyfél létrehoz egy titkosítási kulcsot

A titkosítási kulcs létrehozásához a felhasználó fiókjához hozzá kell rendelni a Key Vault titkosítási tisztviselői szerepkört, vagy egy kulcs létrehozását lehetővé tevő másik szerepkört.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Az ügyfél hozzáférést biztosít a szolgáltatói alkalmazásnak a kulcstartóhoz

Rendelje hozzá az Azure RBAC-szerepkör Key Vault titkosítási szolgáltatástitkosítási felhasználóját a szolgáltató regisztrált alkalmazásához a korábban létrehozott szolgáltatásnéven keresztül, hogy hozzáférhessen a kulcstartóhoz.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Mostantól konfigurálhatja az ügyfél által kezelt kulcsokat a key vault URI-val és kulccsal.

Azure CLI

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Az ügyfél bejelentkezik az Azure-ba

Jelentkezzen be az Azure-ba az Azure CLI használatához.

az login

Az ügyfél telepíti a szolgáltatói alkalmazást az ügyfélbérlében

Miután megkapta a szolgáltató több-bérlős alkalmazásának alkalmazásazonosítóját, telepítse az alkalmazást a bérlőbérbe2 a következő paranccsal. Az alkalmazás telepítése létrehoz egy szolgáltatásnevet a bérlőben.

Hajtsa végre a következő parancsokat abban a bérlőben, ahol létre szeretné hozni a kulcstartót.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Az ügyfél létrehoz egy kulcstartót

A kulcstartó létrehozásához az ügyfél fiókjához hozzá kell rendelni a Key Vault közreműködői szerepkörét, vagy egy olyan szerepkört, amely lehetővé teszi a kulcstartó létrehozását.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Az ügyfél Key Vault crypto officer szerepkört rendel egy felhasználói fiókhoz

Ez a lépés biztosítja, hogy létre tudja hozni a kulcstartót és a titkosítási kulcsokat.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Az ügyfél létrehoz egy titkosítási kulcsot

A titkosítási kulcs létrehozásához a felhasználó fiókjához hozzá kell rendelni a Key Vault titkosítási tisztviselői szerepkört, vagy egy kulcs létrehozását lehetővé tevő másik szerepkört.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Az ügyfél hozzáférést biztosít a szolgáltatói alkalmazásnak a kulcstartóhoz

Rendelje hozzá az Azure RBAC-szerepkör Key Vault titkosítási szolgáltatástitkosítási felhasználóját a szolgáltató regisztrált alkalmazásához a korábban létrehozott szolgáltatásnéven keresztül, hogy a regisztrált alkalmazás hozzáférhessen a kulcstartóhoz.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Mostantól konfigurálhatja az ügyfél által kezelt kulcsokat a key vault URI-val és kulccsal.

Lemeztitkosítási csoport létrehozása

Most, hogy létrehozta az Azure Key Vaultot, és elvégezte a szükséges Microsoft Entra-konfigurációkat, helyezzen üzembe egy lemeztitkosítási csoportot úgy, hogy a bérlők között működjön, és társítsa a kulcstartóban lévő kulccsal. Ezt az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával teheti meg. ARM-sablont vagy REST API-t is használhat.

Portal

Az Azure Portal használatához jelentkezzen be a portálra, és kövesse az alábbi lépéseket.

1. Válassza az + Erőforrás létrehozása lehetőséget, keresse meg a Lemeztitkosítási csoportot, és válassza a Lemeztitkosítási csoport létrehozása lehetőséget>.

2. A Project részletei csoportban válassza ki azt az előfizetést és erőforráscsoportot, amelyben létre szeretné hozni a lemeztitkosítási csoportot.

3. A Példány részletei csoportban adja meg a lemeztitkosítási csoport nevét.

   

4. Válassza ki azt a régiót , amelyben létre kívánja hozni a lemeztitkosítási csoportot.

5. Titkosítási típus esetén válassza a Inaktív titkosítás lehetőséget egy ügyfél által felügyelt kulccsal.

6. A Titkosítási kulcs területen válassza az Enter billentyűt az URI rádiógombból, majd adja meg az ügyfél bérlőjében létrehozott kulcs URI-kulcsát.

7. A Felhasználó által hozzárendelt identitás csoportban válassza az Identitás kiválasztása lehetőséget.

8. Válassza ki azt a felhasználó által hozzárendelt felügyelt identitást, amelyet korábban az ISV bérlőjében hozott létre, majd válassza a Hozzáadás lehetőséget.

9. A Több-bérlős alkalmazás területen válassza az Alkalmazás kiválasztása lehetőséget.

10. Válassza ki azt a több-bérlős regisztrált alkalmazást, amelyet korábban az ISV bérlőjében hozott létre, majd kattintson a Kiválasztás gombra.

11. Select Review + create.

PowerShell

Az Azure PowerShell használatához telepítse a legújabb Az modult vagy az Az.Storage modult. A PowerShell telepítéséről további információt az Azure PowerShell telepítése Windows rendszeren a PowerShellGet használatával című témakörben talál.

• Ha az Azure PowerShell helyi használatát választja:
  • Telepítse az Az PowerShell-modul legújabb verzióját.
  • Csatlakozás az Azure-fiókjába az Csatlakozás-AzAccount parancsmag használatával.
• Ha az Azure Cloud Shell használata mellett dönt:
  • További információkért tekintse meg az Azure Cloud Shell áttekintését.

Az alábbi -FederatedClientId szkriptben a több-bérlős alkalmazás alkalmazásazonosítójának (ügyfélazonosítójának) kell lennie. Meg kell adnia az előfizetés azonosítóját, az erőforráscsoport nevét és az identitás nevét is.

$userAssignedIdentities = @{"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/identityName" = @{}};

$config = New-AzDiskEncryptionSetConfig `
   -Location 'westcentralus' `
   -KeyUrl "https://vault1.vault.azure.net:443/keys/key1/mykey" `
   -IdentityType 'UserAssigned' `
   -RotationToLatestKeyVersionEnabled $True `
   -UserAssignedIdentity $userAssignedIdentities `
   -FederatedClientId "00000000-0000-0000-0000-000000000000" `
   $config `
   | New-AzDiskEncryptionSet -ResourceGroupName 'rg1' -Name 'enc1'

Azure CLI

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Az alábbi myAssignedId parancsban a korábban létrehozott, felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójának kell lennie, és myFederatedClientId a több-bérlős alkalmazás alkalmazásazonosítójának (ügyfélazonosítójának) kell lennie.

az disk-encryption-set create --resource-group MyResourceGroup --name MyDiskEncryptionSet --key-url MyKey --mi-user-assigned myAssignedId --federated-client-id myFederatedClientId --location westcentralus

ARM-sablon használata

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "desname": {
      "defaultValue": "<Enter ISV disk encryption set name>",
      "type": "String"
    },
    "region": {
      "defaultValue": "WestCentralUS",
      "type": "String"
    },
    "userassignedmicmk": {
      "defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
      "type": "String"
    },
    "cmkfederatedclientId": {
      "defaultValue": "<Enter ISV Multi-Tenant App Id>",
      "type": "String"
    },
    "keyVaultURL": {
      "defaultValue": "<Enter Client Key URL>",
      "type": "String"
    },
    "encryptionType": {
      "defaultValue": "EncryptionAtRestWithCustomerKey",
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Compute/diskEncryptionSets",
      "apiVersion": "2021-12-01",
      "name": "[parameters('desname')]",
      "location": "[parameters('region')]",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('userassignedmicmk')]": {}
        }
      },
      "properties": {
        "activeKey": {
          "keyUrl": "[parameters('keyVaultURL')]"
        },
        "federatedClientId": "[parameters('cmkfederatedclientId')]",
        "encryptionType": "[parameters('encryptionType')]"
      }
    }
  ]
}

A REST API használata

Használjon tulajdonosi jogkivonatot engedélyezési fejlécként és alkalmazás/JSON tartalomtípusként a BODY-ben. (Hálózati lap, szűrés a management.azure-ra, miközben bármilyen ARM-kérést hajt végre a portálon.)

PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
Authorization: Bearer ...
Content-Type: application/json

{
  "name": "<Enter ISV disk encryption set name>",
  "id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
  "type": "Microsoft.Compute/diskEncryptionSets",
  "location": "westcentralus",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
"/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
": {}
    }
  },
  "properties": {
    "activeKey": {
      "keyUrl": "<Enter Client Key URL>"
    },
    "encryptionType": "EncryptionAtRestWithCustomerKey",
    "federatedClientId": "<Enter ISV Multi-Tenant App Id>"
  }
}

További lépések

Lásd még:

• Lemezek titkosítása ügyfél által felügyelt kulcsokkal az Azure DevTest Labsban
• A kiszolgálóoldali titkosítás engedélyezése az Azure Portal használatával felügyelt lemezek ügyfél által felügyelt kulcsaival