Mengonfigurasi kunci yang dikelola oleh pelanggan untuk enkripsi volume Azure NetApp Files

Kunci yang dikelola pelanggan untuk enkripsi volume Azure NetApp Files memungkinkan Anda menggunakan kunci Anda sendiri daripada kunci yang dikelola platform saat membuat volume baru. Dengan kunci yang dikelola pelanggan, Anda dapat sepenuhnya mengelola hubungan antara siklus hidup kunci, izin penggunaan kunci, dan operasi audit pada kunci.

Diagram berikut menunjukkan cara kerja kunci yang dikelola pelanggan dengan Azure NetApp Files:

1. Azure NetApp Files memberikan izin ke kunci enkripsi ke identitas terkelola. Identitas terkelola adalah identitas terkelola yang ditetapkan pengguna yang Anda buat dan kelola atau identitas terkelola yang ditetapkan sistem yang terkait dengan akun NetApp.

2. Anda mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun NetApp.

3. Anda menggunakan identitas terkelola tempat admin Azure Key Vault memberikan izin di langkah 1 untuk mengautentikasi akses ke Azure Key Vault melalui ID Microsoft Entra.

4. Azure NetApp Files membungkus kunci enkripsi akun dengan kunci yang dikelola pelanggan di Azure Key Vault.

   Kunci yang dikelola pelanggan tidak memengaruhi performa Azure NetApp Files. Satu-satunya perbedaan dari kunci yang dikelola platform adalah bagaimana kunci dikelola.

5. Untuk operasi baca/tulis, Azure NetApp Files mengirimkan permintaan ke Azure Key Vault untuk membuka bungkus kunci enkripsi akun untuk melakukan operasi enkripsi dan dekripsi.

Fitur kunci yang dikelola pelanggan lintas penyewa tersedia di semua wilayah yang didukung Azure NetApp Files.

Pertimbangan

Penting

Untuk mengonfigurasi kunci yang dikelola pelanggan untuk penyimpanan redundan zona Elastis, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk penyimpanan redundan zona Elastis.

• Untuk peningkatan keamanan, pilih opsi Nonaktifkan akses publik dalam pengaturan jaringan brankas kunci Anda. Saat memilih opsi ini, Anda juga harus memilih Izinkan layanan Microsoft tepercaya untuk melewati firewall ini untuk mengizinkan layanan Azure NetApp Files mengakses kunci enkripsi Anda.
• Kunci yang dikelola pelanggan mendukung perpanjangan sertifikat Identitas Sistem Terkelola (MSI) otomatis. Jika sertifikat Anda valid, Anda tidak perlu memperbaruinya secara manual.
• Jangan membuat perubahan apa pun pada Azure Key Vault atau Azure Private Endpoint yang mendasar setelah membuat volume kunci yang dikelola pelanggan. Membuat perubahan dapat membuat volume menjadi tidak dapat diakses. Jika Anda harus membuat perubahan, lihat Perbarui IP titik akhir privat untuk kunci yang dikelola pelanggan.
• Jika Azure Key Vault menjadi tidak dapat diakses, Azure NetApp Files kehilangan aksesnya ke kunci enkripsi dan kemampuan untuk membaca atau menulis data ke volume yang diaktifkan dengan kunci yang dikelola pelanggan. Dalam situasi ini, buat tiket dukungan agar akses dipulihkan secara manual untuk volume yang terpengaruh.
• Azure NetApp Files mendukung kunci yang dikelola pelanggan pada volume replikasi sumber dan data dengan replikasi lintas wilayah atau hubungan replikasi lintas zona.
• Menerapkan grup keamanan jaringan Azure (NSG) pada subnet link privat ke Azure Key Vault didukung untuk kunci yang dikelola oleh pelanggan Azure NetApp Files. NSG tidak memengaruhi konektivitas ke tautan privat kecuali jika kebijakan jaringan titik akhir privat diaktifkan pada subnet.
• Bungkus/bongkar tidak didukung. Kunci yang dikelola pelanggan menggunakan enkripsi/dekripsi. Untuk informasi selengkapnya, lihat algoritma RSA.

• Untuk membuat volume menggunakan kunci yang dikelola pelanggan, Anda harus memilih fitur jaringan 'Standar'. Anda tidak dapat menggunakan volume kunci yang dikelola pelanggan dengan volume yang dikonfigurasi menggunakan fitur jaringan Dasar. Ikuti instruksi di untuk Mengatur opsi Fitur Jaringan di halaman pembuatan volume.
• Jika Azure NetApp Files gagal membuat volume kunci yang dikelola pelanggan, pesan kesalahan akan ditampilkan. Untuk informasi selengkapnya, lihat Pesan kesalahan dan pemecahan masalah.
• Azure NetApp Files mendukung kemampuan untuk transisi volume yang ada dari kunci yang dikelola platform (PMK) ke kunci yang dikelola pelanggan (CMK) tanpa migrasi data. Ini memberikan fleksibilitas dengan siklus hidup kunci enkripsi (pembaruan, rotasi) dan keamanan ekstra untuk persyaratan industri yang diatur.

Persyaratan

Sebelum membuat volume kunci pertama yang dikelola oleh pelanggan, Anda harus menyiapkan:

• Azure Key Vault, berisi setidaknya satu kunci.
  • Brankas kunci harus memiliki penghapusan lunak dan perlindungan pembersihan diaktifkan.
  • Kunci harus berjenis RSA.
• Brankas Kunci harus memiliki Azure Private Endpoint.
  • Titik akhir privat harus berada di subnet yang berbeda dari yang didelegasikan ke Azure NetApp Files. Subnet harus berada di jaringan virtual yang sama dengan yang didelegasikan ke Azure NetApp.

Untuk informasi selengkapnya tentang Azure Key Vault dan Titik Akhir Privat Azure, lihat:

• Panduan Cepat: Membuat Brankas Kunci
• Membuat atau mengimpor kunci ke dalam vault
• Membuat titik akhir privat
• Selengkapnya tentang kunci dan jenis kunci yang didukung
• Kelompok keamanan jaringan
• Mengelola kebijakan jaringan untuk titik akhir privat

Mengonfigurasi akun NetApp untuk menggunakan kunci yang dikelola pelanggan

Portal

1. Di portal Microsoft Azure dan di bawah Azure NetApp Files, pilih Enkripsi.

   Halaman Enkripsi memungkinkan Anda mengelola pengaturan enkripsi untuk akun NetApp Anda. Ini termasuk opsi untuk memungkinkan Anda mengatur akun NetApp Anda untuk menggunakan kunci enkripsi Anda sendiri, yang disimpan di Azure Key Vault. Pengaturan ini menyediakan identitas yang ditetapkan sistem ke akun NetApp, dan menambahkan kebijakan akses untuk identitas dengan izin kunci yang diperlukan.

   

2. Saat Anda mengatur akun NetApp untuk menggunakan kunci yang dikelola pelanggan, Anda memiliki dua cara untuk menentukan URI Kunci:

   • Opsi Pilih dari brankas kunci memungkinkan Anda memilih brankas kunci dan kunci.

   • Opsi Masukkan URI kunci memungkinkan Anda memasukkan URI kunci secara manual.

3. Pilih jenis identitas yang ingin Anda gunakan untuk autentikasi ke Azure Key Vault. Jika Azure Key Vault Anda dikonfigurasi untuk menggunakan kebijakan akses Vault sebagai model izinnya, kedua opsi tersedia. Jika tidak, hanya opsi yang ditetapkan pengguna yang tersedia.

   • Jika Anda memilih Ditetapkan sistem, pilih tombol Simpan . portal Azure mengonfigurasi akun NetApp secara otomatis dengan menambahkan identitas yang ditetapkan sistem ke akun NetApp Anda. Kebijakan akses juga dibuat di Azure Key Vault Anda dengan izin kunci Dapatkan, Enkripsi, Dekripsi.

   

   • Jika Anda memilih Ditetapkan pengguna, Anda harus memilih identitas. Pilih Pilih identitas untuk membuka panel konteks tempat Anda memilih identitas terkelola yang ditetapkan pengguna.

   

   Jika Anda telah mengonfigurasi Azure Key Vault untuk menggunakan kebijakan akses Vault, portal Azure mengonfigurasi akun NetApp secara otomatis dengan proses berikut: Identitas yang ditetapkan pengguna yang Anda pilih ditambahkan ke akun NetApp Anda. Kebijakan akses dibuat di Azure Key Vault Anda dengan izin kunci Dapatkan, Enkripsi, Dekripsi.

   Jika Anda telah mengonfigurasi Azure Key Vault untuk menggunakan kontrol akses berbasis peran Azure, maka Anda perlu memastikan identitas yang ditetapkan pengguna yang dipilih memiliki penetapan peran pada brankas kunci dengan izin untuk tindakan:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action Identitas yang ditetapkan pengguna yang Anda pilih ditambahkan ke akun NetApp Anda. Karena sifat kontrol akses berbasis peran yang dapat disesuaikan, portal Microsoft Azure tidak mengonfigurasi akses ke brankas kunci. Lihat Menyediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure untuk detail tentang mengonfigurasi Azure Key Vault.

4. Pilih Simpan lalu amati pemberitahuan yang mengomunikasikan status operasi. Jika operasi tidak berhasil, pesan kesalahan akan ditampilkan. Untuk bantuan dalam mengatasi kesalahan, lihat pesan kesalahan dan pemecahan masalah.

Azure CLI

Cara Anda mengonfigurasi akun NetApp dengan kunci yang dikelola pelanggan dengan Azure CLI bergantung pada apakah Anda menggunakan identitas yang ditetapkan sistem atau identitas yang ditetapkan pengguna.

Menggunakan identitas yang ditetapkan sistem

1. Perbarui akun NetApp Anda untuk menggunakan identitas yang ditetapkan sistem.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Untuk menggunakan kebijakan akses, buat variabel yang menyertakan ID utama identitas akun, lalu jalankan az keyvault set-policy dan tetapkan izin "Dapatkan," "Enkripsi," dan "Dekripsi."

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Perbarui akun NetApp Anda dengan menggunakan brankas kunci.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Menggunakan identitas baru yang ditetapkan pengguna

1. Buat identitas baru yang ditetapkan pengguna.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Atur kebijakan akses untuk lemari kunci.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       --output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Catatan

   Anda dapat secara bergantian menggunakan kontrol akses berbasis peran untuk memberikan akses ke brankas kunci.

3. Tetapkan identitas yang ditetapkan oleh pengguna ke akun NetApp dan perbarui enkripsi Key Vault.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Proses untuk mengonfigurasi akun NetApp dengan kunci yang dikelola pelanggan di Azure CLI bergantung pada apakah Anda menggunakan identitas yang ditetapkan sistem atau identitas yang ditetapkan pengguna.

Mengaktifkan akses untuk identitas yang ditetapkan sistem

1. Perbarui akun NetApp Anda untuk menggunakan identitas yang ditetapkan sistem.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Untuk menggunakan kebijakan akses, jalankan Set-AzKeyVaultAccessPolicy dengan nama brankas kunci, ID utama identitas akun, dan izin "Dapatkan," "Enkripsi," dan "Dekripsi."

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Perbarui akun NetApp Anda dengan informasi brankas kunci.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.Name -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Mengaktifkan akses untuk identitas yang ditetapkan pengguna

1. Buat identitas baru yang ditetapkan pengguna.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Tetapkan kebijakan akses ke brankas kunci.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Catatan

   Anda dapat secara bergantian menggunakan kontrol akses berbasis peran untuk memberikan akses ke brankas kunci.

3. Tetapkan identitas yang ditetapkan oleh pengguna ke akun NetApp dan perbarui enkripsi Key Vault.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Menggunakan kontrol akses berbasis peran

Anda dapat menggunakan Azure Key Vault yang dikonfigurasi untuk menggunakan kontrol akses berbasis peran Azure. Untuk mengonfigurasi kunci yang dikelola pelanggan melalui portal Azure, Anda perlu memberikan identitas yang ditetapkan pengguna.

1. Di akun Azure Anda, navigasikan ke Brankas kunci lalu Kebijakan akses.

2. Untuk membuat kebijakan akses, di bawah Model izin, pilih Kontrol akses berbasis peran Azure.

3. Saat membuat peran yang ditetapkan pengguna, ada tiga izin yang diperlukan untuk kunci yang dikelola pelanggan:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Meskipun ada peran yang telah ditentukan sebelumnya yang mencakup izin ini, peran tersebut memberikan lebih banyak hak istimewa daripada yang diperlukan. Disarankan agar Anda membuat peran kustom hanya dengan izin minimum yang diperlukan. Untuk informasi selengkapnya, lihat Peran kustom Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Setelah peran kustom dibuat dan tersedia untuk digunakan dengan brankas kunci, Anda menerapkannya ke identitas yang ditetapkan pengguna.

Membuat volume Azure NetApp Files menggunakan kunci yang dikelola pelanggan

1. Dari Azure NetApp Files, pilih Volume lalu + Tambahkan volume.

2. Ikuti instruksi di Mengonfigurasi fitur jaringan untuk volume Azure NetApp Files:

   • Atur opsi Fitur Jaringan di halaman pembuatan volume.
   • Grup keamanan jaringan untuk subnet volume yang didelegasikan harus mengizinkan trafik jaringan masuk dari mesin virtual penyimpanan NetApp.

3. Untuk akun NetApp yang dikonfigurasi untuk menggunakan kunci yang dikelola pelanggan, halaman Buat Volume menyertakan opsi Sumber Kunci Enkripsi.

   Untuk mengenkripsi volume dengan kunci Anda, pilih KunciCustomer-Managed di menu dropdown Sumber Kunci Enkripsi .

   Saat membuat volume menggunakan kunci yang dikelola pelanggan, Anda juga harus memilih Standar untuk opsi Fitur jaringan . Fitur jaringan dasar tidak didukung.

   Anda juga harus memilih endpoint privat yang terkait dengan brankas kunci. Menu dropdown menampilkan titik akhir privat di jaringan virtual yang dipilih. Jika tidak ada endpoint privat untuk brankas kunci Anda di jaringan virtual yang dipilih, maka dropdown akan kosong, dan Anda tidak akan dapat melanjutkan. Jika Anda mengalami skenario ini, lihat Titik Akhir Privat Azure.

   

4. Lanjutkan untuk menyelesaikan proses pembuatan volume. Lihat:

   • Membuat volume NFS
   • Membuat volume SMB
   • Membuat volume protokol ganda

Transisi volume Azure NetApp Files ke kunci yang dikelola oleh pelanggan

Azure NetApp Files mendukung kemampuan untuk memindahkan volume yang ada menggunakan kunci yang dikelola platform ke kunci yang dikelola pelanggan. Setelah menyelesaikan migrasi, Anda tidak dapat kembali ke kunci yang dikelola platform.

Volume Transisi

Catatan

Ketika Anda mengubah volume agar menggunakan kunci yang dikelola oleh pelanggan, Anda harus melakukan perubahan untuk setiap jaringan virtual di mana akun Azure NetApp Files Anda memiliki volume. Jika Anda mengelola sumber daya Azure menggunakan Terraform, Anda harus memperbarui semua sumber daya Azure yang dikelola Terraform untuk semua volume yang dimodifikasi secara out-of-band.

1. Pastikan Anda mengonfigurasi akun Azure NetApp Files untuk menggunakan kunci yang dikelola pelanggan.
2. Di portal Microsoft Azure, navigasikan ke Enkripsi.
3. Pilih tab Migrasi CMK.
4. Dari menu drop-down, pilihlah jaringan virtual dan endpoint privat Key Vault yang ingin Anda gunakan.
5. Azure menghasilkan daftar volume yang akan dienkripsi oleh kunci yang dikelola pelanggan Anda.
6. Pilih Konfirmasi untuk memulai migrasi.

Perbarui semua kunci volume di bawah akun NetApp

Jika Anda telah mengonfigurasi akun NetApp untuk kunci yang dikelola pelanggan dan memiliki satu atau beberapa volume yang dienkripsi dengan kunci yang dikelola pelanggan, Anda dapat mengubah kunci yang digunakan untuk mengenkripsi semua volume di bawah akun NetApp. Anda dapat memilih kunci apa pun yang berada di brankas kunci yang sama. Mengubah key vault tidak didukung.

1. Di bawah akun NetApp Anda, navigasikan ke menu Enkripsi . Di bawah bidang Input kunci saat ini , pilih tautan Kunci ulang .

2. Di menu Kunci kembali , pilih salah satu kunci yang tersedia dari menu dropdown. Kunci yang dipilih harus berbeda dari kunci saat ini.

3. Pilih OK untuk menyimpan. Operasi penggantian kunci dapat memakan waktu beberapa menit.

Beralih dari identitas yang ditetapkan sistem ke identitas yang ditetapkan pengguna

Untuk beralih dari identitas yang ditetapkan sistem ke identitas yang ditetapkan pengguna, Anda harus memberikan akses identitas target ke brankas kunci yang digunakan dengan izin baca/dapatkan, enkripsi, dan dekripsi.

1. Perbarui akun NetApp dengan mengirim permintaan PATCH menggunakan az rest perintah :

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   Payload harus menggunakan struktur berikut:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Konfirmasikan operasi berhasil diselesaikan dengan az netappfiles account show perintah . Output mencakup bidang-bidang berikut:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Pastikan bahwa:

   • encryption.identity.principalId cocok dengan nilai dalam identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity cocok dengan nilai dalam identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Memperbarui titik akhir privat

Melakukan perubahan pada Azure Private Endpoint setelah membuat volume kunci yang dikelola oleh pelanggan dapat membuat volume tidak dapat diakses. Jika Anda perlu membuat perubahan, Anda harus membuat titik akhir baru dan memperbarui volume untuk menunjuk ke titik akhir baru.

1. Buat titik akhir baru antara jaringan virtual dan Azure Key Vault.
2. Perbarui semua volume yang menggunakan titik akhir lama menjadi menggunakan titik akhir baru.

   az netappfiles volume update --g $resource-group-name --account-name $netapp-account-name --pool-name $pool-name --name $volume-name --key-vault-private-endpoint-resource-id $newendpoint
   

3. Hapus titik akhir privat lama.

Langkah berikutnya

• Menangani masalah kunci yang dikelola oleh pelanggan
• Azure NetApp Files API
• Mengonfigurasi kunci yang dikelola pelanggan dengan Modul Keamanan Perangkat Keras terkelola
• Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa
• Memahami enkripsi data di Azure NetApp Files