Bagikan melalui

Mengonfigurasi enkripsi disk untuk instans Azure Managed Redis menggunakan kunci yang dikelola pelanggan

  • Berlaku untuk: ✅ Azure Managed Redis

Data di server Redis disimpan dalam memori secara default. Data ini tidak dienkripsi. Anda dapat menerapkan enkripsi Anda sendiri pada data sebelum menulisnya ke cache. Dalam beberapa kasus, data dapat berada di disk, baik karena operasi sistem operasi, atau karena tindakan yang disukai untuk mempertahankan data menggunakan ekspor atau persistensi data.

Azure Managed Redis menawarkan kunci yang dikelola platform (PMK), juga dikenal sebagai kunci yang dikelola Microsoft (MMK), secara default untuk mengenkripsi data di disk di semua tingkatan. Azure Managed Redis juga menawarkan kemampuan untuk mengenkripsi OS dan disk persistensi data dengan kunci yang dikelola pelanggan (CMK). Kunci yang dikelola pelanggan dapat digunakan untuk membungkus MMK untuk mengontrol akses ke kunci ini. Ini menjadikan CMK sebagai kunci enkripsi kunci atau KEK. Untuk informasi selengkapnya, lihat manajemen kunci di Azure.

Cakupan ketersediaan untuk enkripsi disk CMK

Tier Memori Dioptimalkan, Seimbang, Komputasi Dioptimalkan Dioptimalkan untuk Flash
Kunci terkelola Microsoft (MMK) Ya Ya
Kunci yang dikelola pelanggan (CMK) Ya Ya

Cakupan enkripsi

Di Azure Managed Redis, enkripsi disk digunakan untuk mengenkripsi disk persistensi, file sementara, dan disk OS:

  • disk persistensi: menyimpan file RDB atau AOF yang bertahan sebagai bagian dari persistensi data
  • file sementara yang digunakan dalam ekspor: data sementara yang digunakan diekspor dienkripsi. Saat Anda mengekspor data, enkripsi data akhir yang diekspor dikontrol oleh pengaturan di akun penyimpanan.
  • disk OS

MMK digunakan untuk mengenkripsi disk ini secara default, tetapi CMK juga dapat digunakan.

Di tingkat Flash Optimized, kunci dan nilai juga disimpan sebagian di disk menggunakan penyimpanan flash nonvolatile memory express (NVMe). Namun, disk ini tidak sama dengan yang digunakan untuk data yang bertahan. Sebaliknya, ini bersifat ephemeral, dan data tidak disimpan setelah cache dihentikan, dibatalkan alokasinya, atau di-boot ulang. MMK hanya didukung pada disk ini karena data ini bersifat sementara dan sementara.

Data disimpan Diska Opsi Enkripsi
File persistensi Disk persistensi MMK atau CMK
File RDB menunggu untuk diekspor Disk OS dan disk Persistensi MMK atau CMK
Kunci & nilai (hanya tingkat Yang Dioptimalkan Lampu Kilat) Disk NVMe sementara MMK

Prasyarat dan batasan

Prasyarat dan batasan umum

  • Hanya identitas terkelola yang ditetapkan pengguna yang didukung untuk menyambungkan ke Azure Key Vault. Identitas terkelola yang ditetapkan sistem tidak didukung.
  • Mengubah antara MMK dan CMK pada instans cache yang ada memicu operasi pemeliharaan yang berjalan lama. Kami tidak merekomendasikan ini untuk penggunaan produksi karena terjadi gangguan layanan.

Prasyarat dan batasan Azure Key Vault

  • Sumber daya Azure Key Vault yang berisi kunci yang dikelola pelanggan harus berada di wilayah yang sama dengan sumber daya cache.
  • Perlindungan penghapusan menyeluruh dan penghapusan sementara harus diaktifkan di instans Azure Key Vault. Perlindungan penghapusan menyeluruh tidak diaktifkan secara default.
  • Saat Anda menggunakan aturan firewall di Azure Key Vault, instans Key Vault harus dikonfigurasi untuk mengizinkan layanan tepercaya.
  • Hanya kunci RSA yang didukung
  • Identitas terkelola yang ditetapkan pengguna harus diberi izin Get, Unwrap Key, dan Wrap Key dalam kebijakan akses Key Vault, atau izin yang setara dalam Kontrol Akses Berbasis Peran Azure. Definisi peran bawaan yang direkomendasikan dengan hak istimewa paling sedikit yang diperlukan untuk skenario ini disebut Pengguna Enkripsi Layanan Kripto KeyVault.

Cara mengonfigurasi enkripsi CMK di Azure Managed Redis

Menggunakan portal untuk membuat cache baru dengan CMK diaktifkan

  1. Masuk ke portal Azure dan mulai panduan mulai cepat Buat instans Azure Managed Redis.

  2. Pada halaman Tingkat Lanjut , buka bagian berjudul Enkripsi kunci yang dikelola pelanggan saat tidak aktif dan aktifkan opsi Gunakan kunci yang dikelola pelanggan.

    Cuplikan layar pengaturan tingkat lanjut dengan enkripsi kunci yang dikelola pelanggan dicentang dan dalam kotak merah.

  3. Pilih Tambahkan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke sumber daya. Identitas terkelola ini digunakan untuk menyambungkan ke instans Azure Key Vault yang menyimpan kunci yang dikelola pelanggan.

    Cuplikan layar memperlihatkan identitas terkelola pengguna di panel kerja.

  4. Pilih identitas terkelola yang ditetapkan pengguna pilihan Anda, lalu pilih metode input kunci yang akan digunakan.

  5. Jika menggunakan metode Pilih Azure Key Vault dan input kunci , pilih instans Key Vault yang menyimpan kunci yang dikelola pelanggan Anda. Instans ini harus berada di wilayah yang sama dengan cache Anda.

    Nota

    Untuk petunjuk tentang cara menyiapkan instans Azure Key Vault, lihat panduan mulai cepat Azure Key Vault. Anda juga dapat memilih tautan Buat brankas kunci di bawah pilihan Key Vault untuk membuat instans Key Vault baru. Ingatlah bahwa perlindungan penghapusan menyeluruh dan penghapusan sementara harus diaktifkan di instans Key Vault Anda.

  6. Pilih kunci dan versi tertentu menggunakan drop-down Kunci yang dikelola pelanggan (RSA) dan Versi .

    Cuplikan layar memperlihatkan bidang pilih identitas dan kunci selesai.

  7. Jika menggunakan metode input URI , masukkan URI Pengidentifikasi Kunci untuk kunci yang Anda pilih dari Azure Key Vault.

  8. Setelah Anda memasukkan semua informasi untuk cache Anda, pilih Tinjau + buat.

Menambahkan enkripsi CMK ke instans Azure Managed Redis yang sudah ada

  1. Buka Enkripsi di menu Sumber Daya instans cache Anda. Jika CMK sudah disiapkan, Anda akan melihat informasi utama.

  2. Jika Anda belum menyiapkan atau jika Anda ingin mengubah pengaturan CMK, pilih Ubah pengaturan enkripsiEnkripsi cuplikan layar dipilih di menu Sumber Daya untuk cache tingkat Perusahaan.

  3. Pilih Gunakan kunci yang dikelola pelanggan untuk melihat opsi konfigurasi Anda.

  4. Pilih Tambahkan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke sumber daya. Identitas terkelola ini digunakan untuk menyambungkan ke instans Azure Key Vault yang menyimpan kunci yang dikelola pelanggan.

  5. Pilih identitas terkelola yang ditetapkan pengguna pilihan Anda, lalu pilih metode input kunci mana yang akan digunakan.

  6. Jika menggunakan metode Pilih Azure Key Vault dan input kunci , pilih instans Key Vault yang menyimpan kunci yang dikelola pelanggan Anda. Instans ini harus berada di wilayah yang sama dengan cache Anda.

    Nota

    Untuk petunjuk tentang cara menyiapkan instans Azure Key Vault, lihat panduan mulai cepat Azure Key Vault. Anda juga dapat memilih tautan Buat brankas kunci di bawah pilihan Key Vault untuk membuat instans Key Vault baru.

  7. Pilih kunci tertentu menggunakan drop-down Kunci yang dikelola pelanggan (RSA ). Jika ada beberapa versi kunci yang dapat dipilih, gunakan menu drop-down Versi . Cuplikan layar memperlihatkan bidang pilih identitas dan kunci yang diselesaikan untuk Enkripsi.

  8. Jika menggunakan metode input URI , masukkan URI Pengidentifikasi Kunci untuk kunci yang Anda pilih dari Azure Key Vault.

  9. Pilih Simpan

Langkah selanjutnya

  • Last updated on