Dokumentasi
-
Mengonfigurasi identitas terkelola di kumpulan Batch - Azure Batch
Pelajari cara mengaktifkan identitas terkelola yang ditetapkan pengguna pada kumpulan Batch dan cara menggunakan identitas terkelola dalam simpul.
Browser ini sudah tidak didukung.
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.
Secara default Azure Batch menggunakan kunci yang dikelola platform untuk mengenkripsi semua data pelanggan yang disimpan di Azure Batch Service, seperti sertifikat, metadata pekerjaan/tugas. Secara opsional, Anda dapat menggunakan kunci Anda sendiri, yaitu kunci yang dikelola pelanggan, untuk mengenkripsi data yang disimpan di Azure Batch.
Kunci yang Anda berikan harus dibuat di Azure Key Vault, dan kunci tersebut harus diakses dengan identitas terkelola untuk sumber daya Azure.
Ada dua jenis identitas terkelola: identitas yang ditetapkan sistem dan identitas yang ditetapkan pengguna.
Anda dapat membuat akun Batch dengan identitas terkelola yang ditetapkan sistem, atau membuat identitas terkelola terpisah yang ditetapkan pengguna yang memiliki akses ke kunci yang dikelola pelanggan. Tinjau tabel perbandingan untuk memahami perbedaan dan mempertimbangkan opsi mana yang paling sesuai untuk solusi Anda. Misalnya, jika Anda ingin menggunakan identitas terkelola yang sama untuk mengakses beberapa sumber daya Azure, identitas terkelola yang ditetapkan pengguna diperlukan. Jika tidak, identitas terkelola yang ditetapkan sistem yang terkait dengan akun Batch Anda mungkin cukup. Menggunakan identitas terkelola yang ditetapkan pengguna juga memberi Anda opsi untuk memberlakukan kunci yang dikelola pelanggan di pembuatan akun Batch, seperti yang ditunjukkan berikutnya.
Jika Anda tidak memerlukan identitas terkelola yang ditetapkan pengguna terpisah, Anda dapat mengaktifkan identitas terkelola yang ditetapkan sistem saat membuat akun Batch Anda.
Penting
Identitas terkelola yang ditetapkan sistem yang dibuat untuk akun Batch untuk enkripsi data pelanggan seperti yang dijelaskan dalam dokumen ini tidak dapat digunakan sebagai identitas terkelola yang ditetapkan pengguna pada kumpulan Batch. Jika Anda ingin menggunakan identitas terkelola yang sama pada akun Batch dan kumpulan Batch, gunakan identitas terkelola umum yang ditetapkan pengguna sebagai gantinya.
Di portal Microsoft Azure, saat Anda membuat akun Batch, pilih Sistem yang ditetapkan dalam tipe identitas di bawah tab Tingkat Lanjut.
Setelah akun dibuat, Anda dapat menemukan GUID unik di bidang Id Identitas utama di bawah bagian Properti. Tipe Identitas akan ditampilkan System assigned
.
Anda memerlukan nilai ini untuk memberikan akses akun Batch ini ke Key Vault.
Saat Anda membuat akun Batch baru, tentukan SystemAssigned
untuk parameter --identity
.
resourceGroupName='myResourceGroup'
accountName='mybatchaccount'
az batch account create \
--name $accountName \
--resource-group $resourceGroupName \
--locations regionName='West US 2' \
--identity 'SystemAssigned'
Setelah akun dibuat, Anda dapat memverifikasi bahwa identitas terkelola yang ditetapkan sistem telah diaktifkan pada akun ini. Pastikan untuk mencatat , karena PrincipalId
nilai ini diperlukan untuk memberikan akses akun Batch ini ke Key Vault.
az batch account show \
--name $accountName \
--resource-group $resourceGroupName \
--query identity
Catatan
Identitas terkelola yang ditetapkan sistem yang dibuat dalam akun Batch hanya digunakan untuk mengambil kunci yang dikelola pelanggan dari Key Vault. Identitas ini tidak tersedia di kumpulan Batch. Untuk menggunakan identitas terkelola yang ditetapkan pengguna di kumpulan, lihat Mengonfigurasi identitas terkelola di kumpulan Batch.
Jika mau, Anda dapat membuat identitas terkelola yang ditetapkan pengguna yang dapat digunakan untuk mengakses kunci yang dikelola pelanggan Anda.
Anda memerlukan nilai ID Klien dari identitas ini agar dapat mengakses Key Vault.
Azure Key Vault tempat kunci Anda dibuat harus dibuat di penyewa yang sama dengan akun Batch Anda. Ini tidak perlu berada dalam grup sumber daya yang sama atau bahkan dalam langganan yang sama.
Saat membuat instans Azure Key Vault dengan kunci yang dikelola pelanggan untuk Azure Batch, pastikan bahwa Penghapusan Sementara dan Perlindungan Hapus Menyeluruh keduanya diaktifkan.
Di portal Microsoft Azure, setelah Key Vault dibuat, Dalam Kebijakan Akses di bawah Pengaturan, tambahkan akses akun Batch menggunakan identitas terkelola. Di bawah Izin Kunci, pilih Dapatkan, Kunci Terbungkus dan Kunci Terbuka.
Di bidang Pilih di bawah Utama, isi salah satu hal berikut ini:
principalId
yang sebelumnya Anda ambil atau nama akun Batch.Di portal Microsoft Azure, buka instans Key Vault di bagian kunci, pilih Buat/Impor. Pilih Tipe Kunci menjadi RSA
dan Ukuran Kunci RSA menjadi setidaknya 2048
bit. EC
jenis kunci saat ini tidak didukung sebagai kunci yang dikelola pelanggan pada akun Batch.
Setelah kunci dibuat, klik pada kunci yang baru dibuat dan versi saat ini, salin Pengidentifikasi Kunci di bawah bagian properti. Pastikan bahwa di bawah Operasi yang Diizinkan, Kunci Bungkus, dan Kunci Bungkus keduanya dicentang.
Setelah prasyarat diterapkan, Anda dapat mengaktifkan kunci yang dikelola pelanggan di akun Batch Anda.
Di portal Microsoft Azure, buka halaman Akun batch. Di bawah bagian Enkripsi,, aktifkan kunci yang dikelola pelanggan. Anda dapat langsung menggunakan Pengidentifikasi Kunci, atau Anda dapat memilih brankas kunci lalu klik Pilih brankas kunci dan kunci.
Setelah akun Batch dibuat dengan identitas terkelola yang ditetapkan sistem dan akses ke Key Vault diberikan, perbarui akun Batch dengan URL {Key Identifier}
di bawah parameter keyVaultProperties
. Atur --encryption-key-source
juga sebagai Microsoft.KeyVault
.
az batch account set \
--name $accountName \
--resource-group $resourceGroupName \
--encryption-key-source Microsoft.KeyVault \
--encryption-key-identifier {YourKeyIdentifier}
Sebagai contoh menggunakan klien .NET manajemen Batch, Anda dapat membuat akun Batch yang memiliki identitas terkelola yang ditetapkan pengguna dan kunci yang dikelola pelanggan.
string subscriptionId = "Your SubscriptionID";
string resourceGroupName = "Your ResourceGroup name";
var credential = new DefaultAzureCredential();
ArmClient _armClient = new ArmClient(credential);
ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = _armClient.GetResourceGroupResource(resourceGroupResourceId);
var data = new BatchAccountCreateOrUpdateContent(AzureLocation.EastUS)
{
Encryption = new BatchAccountEncryptionConfiguration()
{
KeySource = BatchAccountKeySource.MicrosoftKeyVault,
KeyIdentifier = new Uri("Your Key Azure Resource Manager Resource ID"),
},
Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
{
UserAssignedIdentities = {
[new ResourceIdentifier("Your Identity Azure Resource Manager ResourceId")] = new UserAssignedIdentity(),
},
}
};
var lro = resourceGroupResource.GetBatchAccounts().CreateOrUpdate(WaitUntil.Completed, "Your BatchAccount name", data);
BatchAccountResource batchAccount = lro.Value;
Saat Anda membuat versi kunci baru, perbarui akun Batch untuk menggunakan versi baru tersebut. Ikuti langkah-langkah ini:
Anda juga dapat menggunakan Azure CLI untuk memperbarui versi.
az batch account set \
--name $accountName \
--resource-group $resourceGroupName \
--encryption-key-identifier {YourKeyIdentifierWithNewVersion}
Tip
Anda dapat memutar kunci secara otomatis dengan membuat kebijakan rotasi kunci dalam Key Vault. Saat menentukan Pengidentifikasi Kunci untuk akun Batch, gunakan pengidentifikasi kunci tanpa versi untuk mengaktifkan rotasi otomatis dengan kebijakan rotasi yang valid. Untuk informasi selengkapnya, lihat cara mengonfigurasi rotasi kunci di Key Vault.
Untuk mengubah kunci yang digunakan untuk enkripsi Batch, ikuti langkah-langkah berikut:
Anda juga dapat menggunakan Azure CLI untuk menggunakan kunci yang berbeda.
az batch account set \
--name $accountName \
--resource-group $resourceGroupName \
--encryption-key-identifier {YourNewKeyIdentifier}
3072
dan 4096
bit juga didukung.Dokumentasi
Mengonfigurasi identitas terkelola di kumpulan Batch - Azure Batch
Pelajari cara mengaktifkan identitas terkelola yang ditetapkan pengguna pada kumpulan Batch dan cara menggunakan identitas terkelola dalam simpul.