Bagikan melalui

Menggunakan kunci enkripsi yang dikelola pelanggan dengan Azure Managed Lustre

  • Artikel

Anda dapat menggunakan Azure Key Vault untuk mengontrol kepemilikan kunci yang digunakan untuk mengenkripsi data Anda yang disimpan dalam sistem file Azure Managed Lustre. Artikel ini menjelaskan cara menggunakan kunci yang dikelola pelanggan untuk enkripsi data dengan Azure Managed Lustre.

Catatan

Semua data yang disimpan di Azure dienkripsi saat tidak aktif menggunakan kunci yang dikelola Microsoft secara default. Anda hanya perlu mengikuti langkah-langkah dalam artikel ini jika Anda ingin mengelola kunci yang digunakan untuk mengenkripsi data Anda saat disimpan di kluster Azure Managed Lustre Anda.

Enkripsi host VM melindungi semua informasi pada disk terkelola yang menyimpan data Anda dalam sistem file Azure Managed Lustre, bahkan jika Anda menambahkan Kunci Pelanggan untuk disk Lustre. Menambahkan kunci yang dikelola pelanggan memberikan tingkat keamanan ekstra untuk kebutuhan keamanan yang tinggi. Untuk informasi selengkapnya, lihat Enkripsi sisi server penyimpanan disk Azure.

Ada tiga langkah untuk mengaktifkan enkripsi kunci yang dikelola pelanggan untuk Azure Managed Lustre:

  1. Siapkan Azure Key Vault untuk menyimpan kunci.
  2. Buat identitas terkelola yang dapat mengakses brankas kunci tersebut.
  3. Saat membuat sistem file, pilih enkripsi kunci yang dikelola pelanggan dan tentukan brankas kunci, kunci, dan identitas terkelola yang akan digunakan.

Artikel ini menjelaskan langkah-langkah ini secara lebih rinci.

Setelah membuat sistem file, Anda tidak dapat mengubah antara kunci yang dikelola pelanggan dan kunci yang dikelola Microsoft.

Prasyarat

Anda dapat menggunakan brankas kunci dan kunci yang sudah ada sebelumnya, atau Anda dapat membuat yang baru untuk digunakan dengan Azure Managed Lustre. Lihat pengaturan yang diperlukan berikut untuk memastikan Anda memiliki brankas kunci dan kunci yang dikonfigurasi dengan benar.

Buat key vault dan kunci

Siapkan brankas kunci Azure untuk menyimpan kunci enkripsi Anda. Brankas kunci dan kunci harus memenuhi persyaratan ini untuk bekerja dengan Azure Managed Lustre.

Properti brankas kunci

Pengaturan berikut diperlukan untuk digunakan dengan Azure Managed Lustre. Anda dapat mengonfigurasi opsi yang tidak tercantum sesuai kebutuhan.

Dasar-dasar:

  • Langganan - Gunakan langganan yang sama yang digunakan untuk kluster Azure Managed Lustre.
  • Wilayah - Brankas kunci harus berada di wilayah yang sama dengan kluster Azure Managed Lustre.
  • Tingkat harga - Tingkat standar cukup untuk digunakan dengan Azure Managed Lustre.
  • Penghapusan sementara - Azure Managed Lustre memungkinkan penghapusan sementara jika belum dikonfigurasi pada brankas kunci.
  • Perlindungan penghapusan menyeluruh - Aktifkan perlindungan penghapusan menyeluruh.

Kebijakan akses:

  • Konfigurasi Akses - Atur ke kontrol akses berbasis peran Azure.

Jaringan:

  • Akses Publik - Harus diaktifkan.

  • Izinkan Akses - Pilih Semua jaringan atau, jika Anda perlu membatasi akses, pilih Jaringan yang dipilih

    • Jika Jaringan terpilih dipilih, Anda harus mengaktifkan opsi Izinkan layanan Microsoft tepercaya untuk melewati firewall ini di bagian Pengecualian di bawah ini.

Cuplikan layar memperlihatkan cara membatasi akses brankas kunci ke jaringan yang dipilih, sambil mengizinkan akses ke layanan Microsoft tepercaya.

Catatan

Jika Anda menggunakan brankas kunci yang ada, Anda dapat meninjau bagian pengaturan jaringan untuk mengonfirmasi bahwa Izinkan akses dari diatur ke Izinkan akses publik dari semua jaringan, atau buat perubahan jika perlu.

Properti utama

  • Jenis kunci - RSA
  • Ukuran kunci RSA - 2048
  • Diaktifkan - Ya

Izin akses brankas kunci:

  • Pengguna yang membuat sistem Azure Managed Lustre harus memiliki izin yang setara dengan peran kontributor Key Vault. Izin yang sama diperlukan untuk menyiapkan dan mengelola Azure Key Vault.

    Untuk informasi selengkapnya, lihat Mengamankan akses ke key vault.

Pelajari selengkapnya dasar-dasar Azure Key Vault.

Membuat identitas terkelola yang ditetapkan pengguna

Sistem file Azure Managed Lustre memerlukan identitas terkelola yang ditetapkan pengguna untuk mengakses brankas kunci.

Identitas terkelola adalah kredensial identitas mandiri yang menggantikan identitas pengguna saat mengakses layanan Azure melalui ID Microsoft Entra. Seperti pengguna lain, mereka dapat diberi peran dan izin. Pelajari selengkapnya tentang identitas terkelola.

Buat identitas ini sebelum Anda membuat sistem file, dan memberinya akses ke brankas kunci.

Catatan

Jika Anda menyediakan identitas terkelola yang tidak dapat mengakses brankas kunci, Anda tidak akan dapat membuat sistem file.

Untuk informasi selengkapnya, lihat dokumentasi identitas terkelola:

Membuat sistem file Azure Managed Lustre dengan kunci enkripsi yang dikelola pelanggan

Saat Anda membuat sistem file Azure Managed Lustre, gunakan tab Kunci enkripsi Disk untuk memilih Pelanggan yang dikelola dalam pengaturan Jenis kunci enkripsi disk. Bagian lain muncul untuk pengaturan Kunci Pelanggan dan Identitas terkelola.

Cuplikan layar antarmuka portal Azure untuk membuat sistem Azure Managed Lustre baru, dengan pelanggan yang dikelola dipilih.

Ingatlah bahwa Anda hanya dapat menyiapkan kunci yang dikelola pelanggan pada waktu pembuatan. Anda tidak dapat mengubah jenis kunci enkripsi yang digunakan untuk sistem file Azure Managed Lustre yang ada.

Pengaturan Kunci Pelanggan

Pilih tautan di pengaturan Kunci Pelanggan untuk memilih pengaturan brankas kunci, kunci, dan versi. Anda juga dapat membuat Azure Key Vault baru dari halaman ini. Jika Anda membuat brankas kunci baru, ingatlah untuk memberikan akses identitas terkelola Anda ke brankas tersebut.

Jika Azure Key Vault Anda tidak muncul dalam daftar, periksa persyaratan berikut:

  • Apakah sistem file dalam langganan yang sama dengan brankas kunci?
  • Apakah sistem file berada di wilayah yang sama dengan brankas kunci?
  • Apakah ada konektivitas jaringan antara portal Azure dan brankas kunci?

Setelah memilih brankas, pilih kunci individual dari opsi yang tersedia, atau buat kunci baru. Kuncinya harus merupakan kunci RSA 2048-bit.

Tentukan versi untuk kunci yang dipilih. Untuk informasi selengkapnya tentang penerapan versi, lihat dokumentasi Azure Key Vault.

Pengaturan identitas terkelola

Pilih tautan di Identitas terkelola dan pilih identitas yang digunakan sistem file Azure Managed Lustre untuk akses brankas kunci.

Setelah Anda mengonfigurasi pengaturan kunci enkripsi ini, lanjutkan ke tab Tinjau + buat dan selesaikan pembuatan sistem file seperti biasa.

Langkah berikutnya

Artikel ini menjelaskan selengkapnya tentang menggunakan Azure Key Vault dan kunci yang dikelola pelanggan untuk mengenkripsi data di Azure: