Kunci yang dikelola pelanggan untuk enkripsi Azure Fluid Relay

Anda dapat menggunakan kunci enkripsi Anda sendiri untuk melindungi data di sumber daya Azure Fluid Relay Anda. Saat Anda menentukan kunci yang dikelola pelanggan (CMK), kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. CMK menawarkan fleksibilitas yang lebih besar untuk mengelola kontrol akses.

Anda harus menggunakan salah satu penyimpanan kunci Azure berikut untuk menyimpan CMK Anda:

• Azure Key Vault
• Modul Keamanan Perangkat Keras Terkelola Azure Key Vault (HSM)

Anda harus membuat sumber daya Azure Fluid Relay baru untuk mengaktifkan CMK. Anda tidak dapat mengubah pengaktifan/penonaktifan CMK pada sumber daya Fluid Relay yang ada.

Selain itu, CMK Fluid Relay bergantung pada Identitas Terkelola, dan Anda perlu menetapkan identitas terkelola ke sumber daya Fluid Relay saat mengaktifkan CMK. Hanya identitas yang ditetapkan pengguna yang diizinkan untuk CMK sumber daya Fluid Relay. Untuk informasi selengkapnya tentang identitas terkelola, lihat di sini.

Mengonfigurasi sumber daya Fluid Relay dengan CMK belum dapat dilakukan melalui portal Azure.

Saat Anda mengonfigurasi sumber daya Fluid Relay dengan CMK, layanan Azure Fluid Relay mengonfigurasi pengaturan terenkripsi CMK yang sesuai pada cakupan akun Azure Storage tempat artefak sesi Fluid Anda disimpan. Untuk informasi selengkapnya tentang CMK di Azure Storage, lihat di sini.

Untuk memverifikasi sumber daya Fluid Relay menggunakan CMK, Anda dapat memeriksa properti sumber daya dengan mengirim GET dan melihat apakah sumber daya tersebut memiliki properti enkripsi yang valid dan tidak kosong dari encryption.customerManagedKeyEncryption.

Prasyarat:

Sebelum mengonfigurasi CMK pada sumber daya Azure Fluid Relay Anda, prasyarat berikut harus dipenuhi:

• Kunci harus disimpan di Azure Key Vault.
• Kunci harus kunci RSA dan bukan kunci EC karena kunci EC tidak mendukung WRAP dan UNWRAP.
• Identitas terkelola yang ditetapkan pengguna harus dibuat dengan izin yang diperlukan (GET, WRAP, dan UNWRAP) ke brankas kunci di langkah 1. Informasi selengkapnya di sini. Berikan GET, WRAP, dan UNWRAP di bawah Izin Kunci di AKV.
• Azure Key Vault, identitas yang ditetapkan pengguna, dan sumber daya Fluid Relay harus berada di wilayah yang sama dan di penyewa Microsoft Entra yang sama.

Membuat sumber daya Fluid Relay dengan CMK

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>" 

Format payload permintaan:

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
} 

Contoh userAssignedIdentities dan userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Contoh keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Catatan:

• Identity.type harus UserAssigned. Ini adalah jenis identitas identitas terkelola yang ditetapkan ke sumber daya Fluid Relay.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType harus UserAssigned. Ini adalah jenis identitas identitas terkelola yang harus digunakan untuk CMK.
• Meskipun Anda dapat menentukan lebih dari satu di Identity.userAssignedIdentities, hanya satu identitas pengguna yang ditetapkan ke sumber daya Fluid Relay yang ditentukan yang akan digunakan untuk CMK mengakses brankas kunci untuk enkripsi.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId adalah ID sumber daya dari identitas yang ditetapkan pengguna yang harus digunakan untuk CMK. Perhatikan bahwa itu harus menjadi salah satu identitas di Identity.userAssignedIdentities (Anda harus menetapkan identitas ke sumber daya Fluid Relay sebelum dapat menggunakannya untuk CMK). Selain itu, harus memiliki izin yang diperlukan pada kunci (disediakan oleh keyEncryptionKeyUrl).
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl adalah pengidentifikasi kunci yang digunakan untuk CMK.

Memperbarui pengaturan CMK dari sumber daya Fluid Relay yang ada

Anda dapat memperbarui pengaturan CMK berikut pada sumber daya Fluid Relay yang ada:

• Ubah identitas yang digunakan untuk mengakses kunci enkripsi kunci.
• Ubah pengidentifikasi kunci enkripsi kunci (URL kunci).
• Ubah versi kunci kunci enkripsi kunci.

Perhatikan bahwa Anda tidak dapat menonaktifkan CMK pada sumber daya Fluid Relay yang ada setelah diaktifkan.

URL Permintaan:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload" 

Contoh payload permintaan untuk memperbarui URL kunci enkripsi kunci:

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

Baca juga

• Gambaran Umum arsitektur Azure Fluid Relay
• Penyimpanan data di Azure Fluid Relay
• Enkripsi data di Azure Fluid Relay