Mengenkripsi disk terkelola dengan kunci yang dikelola pelanggan lintas penyewa

Artikel ini membahas pembuatan solusi tempat Anda mengenkripsi disk terkelola dengan kunci yang dikelola pelanggan menggunakan Azure Key Vaults yang disimpan di penyewa Microsoft Entra yang berbeda. Konfigurasi ini dapat digunakan untuk beberapa skenario, salah satu contohnya adalah dukungan Azure untuk penyedia layanan yang ingin menawarkan kunci enkripsi bawa-milik-sendiri kepada pelanggan dengan sumber daya dari penyewa penyedia layanan yang dienkripsi dengan kunci dari penyewa pelanggan mereka.

Enkripsi disk yang diatur dengan identitas federasi dalam alur kerja CMK lintas penyewa mencakup sumber daya penyewa penyedia layanan/ISV (set enkripsi disk, identitas terkelola, dan pendaftaran aplikasi) dan sumber daya penyewa pelanggan (aplikasi perusahaan, penetapan peran pengguna, dan brankas kunci). Dalam hal ini, sumber daya Azure sumber adalah set enkripsi disk penyedia layanan.

Jika Anda memiliki pertanyaan tentang kunci yang dikelola pelanggan lintas penyewa dengan disk terkelola, email crosstenantcmkvteam@service.microsoft.com.

Pembatasan

• Disk Terkelola dan Key Vault pelanggan harus berada pada wilayah Azure yang sama, tetapi dapat berada di langganan yang berbeda.
• Fitur ini tidak mendukung Disk Ultra atau disk terkelola Azure Premium SSD v2.
• Fitur ini tidak tersedia di Microsoft Azure yang dioperasikan oleh cloud 21Vianet atau Government.

Tentang kunci yang dikelola pelanggan lintas penyewa

Banyak penyedia layanan yang membuat penawaran Software as a Service (SaaS) di Azure ingin menawarkan opsi kepada pelanggan mereka untuk mengelola kunci enkripsi mereka sendiri. Kunci yang dikelola pelanggan memungkinkan penyedia layanan mengenkripsi data pelanggan menggunakan kunci enkripsi yang dikelola oleh pelanggan penyedia layanan dan yang tidak dapat diakses oleh penyedia layanan. Di Azure, pelanggan penyedia layanan dapat menggunakan Azure Key Vault untuk mengelola kunci enkripsi mereka di penyewa dan langganan Microsoft Entra mereka sendiri.

Layanan platform Azure dan sumber daya yang dimiliki oleh penyedia layanan dan yang berada di penyewa penyedia layanan memerlukan akses ke kunci dari penyewa pelanggan untuk melakukan operasi enkripsi/dekripsi.

Gambar di bawah ini menunjukkan enkripsi data tidak aktif dengan identitas federasi dalam alur kerja kunci yang dikelola pelanggan lintas penyewa yang mencakup penyedia layanan dan pelanggannya.

Dalam contoh di atas, ada dua penyewa Microsoft Entra: penyewa penyedia layanan independen (Penyewa 1), dan penyewa pelanggan (Penyewa 2). Penyewa 1 menghosting layanan platform Azure dan Penyewa 2 menghosting brankas kunci pelanggan.

Pendaftaran aplikasi multipenyewa dibuat oleh penyedia layanan di Penyewa 1. Kredensial identitas federasi dibuat pada aplikasi ini menggunakan identitas terkelola yang ditetapkan pengguna. Lalu, ID aplikasi dan nama dari aplikasi tersebut dibagikan kepada pelanggan.

Pengguna dengan izin yang sesuai menginstal aplikasi penyedia layanan di penyewa pelanggan, Penyewa 2. Lalu pengguna memberikan perwakilan layanan yang terkait dengan akses aplikasi yang diinstal ke key vault pelanggan. Pelanggan juga menyimpan kunci enkripsi, atau kunci yang dikelola pelanggan, di key vault. Pelanggan berbagi lokasi kunci (URL kunci) dengan penyedia layanan.

Penyedia layanan kini memiliki:

• ID aplikasi untuk aplikasi multipenyewa yang diinstal di penyewa pelanggan, yang telah diberikan akses ke kunci yang dikelola pelanggan.
• Identitas terkelola yang dikonfigurasi sebagai kredensial pada aplikasi multipenyewa.
• Lokasi kunci di key vault pelanggan.

Dengan ketiga parameter ini, penyedia layanan menyediakan sumber daya Azure di Penyewa 1 yang dapat dienkripsi dengan kunci yang dikelola pelanggan di Penyewa 2.

Mari kita bagi solusi menyeluruh di atas menjadi tiga fase:

1. Penyedia layanan mengonfigurasikan identitas.
2. Pelanggan memberikan akses aplikasi multipenyewa penyedia layanan ke kunci enkripsi di Azure Key Vault.
3. Penyedia layanan mengenkripsi data dalam sumber daya Azure menggunakan CMK.

Operasi dalam Fase 1 akan menjadi penyiapan satu kali untuk sebagian besar aplikasi penyedia layanan. Operasi dalam Fase 2 dan 3 akan diulang untuk setiap pelanggan.

Fase 1 - Penyedia layanan mengonfigurasi aplikasi Microsoft Entra

Langkah	Deskripsi	Peran minimum di Azure RBAC	Peran minimum dalam Microsoft Entra RBAC
1.	Buat pendaftaran aplikasi Microsoft Entra multipenyewa baru atau mulailah dengan pendaftaran aplikasi yang ada. Perhatikan bahwa ID aplikasi (ID klien) pendaftaran aplikasi menggunakan portal Azure, Microsoft Graph API, Azure PowerShell, atau Azure CLI	Tidak	Pengembang Aplikasi
2.	Buat identitas terkelola yang ditetapkan pengguna (untuk digunakan sebagai Kredensial Identitas Gabungan). Portal Azure / Azure CLI / Azure PowerShell/ Template Azure Resource Manager	Kontributor identitas terkelola	Tidak
3.	Konfigurasikan identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas gabungan pada aplikasi, sehingga dapat meniru identitas aplikasi. Referensi Graph API/ portal Azure/ Azure CLI/ Azure PowerShell	Tidak	Pemilik aplikasi
4.	Bagikan nama aplikasi dan ID aplikasi kepada pelanggan, sehingga mereka dapat menginstal dan mengotorisasi aplikasi.	Tidak	Tidak

Pertimbangan untuk penyedia layanan

• Templat Azure Resource Manager (ARM) tidak disarankan untuk membuat aplikasi Microsoft Entra.
• Aplikasi multipenyewa yang sama dapat digunakan untuk mengakses kunci di sejumlah penyewa, seperti Penyewa 2, Penyewa 3, Penyewa 4, dan sebagainya. Di setiap penyewa, instans independen aplikasi dibuat yang memiliki ID aplikasi yang sama, tetapi ID objeknya berbeda. Dengan demikian setiap instans aplikasi ini diotorisasi secara independen. Pertimbangkan cara objek aplikasi yang digunakan untuk fitur ini digunakan guna mempartisi aplikasi Anda di semua pelanggan.
  • Aplikasi dapat memiliki maksimal 20 kredensial identitas federasi, yang mengharuskan penyedia layanan untuk berbagi identitas federasi di antara pelanggannya. Untuk informasi selengkapnya tentang pertimbangan dan pembatasan desain identitas federasi, lihat Mengonfigurasi aplikasi untuk mempercayai penyedia identitas eksternal
• Dalam skenario yang jarang terjadi, penyedia layanan mungkin menggunakan satu objek Aplikasi per pelanggannya, tetapi itu memerlukan biaya pemeliharaan yang signifikan untuk mengelola aplikasi dalam skala besar di semua pelanggan.
• Di penyewa penyedia layanan, tidak dimungkinkan untuk mengotomatiskan Verifikasi Penerbit.

Fase 2 - Pelanggan mengotorisasi akses ke key vault

Langkah	Deskripsi	Peran Azure RBAC dengan hak istimewa paling sedikit	Peran Microsoft Entra dengan hak istimewa paling sedikit
1.	Disarankan: Arahkan pengguna untuk masuk ke aplikasi Anda. Jika pengguna dapat masuk, perwakilan layanan untuk aplikasi Anda ada di penyewa mereka. Gunakan Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell, atau Azure CLI untuk membuat perwakilan layanan. Buat URL persetujuan admin dan berikan persetujuan seluruh penyewa untuk membuat perwakilan layanan menggunakan ID aplikasi.	Tidak	Pengguna dengan izin untuk menginstal aplikasi
2.	Buat Azure Key Vault dan kunci yang digunakan sebagai kunci yang dikelola pelanggan.	Pengguna harus diberi peran Kontributor Key Vault untuk membuat brankas kunci Pengguna harus diberi peran Petugas Kripto Key Vault untuk menambahkan kunci ke key vault	Tidak
3.	Berikan akses identitas aplikasi yang disetujui ke key vault Azure dengan menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault	Untuk menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke aplikasi, Anda harus diberi peran Administrator Akses Pengguna.	Tidak
4.	Salin URL key vault dan nama kunci ke dalam konfigurasi kunci yang dikelola pelanggan dari penawaran SaaS.	Tidak	Tidak ada

Catatan

Untuk mengotorisasi akses ke HSM Terkelola untuk enkripsi menggunakan CMK, lihat contoh untuk Akun Penyimpanan di sini. Untuk informasi selengkapnya tentang mengelola kunci dengan HSM Terkelola, lihat Mengelola HSM Terkelola menggunakan Azure CLI

Pertimbangan untuk pelanggan penyedia layanan

• Di penyewa pelanggan, Penyewa 2, admin dapat mengatur kebijakan untuk memblokir pengguna non-admin agar tidak menginstal aplikasi. Kebijakan ini dapat mencegah pengguna non-admin membuat perwakilan layanan. Jika kebijakan seperti itu dikonfigurasi, maka pengguna dengan izin untuk membuat perwakilan layanan perlu terlibat.
• Akses ke Azure Key Vault dapat diotorisasi menggunakan Azure RBAC atau kebijakan akses. Saat memberikan akses ke key vault, pastikan untuk menggunakan mekanisme aktif untuk key vault Anda.
• Pendaftaran aplikasi Microsoft Entra memiliki ID aplikasi (ID klien). Saat aplikasi diinstal di penyewa Anda, perwakilan layanan dibuat. Perwakilan layanan berbagi ID aplikasi yang sama dengan pendaftaran aplikasi, tetapi membuat ID objeknya sendiri. Saat Anda mengotorisasi aplikasi untuk memiliki akses ke sumber daya, Anda mungkin perlu menggunakan perwakilan Name layanan atau ObjectID properti.

Fase 3 - Penyedia layanan mengenkripsi data dalam sumber daya Azure menggunakan kunci yang dikelola pelanggan

Setelah fase 1 dan 2 selesai, penyedia layanan dapat mengonfigurasi enkripsi pada sumber daya Azure dengan kunci dan brankas kunci di penyewa pelanggan dan sumber daya Azure di penyewa ISV. Penyedia layanan dapat mengonfigurasi kunci yang dikelola pelanggan lintas penyewa dengan alat klien yang didukung oleh sumber daya Azure tersebut, dengan templat ARM, atau dengan REST API.

Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa

Bagian ini menjelaskan cara mengonfigurasi kunci yang dikelola pelanggan (CMK) lintas penyewa dan mengenkripsi data pelanggan. Anda akan mempelajari cara mengenkripsi data pelanggan dalam sumber daya di Tenant1 menggunakan CMK yang disimpan dalam brankas kunci di Tenant2. Anda dapat menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Portal

Masuk ke portal Azure dan ikuti langkah-langkah berikut.

Penyedia layanan mengonfigurasi identitas

Langkah-langkah berikut dilakukan oleh penyedia layanan di penyewa penyedia layanan Tenant1.

Penyedia layanan membuat pendaftaran aplikasi multi-penyewa baru

Anda dapat membuat pendaftaran aplikasi Microsoft Entra multi-penyewa baru atau mulai dengan pendaftaran aplikasi multi-penyewa yang ada. Jika memulai dengan pendaftaran aplikasi yang ada, perhatikan ID aplikasi (ID klien) aplikasi.

Untuk membuat pendaftaran baru:

1. Cari ID Microsoft Entra di kotak pencarian. Temukan dan pilih ekstensi ID Microsoft Entra.

2. Pilih Kelola > Pendaftaran aplikasi dari panel kiri.

3. Pilih + Pendaftaran baru.

4. Berikan nama untuk pendaftaran aplikasi dan pilih Akun di direktori organisasi apa pun (Direktori Microsoft Entra apa pun – Multipenyewa).

5. Pilih Daftarkan.

6. Perhatikan ApplicationId/ClientId aplikasi.

   

Penyedia layanan membuat identitas terkelola yang ditetapkan pengguna

Buat identitas terkelola yang ditetapkan pengguna untuk digunakan sebagai kredensial identitas federasi.

1. Cari Identitas Terkelola di kotak pencarian. Temukan dan pilih ekstensi Identitas Terkelola.

2. Pilih + Buat.

3. Menyediakan grup sumber daya, wilayah, dan nama untuk identitas terkelola.

4. Pilih Tinjau + buat.

5. Pada penyebaran yang berhasil, perhatikan Azure ResourceId dari identitas terkelola yang ditetapkan pengguna, yang tersedia di bagian Properti. Misalnya:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Penyedia layanan mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Konfigurasikan identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas federasi pada aplikasi, sehingga dapat meniru identitas aplikasi.

1. Navigasikan ke ID > Microsoft Entra Pendaftaran aplikasi > aplikasi Anda.

2. Pilih Sertifikat & rahasia.

3. Pilih Kredensial federasi.

   

4. Pilih + Tambahkan kredensial.

5. Di bagian Skenario kredensial federasi, pilih Kunci yang Dikelola Pelanggan.

6. Klik Pilih identitas terkelola. Dari panel, pilih langganan. Di bagian Identitas terkelola, pilih Identitas terkelola yang ditetapkan pengguna. Di kotak Pilih, cari identitas terkelola yang Anda buat sebelumnya, lalu klik Pilih di bagian bawah panel.

   

7. Di bagian Detail kredensial, berikan nama dan deskripsi opsional untuk kredensial, lalu pilih Tambahkan.

   

PowerShell

Untuk menggunakan Azure PowerShell untuk mengonfigurasi penyewa ISV, instal modul Az terbaru. Untuk informasi selengkapnya tentang memasang PowerShell, lihat Pasang Azure PowerShell di Windows dengan PowerShellGet.

• Jika Anda memilih untuk menggunakan Azure PowerShell secara lokal:
  • Instal versi terbaru modul Az PowerShell.
  • Sambungkan ke akun Azure Anda menggunakan cmdlet Connect-AzAccount.
• Jika Anda memilih untuk menggunakan Azure Cloud Shell:
  • Lihat Gambaran Umum Azure Cloud Shell untuk informasi selengkapnya.

Penyedia layanan mengonfigurasi identitas

Langkah-langkah berikut dilakukan oleh penyedia layanan (ISV) di penyewa penyedia layanan, Tenant1.

Penyedia layanan masuk ke Azure

Di Azure PowerShell, masuk ke penyewa ISV dan atur langganan aktif ke langganan ISV.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Penyedia layanan membuat pendaftaran aplikasi multi-penyewa baru

Pilih nama untuk aplikasi terdaftar multi-penyewa Anda di Tenant1, dan buat aplikasi multi-penyewa di portal Azure.

Nama yang Anda berikan untuk aplikasi multi-penyewa digunakan oleh pelanggan untuk mengidentifikasi aplikasi di Tenant2. Perhatikan ID objek aplikasi dan ID aplikasi. Anda akan memerlukan nilai-nilai ini dalam langkah-langkah berikutnya.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Penyedia layanan membuat identitas terkelola yang ditetapkan pengguna

Masuk ke penyewa ISV, lalu buat identitas terkelola yang ditetapkan pengguna untuk digunakan sebagai kredensial identitas federasi. Untuk membuat identitas terkelola baru yang ditetapkan pengguna, Anda harus diberi peran yang menyertakan tindakan Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Penyedia layanan mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Konfigurasikan identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas federasi pada aplikasi, sehingga dapat meniru identitas aplikasi.

Untuk mengonfigurasi kredensial identitas federasi dari PowerShell, pertama-tama instal modul Az.Resources versi 6.3.0 atau yang lebih baru.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Penyedia layanan mengonfigurasi identitas

Langkah-langkah berikut dilakukan oleh penyedia layanan di penyewa penyedia layanan Tenant1.

Penyedia layanan masuk ke Azure

Masuk ke Azure untuk menggunakan Azure CLI.

az login

Penyedia layanan membuat pendaftaran aplikasi multi-penyewa baru

Pilih nama untuk aplikasi multi-penyewa Anda di Tenant1, dan buat aplikasi multi-penyewa di portal Azure.

Nama yang Anda berikan untuk aplikasi multi-penyewa digunakan oleh pelanggan untuk mengidentifikasi aplikasi di Tenant2. Salin ID aplikasi (atau ID klien) aplikasi, ID objek aplikasi, dan juga ID penyewa untuk aplikasi. Anda akan memerlukan nilai-nilai ini dalam langkah-langkah berikut.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Penyedia layanan membuat identitas terkelola yang ditetapkan pengguna

Masuk ke penyewa ISV, lalu buat identitas terkelola yang ditetapkan pengguna untuk digunakan sebagai kredensial identitas federasi. Untuk membuat identitas terkelola baru yang ditetapkan pengguna, Anda harus diberi peran yang menyertakan tindakan Microsoft.ManagedIdentity/userAssignedIdentities/write .

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Penyedia layanan mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Jalankan metode az ad app federated-credential create untuk mengonfigurasi kredensial identitas federasi pada aplikasi dan membuat hubungan kepercayaan dengan penyedia identitas eksternal.

Gunakan api://AzureADTokenExchange sebagai nilai audience dalam kredensial identitas federasi. Lihat referensi API untuk detail selengkapnya.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Penyedia layanan berbagi ID aplikasi dengan pelanggan

Temukan ID aplikasi (ID klien) aplikasi multi-penyewa dan bagikan dengan pelanggan.

Pelanggan memberikan akses aplikasi penyedia layanan ke kunci di brankas kunci

Langkah-langkah berikut dilakukan oleh pelanggan di penyewa pelanggan Tenant2. Pelanggan dapat menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Pengguna yang menjalankan langkah-langkah harus menjadi administrator dengan peran istimewa seperti Administrator Aplikasi, Administrator Aplikasi Cloud, atau Administrator Global.

Portal

Masuk ke portal Azure dan ikuti langkah-langkah berikut.

Pelanggan menginstal aplikasi penyedia layanan di penyewa pelanggan

Untuk menginstal aplikasi terdaftar penyedia layanan di penyewa pelanggan, buat perwakilan layanan dengan ID aplikasi dari aplikasi terdaftar. Anda dapat membuat perwakilan layanan dengan salah satu cara berikut:

• Gunakan Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell, atau Azure CLI untuk membuat perwakilan layanan secara manual.
• Buat URL persetujuan admin dan berikan persetujuan seluruh penyewa untuk membuat perwakilan layanan. Anda harus memberikan AppId Anda kepada mereka.

Pelanggan membuat brankas kunci

Untuk membuat brankas kunci, akun pengguna harus diberi peran Kontributor Key Vault atau peran lain yang mengizinkan pembuatan brankas kunci.

1. Dari menu portal Azure, atau dari halaman Beranda, pilih + Buat sumber daya. Di kotak Pencarian, masukkan Brankas kunci. Dari daftar hasil, pilih Brankas kunci. Pada halaman Brankas kunci, pilih Buat.

2. Pada tab Dasar-dasar, pilih langganan. Di bagian Grup sumber daya, pilih Buat baru dan masukkan nama grup sumber daya.

3. Masukkan nama unik untuk brankas kunci.

4. Pilih wilayah dan tingkat harga.

5. Aktifkan perlindungan penghapusan menyeluruh untuk brankas kunci baru.

6. Pada tab Kebijakan akses, pilih Kontrol akses berbasis peran Azure untuk Model izin.

7. Pilih Ulas + buat, lalu pilih Buat.

   

Perhatikan nama brankas kunci dan Aplikasi URI yang mengakses brankas kunci Anda harus menggunakan URI ini.

Untuk informasi selengkapnya, lihat Mulai Cepat - Membuat Azure Key Vault dengan portal Azure.

Pelanggan menetapkan peran Petugas Kripto Key Vault ke akun pengguna

Langkah ini memastikan bahwa Anda dapat membuat kunci enkripsi.

1. Buka brankas kunci Anda dan pilih Access Control (IAM) dari panel kiri.
2. Di bagian Berikan akses ke sumber daya ini, pilih Tambahkan penetapan peran.
3. Cari dan pilih Petugas Kripto Key Vault.
4. Di bagian Anggota, pilih Pengguna, grup, atau perwakilan layanan.
5. Pilih Anggota dan cari akun pengguna Anda.
6. Pilih Tinjau + Tetapkan.

Pelanggan membuat kunci enkripsi

Untuk membuat kunci enkripsi, akun pengguna harus diberi peran Petugas Kripto Key Vault atau peran lain yang mengizinkan pembuatan kunci.

1. Pada halaman properti Key Vault, pilih Kunci.
2. Pilih Buat/impor.
3. Pada layar Buat kunci, tentukan nama untuk kunci. Biarkan nilai lainnya mengikuti default.
4. Pilih Buat.
5. Salin URI kunci.

Pelanggan memberikan akses aplikasi penyedia layanan ke brankas kunci

Tetapkan peran Azure RBAC Pengguna Enkripsi Layanan Kripto Key Vault ke aplikasi terdaftar penyedia layanan sehingga dapat mengakses brankas kunci.

1. Buka brankas kunci Anda dan pilih Access Control (IAM) dari panel kiri.
2. Di bagian Berikan akses ke sumber daya ini, pilih Tambahkan penetapan peran.
3. Cari dan pilih Pengguna Enkripsi Layanan Kripto Key Vault.
4. Di bagian Anggota, pilih Pengguna, grup, atau perwakilan layanan.
5. Pilih Anggota dan cari nama aplikasi di aplikasi yang Anda instal dari penyedia layanan.
6. Pilih Tinjau + Tetapkan.

Sekarang Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan kunci dan URI brankas kunci.

PowerShell

Untuk menggunakan Azure PowerShell untuk mengonfigurasi penyewa klien, instal modul Az terbaru. Untuk informasi selengkapnya tentang memasang PowerShell, lihat Pasang Azure PowerShell di Windows dengan PowerShellGet.

• Jika Anda memilih untuk menggunakan Azure PowerShell secara lokal:
  • Instal versi terbaru modul Az PowerShell.
  • Sambungkan ke akun Azure Anda menggunakan cmdlet Connect-AzAccount.
• Jika Anda memilih untuk menggunakan Azure Cloud Shell:
  • Lihat Gambaran Umum Azure Cloud Shell untuk informasi selengkapnya.

Pelanggan masuk ke Azure

Di Azure PowerShell, masuk ke penyewa pelanggan dan atur langganan aktif ke langganan pelanggan.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Pelanggan menginstal aplikasi penyedia layanan di penyewa pelanggan

Setelah Anda menerima ID aplikasi aplikasi multi-penyewa penyedia layanan, instal aplikasi di penyewa Anda, Tenant2, dengan membuat perwakilan layanan.

Jalankan perintah berikut di penyewa tempat Anda ingin membuat brankas kunci.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Pelanggan membuat brankas kunci

Untuk membuat brankas kunci, akun pelanggan harus diberi peran Kontributor Key Vault atau peran lain yang mengizinkan pembuatan brankas kunci.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Pelanggan menetapkan peran Petugas Kripto Key Vault ke akun pengguna

Tetapkan peran Petugas Kripto Key Vault ke akun pengguna. Langkah ini memastikan bahwa pengguna dapat membuat brankas kunci dan kunci enkripsi. Contoh di bawah ini menetapkan peran ke pengguna yang masuk saat ini.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Pelanggan membuat kunci enkripsi

Untuk membuat kunci enkripsi, akun pengguna harus diberi peran Petugas Kripto Key Vault atau peran lain yang mengizinkan pembuatan kunci.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Pelanggan memberikan akses aplikasi penyedia layanan ke brankas kunci

Tetapkan peran Azure RBAC Key Vault Crypto Service Encryption User ke aplikasi terdaftar penyedia layanan, melalui perwakilan layanan yang Anda buat sebelumnya, sehingga dapat mengakses brankas kunci.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Sekarang Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan kunci dan URI brankas kunci.

Azure CLI

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Pelanggan masuk ke Azure

Masuk ke Azure untuk menggunakan Azure CLI.

az login

Pelanggan menginstal aplikasi penyedia layanan di penyewa pelanggan

Setelah Anda menerima ID aplikasi dari aplikasi multi penyewa penyedia layanan, instal aplikasi di penyewa Tenant2 menggunakan perintah berikut. Dengan menginstal aplikasi, Anda akan membuat perwakilan layanan di penyewa.

Jalankan perintah berikut di penyewa tempat Anda ingin membuat brankas kunci.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Pelanggan membuat brankas kunci

Untuk membuat brankas kunci, akun pelanggan harus diberi peran Kontributor Key Vault atau peran lain yang mengizinkan pembuatan brankas kunci.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Pelanggan menetapkan peran Petugas Kripto Key Vault ke akun pengguna

Langkah ini memastikan bahwa Anda dapat membuat brankas kunci dan kunci enkripsi.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Pelanggan membuat kunci enkripsi

Untuk membuat kunci enkripsi, akun pengguna harus diberi peran Petugas Kripto Key Vault atau peran lain yang mengizinkan pembuatan kunci.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Pelanggan memberikan akses aplikasi penyedia layanan ke brankas kunci

Tetapkan peran Azure RBAC Key Vault Crypto Service Encryption User ke aplikasi terdaftar penyedia layanan, melalui perwakilan layanan yang Anda buat sebelumnya, sehingga aplikasi terdaftar dapat mengakses brankas kunci.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Sekarang Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan kunci dan URI brankas kunci.

Membuat set enkripsi disk

Sekarang setelah Anda membuat Azure Key Vault dan melakukan konfigurasi Microsoft Entra yang diperlukan, sebarkan set enkripsi disk yang dikonfigurasi untuk bekerja di seluruh penyewa dan mengaitkannya dengan kunci di brankas kunci. Anda dapat melakukan ini menggunakan portal Azure, Azure PowerShell, atau Azure CLI. Anda juga dapat menggunakan templat ARM atau REST API.

Portal

Untuk menggunakan portal Azure, masuk ke portal dan ikuti langkah-langkah ini.

1. Pilih + Buat sumber daya, cari Set enkripsi disk, dan pilih Buat > set enkripsi Disk.

2. Di bawah Detail proyek, pilih grup langganan dan sumber daya untuk membuat kumpulan enkripsi disk.

3. Di bawah Detail instans, berikan nama untuk set enkripsi disk.

   

4. Pilih Wilayah tempat membuat set enkripsi disk.

5. Untuk Jenis Enkripsi, pilih Enkripsi saat istirahat dengan kunci yang dikelola pelanggan.

6. Di bawah Kunci enkripsi, pilih tombol radio Enter dari URI , lalu masukkan URI Kunci kunci yang dibuat di penyewa pelanggan.

7. Di bawah Identitas yang ditetapkan pengguna, pilih Pilih identitas.

8. Pilih identitas terkelola yang ditetapkan pengguna yang Anda buat sebelumnya di penyewa ISV, lalu pilih Tambahkan.

9. Di bawah Aplikasi multipenyewa, pilih Pilih aplikasi.

10. Pilih aplikasi terdaftar multi-penyewa yang Anda buat sebelumnya di penyewa ISV, dan klik Pilih.

11. Pilih Tinjau + buat.

PowerShell

Untuk menggunakan Azure PowerShell, instal modul Az terbaru atau modul Az.Storage. Untuk informasi selengkapnya tentang memasang PowerShell, lihat Pasang Azure PowerShell di Windows dengan PowerShellGet.

• Jika Anda memilih untuk menggunakan Azure PowerShell secara lokal:
  • Instal versi terbaru modul Az PowerShell.
  • Sambungkan ke akun Azure Anda menggunakan cmdlet Connect-AzAccount.
• Jika Anda memilih untuk menggunakan Azure Cloud Shell:
  • Lihat Gambaran Umum Azure Cloud Shell untuk informasi selengkapnya.

Dalam skrip di bawah ini, -FederatedClientId harus berupa ID aplikasi (ID klien) dari aplikasi multi-penyewa. Anda juga harus memberikan ID langganan, nama grup sumber daya, dan nama identitas.

$userAssignedIdentities = @{"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/identityName" = @{}};

$config = New-AzDiskEncryptionSetConfig `
   -Location 'westcentralus' `
   -KeyUrl "https://vault1.vault.azure.net:443/keys/key1/mykey" `
   -IdentityType 'UserAssigned' `
   -RotationToLatestKeyVersionEnabled $True `
   -UserAssignedIdentity $userAssignedIdentities `
   -FederatedClientId "00000000-0000-0000-0000-000000000000" `
   $config `
   | New-AzDiskEncryptionSet -ResourceGroupName 'rg1' -Name 'enc1'

Azure CLI

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Dalam perintah di bawah ini, myAssignedId harus berupa ID sumber daya dari identitas terkelola yang ditetapkan pengguna yang Anda buat sebelumnya, dan myFederatedClientId adalah ID aplikasi (ID klien) dari aplikasi multi-penyewa.

az disk-encryption-set create --resource-group MyResourceGroup --name MyDiskEncryptionSet --key-url MyKey --mi-user-assigned myAssignedId --federated-client-id myFederatedClientId --location westcentralus

Gunakan templat ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "desname": {
      "defaultValue": "<Enter ISV disk encryption set name>",
      "type": "String"
    },
    "region": {
      "defaultValue": "WestCentralUS",
      "type": "String"
    },
    "userassignedmicmk": {
      "defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
      "type": "String"
    },
    "cmkfederatedclientId": {
      "defaultValue": "<Enter ISV Multi-Tenant App Id>",
      "type": "String"
    },
    "keyVaultURL": {
      "defaultValue": "<Enter Client Key URL>",
      "type": "String"
    },
    "encryptionType": {
      "defaultValue": "EncryptionAtRestWithCustomerKey",
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Compute/diskEncryptionSets",
      "apiVersion": "2021-12-01",
      "name": "[parameters('desname')]",
      "location": "[parameters('region')]",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('userassignedmicmk')]": {}
        }
      },
      "properties": {
        "activeKey": {
          "keyUrl": "[parameters('keyVaultURL')]"
        },
        "federatedClientId": "[parameters('cmkfederatedclientId')]",
        "encryptionType": "[parameters('encryptionType')]"
      }
    }
  ]
}

Menggunakan REST API

Gunakan token pembawa sebagai header otorisasi dan aplikasi/JSON sebagai jenis konten di BODY. (Tab jaringan, filter ke management.azure saat melakukan permintaan ARM apa pun di portal.)

PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
Authorization: Bearer ...
Content-Type: application/json

{
  "name": "<Enter ISV disk encryption set name>",
  "id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
  "type": "Microsoft.Compute/diskEncryptionSets",
  "location": "westcentralus",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
"/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
": {}
    }
  },
  "properties": {
    "activeKey": {
      "keyUrl": "<Enter Client Key URL>"
    },
    "encryptionType": "EncryptionAtRestWithCustomerKey",
    "federatedClientId": "<Enter ISV Multi-Tenant App Id>"
  }
}

Langkah berikutnya

Lihat juga:

• Mengenkripsi disk menggunakan kunci yang dikelola pelanggan di Azure DevTest Labs
• Gunakan portal Azure untuk mengaktifkan enkripsi sisi server dengan kunci yang dikelola pelanggan untuk disk terkelola