Mengonfigurasikan kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan yang ada

Azure Storage mengenkripsi semua data di akun penyimpanan ketika tidak aktif. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda dapat mengelola kunci Anda sendiri. Kunci yang dikelola pelanggan harus disimpan di key vault Azure atau Hardware Security Model (HSM) yang dikelola Azure Key Vault.

Artikel ini memperlihatkan cara mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada. Dalam skenario lintas penyewa, akun penyimpanan berada di penyewa yang dikelola oleh ISV, sementara kunci yang digunakan untuk enkripsi akun penyimpanan tersebut berada di key vault di penyewa yang dikelola oleh pelanggan.

Untuk mempelajari cara mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan baru, lihat Mengonfigurasi kunci lintas penyewa yang dikelola pelanggan untuk akun penyimpanan baru.

Catatan

Azure Key Vault dan Azure Key Vault Managed HSM mendukung API dan antarmuka manajemen yang sama untuk konfigurasi kunci yang dikelola pelanggan. Tindakan apa pun yang didukung untuk Azure Key Vault juga didukung untuk Azure Key Vault Managed HSM.

Tentang kunci yang dikelola pelanggan lintas penyewa

Banyak penyedia layanan yang membuat penawaran Software as a Service (SaaS) di Azure ingin menawarkan opsi kepada pelanggan mereka untuk mengelola kunci enkripsi mereka sendiri. Kunci yang dikelola pelanggan memungkinkan penyedia layanan mengenkripsi data pelanggan menggunakan kunci enkripsi yang dikelola oleh pelanggan penyedia layanan dan yang tidak dapat diakses oleh penyedia layanan. Di Azure, pelanggan penyedia layanan dapat menggunakan Azure Key Vault untuk mengelola kunci enkripsi mereka di penyewa dan langganan Microsoft Entra mereka sendiri.

Layanan platform Azure dan sumber daya yang dimiliki oleh penyedia layanan dan yang berada di penyewa penyedia layanan memerlukan akses ke kunci dari penyewa pelanggan untuk melakukan operasi enkripsi/dekripsi.

Gambar di bawah ini menunjukkan enkripsi data tidak aktif dengan identitas federasi dalam alur kerja kunci yang dikelola pelanggan lintas penyewa yang mencakup penyedia layanan dan pelanggannya.

Dalam contoh di atas, ada dua penyewa Microsoft Entra: penyewa penyedia layanan independen (Penyewa 1), dan penyewa pelanggan (Penyewa 2). Penyewa 1 menghosting layanan platform Azure dan Penyewa 2 menghosting brankas kunci pelanggan.

Pendaftaran aplikasi multipenyewa dibuat oleh penyedia layanan di Penyewa 1. Kredensial identitas federasi dibuat pada aplikasi ini menggunakan identitas terkelola yang ditetapkan pengguna. Lalu, ID aplikasi dan nama dari aplikasi tersebut dibagikan kepada pelanggan.

Pengguna dengan izin yang sesuai menginstal aplikasi penyedia layanan di penyewa pelanggan, Penyewa 2. Lalu pengguna memberikan perwakilan layanan yang terkait dengan akses aplikasi yang diinstal ke key vault pelanggan. Pelanggan juga menyimpan kunci enkripsi, atau kunci yang dikelola pelanggan, di key vault. Pelanggan berbagi lokasi kunci (URL kunci) dengan penyedia layanan.

Penyedia layanan kini memiliki:

• ID aplikasi untuk aplikasi multipenyewa yang diinstal di penyewa pelanggan, yang telah diberikan akses ke kunci yang dikelola pelanggan.
• Identitas terkelola yang dikonfigurasi sebagai kredensial pada aplikasi multipenyewa.
• Lokasi kunci di key vault pelanggan.

Dengan ketiga parameter ini, penyedia layanan menyediakan sumber daya Azure di Penyewa 1 yang dapat dienkripsi dengan kunci yang dikelola pelanggan di Penyewa 2.

Mari kita bagi solusi menyeluruh di atas menjadi tiga fase:

1. Penyedia layanan mengonfigurasikan identitas.
2. Pelanggan memberikan akses aplikasi multipenyewa penyedia layanan ke kunci enkripsi di Azure Key Vault.
3. Penyedia layanan mengenkripsi data dalam sumber daya Azure menggunakan CMK.

Operasi dalam Fase 1 akan menjadi penyiapan satu kali untuk sebagian besar aplikasi penyedia layanan. Operasi dalam Fase 2 dan 3 akan diulang untuk setiap pelanggan.

Fase 1 - Penyedia layanan mengonfigurasi aplikasi Microsoft Entra

Langkah	Deskripsi	Peran minimum di Azure RBAC	Peran minimum dalam Microsoft Entra RBAC
1.	Buat pendaftaran aplikasi Microsoft Entra multipenyewa baru atau mulailah dengan pendaftaran aplikasi yang ada. Perhatikan bahwa ID aplikasi (ID klien) pendaftaran aplikasi menggunakan portal Azure, Microsoft Graph API, Azure PowerShell, atau Azure CLI	Tidak	Pengembang Aplikasi
2.	Buat identitas terkelola yang ditetapkan pengguna (untuk digunakan sebagai Kredensial Identitas Gabungan). Portal Azure / Azure CLI / Azure PowerShell/ Template Azure Resource Manager	Kontributor identitas terkelola	Tidak
3.	Konfigurasikan identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas gabungan pada aplikasi, sehingga dapat meniru identitas aplikasi. Referensi Graph API/ portal Azure/ Azure CLI/ Azure PowerShell	Tidak	Pemilik aplikasi
4.	Bagikan nama aplikasi dan ID aplikasi kepada pelanggan, sehingga mereka dapat menginstal dan mengotorisasi aplikasi.	Tidak	Tidak

Pertimbangan untuk penyedia layanan

• Templat Azure Resource Manager (ARM) tidak disarankan untuk membuat aplikasi Microsoft Entra.
• Aplikasi multipenyewa yang sama dapat digunakan untuk mengakses kunci di sejumlah penyewa, seperti Penyewa 2, Penyewa 3, Penyewa 4, dan sebagainya. Di setiap penyewa, instans independen aplikasi dibuat yang memiliki ID aplikasi yang sama, tetapi ID objeknya berbeda. Dengan demikian setiap instans aplikasi ini diotorisasi secara independen. Pertimbangkan cara objek aplikasi yang digunakan untuk fitur ini digunakan guna mempartisi aplikasi Anda di semua pelanggan.
  • Aplikasi dapat memiliki maksimal 20 kredensial identitas federasi, yang mengharuskan penyedia layanan untuk berbagi identitas federasi di antara pelanggannya. Untuk informasi selengkapnya tentang pertimbangan dan pembatasan desain identitas federasi, lihat Mengonfigurasi aplikasi untuk mempercayai penyedia identitas eksternal
• Dalam skenario yang jarang terjadi, penyedia layanan mungkin menggunakan satu objek Aplikasi per pelanggannya, tetapi itu memerlukan biaya pemeliharaan yang signifikan untuk mengelola aplikasi dalam skala besar di semua pelanggan.
• Di penyewa penyedia layanan, tidak dimungkinkan untuk mengotomatiskan Verifikasi Penerbit.

Fase 2 - Pelanggan mengotorisasi akses ke key vault

Langkah	Deskripsi	Peran Azure RBAC dengan hak istimewa paling sedikit	Peran Microsoft Entra dengan hak istimewa paling sedikit
1.	Disarankan: Arahkan pengguna untuk masuk ke aplikasi Anda. Jika pengguna dapat masuk, perwakilan layanan untuk aplikasi Anda ada di penyewa mereka. Gunakan Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell, atau Azure CLI untuk membuat perwakilan layanan. Buat URL persetujuan admin dan berikan persetujuan seluruh penyewa untuk membuat perwakilan layanan menggunakan ID aplikasi.	Tidak	Pengguna dengan izin untuk menginstal aplikasi
2.	Buat Azure Key Vault dan kunci yang digunakan sebagai kunci yang dikelola pelanggan.	Pengguna harus diberi peran Kontributor Key Vault untuk membuat brankas kunci Pengguna harus diberi peran Petugas Kripto Key Vault untuk menambahkan kunci ke key vault	Tidak
3.	Berikan akses identitas aplikasi yang disetujui ke key vault Azure dengan menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault	Untuk menetapkan peran Pengguna Enkripsi Layanan Kripto Key Vault ke aplikasi, Anda harus diberi peran Administrator Akses Pengguna.	Tidak
4.	Salin URL key vault dan nama kunci ke dalam konfigurasi kunci yang dikelola pelanggan dari penawaran SaaS.	Tidak	Tidak ada

Catatan

Untuk mengotorisasi akses ke HSM Terkelola untuk enkripsi menggunakan CMK, lihat contoh untuk Akun Penyimpanan di sini. Untuk informasi selengkapnya tentang mengelola kunci dengan HSM Terkelola, lihat Mengelola HSM Terkelola menggunakan Azure CLI

Pertimbangan untuk pelanggan penyedia layanan

• Di penyewa pelanggan, Penyewa 2, admin dapat mengatur kebijakan untuk memblokir pengguna non-admin agar tidak menginstal aplikasi. Kebijakan ini dapat mencegah pengguna non-admin membuat perwakilan layanan. Jika kebijakan seperti itu dikonfigurasi, maka pengguna dengan izin untuk membuat perwakilan layanan perlu terlibat.
• Akses ke Azure Key Vault dapat diotorisasi menggunakan Azure RBAC atau kebijakan akses. Saat memberikan akses ke key vault, pastikan untuk menggunakan mekanisme aktif untuk key vault Anda.
• Pendaftaran aplikasi Microsoft Entra memiliki ID aplikasi (ID klien). Saat aplikasi diinstal di penyewa Anda, perwakilan layanan dibuat. Perwakilan layanan berbagi ID aplikasi yang sama dengan pendaftaran aplikasi, tetapi membuat ID objeknya sendiri. Saat Anda mengotorisasi aplikasi untuk memiliki akses ke sumber daya, Anda mungkin perlu menggunakan perwakilan Name layanan atau ObjectID properti.

Fase 3 - Penyedia layanan mengenkripsi data dalam sumber daya Azure menggunakan kunci yang dikelola pelanggan

Setelah fase 1 dan 2 selesai, penyedia layanan dapat mengonfigurasi enkripsi pada sumber daya Azure dengan kunci dan brankas kunci di penyewa pelanggan dan sumber daya Azure di penyewa ISV. Penyedia layanan dapat mengonfigurasi kunci yang dikelola pelanggan lintas penyewa dengan alat klien yang didukung oleh sumber daya Azure tersebut, dengan templat ARM, atau dengan REST API.

Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa

Bagian ini menjelaskan cara mengonfigurasi kunci yang dikelola pelanggan (CMK) lintas penyewa dan mengenkripsi data pelanggan. Anda akan mempelajari cara mengenkripsi data pelanggan dalam sumber daya di Tenant1 menggunakan CMK yang disimpan dalam brankas kunci di Tenant2. Anda dapat menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Portal Azure

Masuk ke portal Azure dan ikuti langkah-langkah berikut.

Penyedia layanan mengonfigurasi identitas

Langkah-langkah berikut dilakukan oleh penyedia layanan di penyewa penyedia layanan Tenant1.

Penyedia layanan membuat pendaftaran aplikasi multi-penyewa baru

Anda dapat membuat pendaftaran aplikasi Microsoft Entra multi-penyewa baru atau mulai dengan pendaftaran aplikasi multi-penyewa yang ada. Jika memulai dengan pendaftaran aplikasi yang ada, perhatikan ID aplikasi (ID klien) aplikasi.

Untuk membuat pendaftaran baru:

1. Cari ID Microsoft Entra di kotak pencarian. Temukan dan pilih ekstensi ID Microsoft Entra.

2. Pilih Kelola > Pendaftaran aplikasi dari panel kiri.

3. Pilih + Pendaftaran baru.

4. Berikan nama untuk pendaftaran aplikasi dan pilih Akun di direktori organisasi apa pun (Direktori Microsoft Entra apa pun – Multipenyewa).

5. Pilih Daftarkan.

6. Perhatikan ApplicationId/ClientId aplikasi.

   

Penyedia layanan membuat identitas terkelola yang ditetapkan pengguna

Buat identitas terkelola yang ditetapkan pengguna untuk digunakan sebagai kredensial identitas federasi.

1. Cari Identitas Terkelola di kotak pencarian. Temukan dan pilih ekstensi Identitas Terkelola.

2. Pilih + Buat.

3. Menyediakan grup sumber daya, wilayah, dan nama untuk identitas terkelola.

4. Pilih Tinjau + buat.

5. Pada penyebaran yang berhasil, perhatikan Azure ResourceId dari identitas terkelola yang ditetapkan pengguna, yang tersedia di bagian Properti. Misalnya:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Penyedia layanan mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Konfigurasikan identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas federasi pada aplikasi, sehingga dapat meniru identitas aplikasi.

1. Navigasikan ke ID > Microsoft Entra Pendaftaran aplikasi > aplikasi Anda.

2. Pilih Sertifikat & rahasia.

3. Pilih Kredensial federasi.

   

4. Pilih + Tambahkan kredensial.

5. Di bagian Skenario kredensial federasi, pilih Kunci yang Dikelola Pelanggan.

6. Klik Pilih identitas terkelola. Dari panel, pilih langganan. Di bagian Identitas terkelola, pilih Identitas terkelola yang ditetapkan pengguna. Di kotak Pilih, cari identitas terkelola yang Anda buat sebelumnya, lalu klik Pilih di bagian bawah panel.

   

7. Di bagian Detail kredensial, berikan nama dan deskripsi opsional untuk kredensial, lalu pilih Tambahkan.

   

PowerShell

Untuk menggunakan Azure PowerShell untuk mengonfigurasi penyewa ISV, instal modul Az terbaru. Untuk informasi selengkapnya tentang memasang PowerShell, lihat Pasang Azure PowerShell di Windows dengan PowerShellGet.

• Jika Anda memilih untuk menggunakan Azure PowerShell secara lokal:
  • Instal versi terbaru modul Az PowerShell.
  • Sambungkan ke akun Azure Anda menggunakan cmdlet Connect-AzAccount.
• Jika Anda memilih untuk menggunakan Azure Cloud Shell:
  • Lihat Gambaran Umum Azure Cloud Shell untuk informasi selengkapnya.

Penyedia layanan mengonfigurasi identitas

Langkah-langkah berikut dilakukan oleh penyedia layanan (ISV) di penyewa penyedia layanan, Tenant1.

Penyedia layanan masuk ke Azure

Di Azure PowerShell, masuk ke penyewa ISV dan atur langganan aktif ke langganan ISV.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Penyedia layanan membuat pendaftaran aplikasi multi-penyewa baru

Pilih nama untuk aplikasi terdaftar multi-penyewa Anda di Tenant1, dan buat aplikasi multi-penyewa di portal Azure.

Nama yang Anda berikan untuk aplikasi multi-penyewa digunakan oleh pelanggan untuk mengidentifikasi aplikasi di Tenant2. Perhatikan ID objek aplikasi dan ID aplikasi. Anda akan memerlukan nilai-nilai ini dalam langkah-langkah berikutnya.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Penyedia layanan membuat identitas terkelola yang ditetapkan pengguna

Masuk ke penyewa ISV, lalu buat identitas terkelola yang ditetapkan pengguna untuk digunakan sebagai kredensial identitas federasi. Untuk membuat identitas terkelola baru yang ditetapkan pengguna, Anda harus diberi peran yang menyertakan tindakan Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Penyedia layanan mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Konfigurasikan identitas terkelola yang ditetapkan pengguna sebagai kredensial identitas federasi pada aplikasi, sehingga dapat meniru identitas aplikasi.

Untuk mengonfigurasi kredensial identitas federasi dari PowerShell, pertama-tama instal modul Az.Resources versi 6.3.0 atau yang lebih baru.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Penyedia layanan mengonfigurasi identitas

Langkah-langkah berikut dilakukan oleh penyedia layanan di penyewa penyedia layanan Tenant1.

Penyedia layanan masuk ke Azure

Masuk ke Azure untuk menggunakan Azure CLI.

az login

Penyedia layanan membuat pendaftaran aplikasi multi-penyewa baru

Pilih nama untuk aplikasi multi-penyewa Anda di Tenant1, dan buat aplikasi multi-penyewa di portal Azure.

Nama yang Anda berikan untuk aplikasi multi-penyewa digunakan oleh pelanggan untuk mengidentifikasi aplikasi di Tenant2. Salin ID aplikasi (atau ID klien) aplikasi, ID objek aplikasi, dan juga ID penyewa untuk aplikasi. Anda akan memerlukan nilai-nilai ini dalam langkah-langkah berikut.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Penyedia layanan membuat identitas terkelola yang ditetapkan pengguna

Masuk ke penyewa ISV, lalu buat identitas terkelola yang ditetapkan pengguna untuk digunakan sebagai kredensial identitas federasi. Untuk membuat identitas terkelola baru yang ditetapkan pengguna, Anda harus diberi peran yang menyertakan tindakan Microsoft.ManagedIdentity/userAssignedIdentities/write .

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Penyedia layanan mengonfigurasi identitas terkelola yang ditetapkan pengguna sebagai kredensial federasi pada aplikasi

Jalankan metode az ad app federated-credential create untuk mengonfigurasi kredensial identitas federasi pada aplikasi dan membuat hubungan kepercayaan dengan penyedia identitas eksternal.

Gunakan api://AzureADTokenExchange sebagai nilai audience dalam kredensial identitas federasi. Lihat referensi API untuk detail selengkapnya.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Penyedia layanan berbagi ID aplikasi dengan pelanggan

Temukan ID aplikasi (ID klien) aplikasi multi-penyewa dan bagikan dengan pelanggan.

Pelanggan memberikan akses aplikasi penyedia layanan ke kunci di brankas kunci

Langkah-langkah berikut dilakukan oleh pelanggan di penyewa pelanggan Tenant2. Pelanggan dapat menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Pengguna yang menjalankan langkah-langkah harus menjadi administrator dengan peran istimewa seperti Administrator Aplikasi, Administrator Aplikasi Cloud, atau Administrator Global.

Portal

Masuk ke portal Azure dan ikuti langkah-langkah berikut.

Pelanggan menginstal aplikasi penyedia layanan di penyewa pelanggan

Untuk menginstal aplikasi terdaftar penyedia layanan di penyewa pelanggan, buat perwakilan layanan dengan ID aplikasi dari aplikasi terdaftar. Anda dapat membuat perwakilan layanan dengan salah satu cara berikut:

• Gunakan Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell, atau Azure CLI untuk membuat perwakilan layanan secara manual.
• Buat URL persetujuan admin dan berikan persetujuan seluruh penyewa untuk membuat perwakilan layanan. Anda harus memberikan AppId Anda kepada mereka.

Pelanggan membuat brankas kunci

Untuk membuat brankas kunci, akun pengguna harus diberi peran Kontributor Key Vault atau peran lain yang mengizinkan pembuatan brankas kunci.

1. Dari menu portal Azure, atau dari halaman Beranda, pilih + Buat sumber daya. Di kotak Pencarian, masukkan Brankas kunci. Dari daftar hasil, pilih Brankas kunci. Pada halaman Brankas kunci, pilih Buat.

2. Pada tab Dasar-dasar, pilih langganan. Di bagian Grup sumber daya, pilih Buat baru dan masukkan nama grup sumber daya.

3. Masukkan nama unik untuk brankas kunci.

4. Pilih wilayah dan tingkat harga.

5. Aktifkan perlindungan penghapusan menyeluruh untuk brankas kunci baru.

6. Pada tab Kebijakan akses, pilih Kontrol akses berbasis peran Azure untuk Model izin.

7. Pilih Ulas + buat, lalu pilih Buat.

   

Perhatikan nama brankas kunci dan Aplikasi URI yang mengakses brankas kunci Anda harus menggunakan URI ini.

Untuk informasi selengkapnya, lihat Mulai Cepat - Membuat Azure Key Vault dengan portal Azure.

Pelanggan menetapkan peran Petugas Kripto Key Vault ke akun pengguna

Langkah ini memastikan bahwa Anda dapat membuat kunci enkripsi.

1. Buka brankas kunci Anda dan pilih Access Control (IAM) dari panel kiri.
2. Di bagian Berikan akses ke sumber daya ini, pilih Tambahkan penetapan peran.
3. Cari dan pilih Petugas Kripto Key Vault.
4. Di bagian Anggota, pilih Pengguna, grup, atau perwakilan layanan.
5. Pilih Anggota dan cari akun pengguna Anda.
6. Pilih Tinjau + Tetapkan.

Pelanggan membuat kunci enkripsi

Untuk membuat kunci enkripsi, akun pengguna harus diberi peran Petugas Kripto Key Vault atau peran lain yang mengizinkan pembuatan kunci.

1. Pada halaman properti Key Vault, pilih Kunci.
2. Pilih Buat/impor.
3. Pada layar Buat kunci, tentukan nama untuk kunci. Biarkan nilai lainnya mengikuti default.
4. Pilih Buat.
5. Salin URI kunci.

Pelanggan memberikan akses aplikasi penyedia layanan ke brankas kunci

Tetapkan peran Azure RBAC Pengguna Enkripsi Layanan Kripto Key Vault ke aplikasi terdaftar penyedia layanan sehingga dapat mengakses brankas kunci.

1. Buka brankas kunci Anda dan pilih Access Control (IAM) dari panel kiri.
2. Di bagian Berikan akses ke sumber daya ini, pilih Tambahkan penetapan peran.
3. Cari dan pilih Pengguna Enkripsi Layanan Kripto Key Vault.
4. Di bagian Anggota, pilih Pengguna, grup, atau perwakilan layanan.
5. Pilih Anggota dan cari nama aplikasi di aplikasi yang Anda instal dari penyedia layanan.
6. Pilih Tinjau + Tetapkan.

Sekarang Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan kunci dan URI brankas kunci.

PowerShell

Untuk menggunakan Azure PowerShell untuk mengonfigurasi penyewa klien, instal modul Az terbaru. Untuk informasi selengkapnya tentang memasang PowerShell, lihat Pasang Azure PowerShell di Windows dengan PowerShellGet.

• Jika Anda memilih untuk menggunakan Azure PowerShell secara lokal:
  • Instal versi terbaru modul Az PowerShell.
  • Sambungkan ke akun Azure Anda menggunakan cmdlet Connect-AzAccount.
• Jika Anda memilih untuk menggunakan Azure Cloud Shell:
  • Lihat Gambaran Umum Azure Cloud Shell untuk informasi selengkapnya.

Pelanggan masuk ke Azure

Di Azure PowerShell, masuk ke penyewa pelanggan dan atur langganan aktif ke langganan pelanggan.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Pelanggan menginstal aplikasi penyedia layanan di penyewa pelanggan

Setelah Anda menerima ID aplikasi aplikasi multi-penyewa penyedia layanan, instal aplikasi di penyewa Anda, Tenant2, dengan membuat perwakilan layanan.

Jalankan perintah berikut di penyewa tempat Anda ingin membuat brankas kunci.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Pelanggan membuat brankas kunci

Untuk membuat brankas kunci, akun pelanggan harus diberi peran Kontributor Key Vault atau peran lain yang mengizinkan pembuatan brankas kunci.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Pelanggan menetapkan peran Petugas Kripto Key Vault ke akun pengguna

Tetapkan peran Petugas Kripto Key Vault ke akun pengguna. Langkah ini memastikan bahwa pengguna dapat membuat brankas kunci dan kunci enkripsi. Contoh di bawah ini menetapkan peran ke pengguna yang masuk saat ini.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Pelanggan membuat kunci enkripsi

Untuk membuat kunci enkripsi, akun pengguna harus diberi peran Petugas Kripto Key Vault atau peran lain yang mengizinkan pembuatan kunci.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Pelanggan memberikan akses aplikasi penyedia layanan ke brankas kunci

Tetapkan peran Azure RBAC Key Vault Crypto Service Encryption User ke aplikasi terdaftar penyedia layanan, melalui perwakilan layanan yang Anda buat sebelumnya, sehingga dapat mengakses brankas kunci.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Sekarang Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan kunci dan URI brankas kunci.

Azure CLI

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.

Pelanggan masuk ke Azure

Masuk ke Azure untuk menggunakan Azure CLI.

az login

Pelanggan menginstal aplikasi penyedia layanan di penyewa pelanggan

Setelah Anda menerima ID aplikasi dari aplikasi multi penyewa penyedia layanan, instal aplikasi di penyewa Tenant2 menggunakan perintah berikut. Dengan menginstal aplikasi, Anda akan membuat perwakilan layanan di penyewa.

Jalankan perintah berikut di penyewa tempat Anda ingin membuat brankas kunci.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Pelanggan membuat brankas kunci

Untuk membuat brankas kunci, akun pelanggan harus diberi peran Kontributor Key Vault atau peran lain yang mengizinkan pembuatan brankas kunci.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Pelanggan menetapkan peran Petugas Kripto Key Vault ke akun pengguna

Langkah ini memastikan bahwa Anda dapat membuat brankas kunci dan kunci enkripsi.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Pelanggan membuat kunci enkripsi

Untuk membuat kunci enkripsi, akun pengguna harus diberi peran Petugas Kripto Key Vault atau peran lain yang mengizinkan pembuatan kunci.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Pelanggan memberikan akses aplikasi penyedia layanan ke brankas kunci

Tetapkan peran Azure RBAC Key Vault Crypto Service Encryption User ke aplikasi terdaftar penyedia layanan, melalui perwakilan layanan yang Anda buat sebelumnya, sehingga aplikasi terdaftar dapat mengakses brankas kunci.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Sekarang Anda dapat mengonfigurasi kunci yang dikelola pelanggan dengan kunci dan URI brankas kunci.

Mengonfigurasi kunci yang dikelola pelanggan untuk akun yang sudah ada

Hingga saat ini, Anda telah mengonfigurasikan aplikasi multi-penyewa pada penyewa ISV, menginstal aplikasi di penyewa pelanggan, dan mengonfigurasikan kunci dan key vault pada penyewa pelanggan. Selanjutnya Anda dapat mengonfigurasi kunci yang dikelola pelanggan pada akun penyimpanan yang ada dengan kunci dari penyewa pelanggan.

Contoh dalam artikel ini menunjukkan cara mengonfigurasi kunci yang dikelola pelanggan pada akun penyimpanan yang ada dengan menggunakan identitas terkelola yang ditetapkan pengguna untuk mengotorisasi akses ke brankas kunci. Anda juga dapat menggunakan identitas terkelola yang ditetapkan sistem untuk mengonfigurasi kunci yang dikelola pelanggan pada akun penyimpanan yang ada. Dalam kasus lain, identitas terkelola harus memiliki izin yang sesuai untuk mengakses brankas kunci. Untuk informasi selengkapnya, lihat Melakukan autentikasi ke Azure Key Vault.

Saat mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada, Anda dapat memilih untuk memperbarui secara otomatis versi kunci yang digunakan untuk enkripsi Azure Storage setiap kali versi baru tersedia di brankas kunci terkait. Untuk melakukannya, hilangkan versi kunci dari URI kunci. Secara bergantian, Anda dapat secara eksplisit menentukan versi kunci yang akan digunakan untuk enkripsi hingga versi kunci diperbarui secara manual. Menyertakan versi kunci pada URI kunci akan mengonfigurasi kunci yang dikelola pelanggan untuk pembaruan manual versi kunci.

Penting

Untuk memutar kunci, buat versi baru kunci di Azure Key Vault. Azure Storage tidak menangani rotasi kunci, jadi Anda harus mengelola rotasi kunci di brankas kunci. Anda dapat mengonfigurasi rotasi otomatis kunci di Azure Key Vault atau memutar kunci Anda secara manual.

Azure Storage memeriksa brankas kunci untuk versi kunci baru hanya sekali setiap hari. Saat Anda memutar kunci di Azure Key Vault, pastikan untuk menunggu 24 jam sebelum menonaktifkan versi yang lebih lama.

Portal Azure

Guna mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan yang ada di portal Azure, ikuti langkah-langkah berikut:

1. Navigasi ke akun penyimpanan Anda.

2. Pada Bagian Keamanan + jaringan, pilih Enkripsi. Secara default, manajemen kunci diatur ke Kunci yang dikelola Microsoft, seperti yang ditunjukkan pada gambar berikut.

   

3. Pilih opsi Kunci yang dikelola pelanggan.

4. Pilih opsi Pilih dari Key Vault.

5. Pilih Masukkan URI kunci, dan tentukan URI kunci. Hilangkan versi kunci dari URI jika Anda ingin Azure Storage otomatis memeriksa versi kunci baru dan memperbaruinya.

6. Tentukan langganan yang berisi brankas kunci dan kunci.

7. Di bidang Jenis identitas, pilih Ditetapkan pengguna, lalu tentukan identitas terkelola dengan kredensial identitas federasi yang Anda buat sebelumnya.

8. Perluas bagian Lanjutan, dan pilih aplikasi terdaftar multi-penyewa yang sebelumnya Anda buat di penyewa ISV.

   

9. Simpan perubahan.

Setelah Anda menentukan kunci dari brankas kunci di penyewa pelanggan, portal Azure menunjukkan bahwa kunci yang dikelola pelanggan dikonfigurasi dengan kunci tersebut. Portal Azure juga menunjukkan bahwa pembaruan otomatis versi kunci diaktifkan, dan menampilkan versi kunci yang saat ini digunakan untuk enkripsi. Portal juga menampilkan jenis identitas terkelola yang digunakan untuk mengotorisasi akses ke brankas kunci, ID prinsipal untuk identitas terkelola, dan ID aplikasi dari aplikasi multi penyewa.

PowerShell

Untuk mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan baru dengan PowerShell, pertama-tama instal modul Az.Storage PowerShell, versi 5.1.0 atau yang lebih baru. Modul ini diinstal dengan modul Az PowerShell, versi 9.1.0 atau yang lebih baru.

Selanjutnya, panggil Set-AzStorageAccount, yang menyediakan ID sumber daya untuk identitas terkelola yang ditetapkan pengguna yang Anda konfigurasi sebelumnya dalam langganan ISV, dan ID aplikasi (klien) untuk aplikasi multi-penyewa yang Anda konfigurasi sebelumnya dalam langganan ISV. Berikan URI brankas kunci dan nama kunci dari brankas kunci pelanggan.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

$accountName = "<storage-account>"
$kvUri = "<key-vault-uri>"
$keyName = "<key-name>"
$multiTenantAppId = "<multi-tenant-app-id>"

Set-AzStorageAccount -ResourceGroupName $isvRgName `
    -Name $accountName `
    -KeyvaultEncryption `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

Azure CLI

Untuk mengonfigurasi kunci lintas penyewa yang dikelola pelanggan untuk akun penyimpanan yang ada dengan Azure CLI, pertama-tama instal Azure CLI, versi 2.42.0 atau yang lebih baru. Untuk informasi selengkapnya tentang menginstal Azure CLI, lihat Cara menginstal Azure CLI.

Selanjutnya, panggil pembaruan akun penyimpanan az, berikan ID sumber daya untuk identitas terkelola yang ditetapkan pengguna yang Anda konfigurasikan sebelumnya dalam langganan ISV, dan ID aplikasi (klien) untuk aplikasi multi-penyewa yang Anda konfigurasi sebelumnya dalam langganan ISV. Berikan URI brankas kunci dan nama kunci dari brankas kunci pelanggan.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $userIdentityName \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account update --name $accountName \
    --resource-group $isvRgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

Mengubah kunci

Anda dapat mengubah kunci yang Anda gunakan untuk enkripsi Azure Storage kapan saja.

Catatan

Saat Anda mengubah kunci atau versi kunci, perlindungan kunci enkripsi akar berubah, tetapi data di akun Azure Storage Anda tetap dienkripsi setiap saat. Tidak ada tindakan tambahan yang diperlukan di bagian Anda untuk memastikan bahwa data Anda dilindungi. Mengubah kunci atau memutar versi kunci tidak memengaruhi performa. Tidak ada waktu henti yang terkait dengan mengubah kunci atau memutar versi kunci.

Portal Azure

Untuk mengubah kunci dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Navigasi ke akun penyimpanan Anda dan tampilkan pengaturan Enkripsi.
2. Pilih brankas kunci dan pilih kunci baru.
3. Simpan perubahan.

PowerShell

Untuk mengubah kunci dengan PowerShell, panggil Set-AzStorageAccount kemudian tetapkan nama dan kunci versi baru. Jika kunci baru berada di brankas kunci yang berbeda, maka Anda juga harus memperbarui URI brankas kunci.

Azure CLI

Untuk mengubah kunci dengan Azure CLI, panggil pembaruan akun penyimpanan az kemudikan tetapkan nama dan kunci versi baru. Jika kunci baru berada di brankas kunci yang berbeda, maka Anda juga harus memperbarui URI brankas kunci.

Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan

Untuk mencabut akses untuk sementara ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan, nonaktifkan kunci yang saat ini digunakan di brankas kunci. Tidak ada dampak performa atau waktu henti yang terkait dengan menonaktifkan dan mengaktifkan kembali kunci.

Setelah kunci dinonaktifkan, klien tidak dapat memanggil operasi yang membaca dari atau menulis ke blob atau metadatanya. Untuk informasi tentang operasi mana yang akan gagal, lihat Mencabut akses ke akun penyimpanan yang menggunakan kunci yang dikelola pelanggan.

Perhatian

Saat Anda menonaktifkan kunci di brankas kunci, data di akun Azure Storage Anda tetap dienkripsi, tetapi menjadi tidak dapat diakses sampai Anda mengaktifkan kembali kunci.

Portal Azure

Untuk menonaktifkan kunci yang dikelola pelanggan dengan portal Azure, ikuti langkah-langkah berikut:

1. Navigasi ke brankas kunci yang berisi kunci.

2. Di bawah Objek, pilih Kunci.

3. Klik kanan kunci dan pilih Nonaktifkan.

   

PowerShell

Untuk mencabut kunci yang dikelola pelanggan dengan PowerShell, panggil perintah Update-AzKeyVaultKey , seperti yang ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri untuk menentukan variabel, atau gunakan variabel yang ditentukan dalam contoh sebelumnya.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI

Untuk mencabut kunci yang dikelola pelanggan dengan Azure CLI, panggil perintah az keyvault key set-attributes , seperti yang ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri untuk menentukan variabel, atau gunakan variabel yang ditentukan dalam contoh sebelumnya.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Beralih kembali ke kunci yang dikelola Microsoft

Anda dapat beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft kapan saja, menggunakan portal Azure, PowerShell, atau Azure CLI.

Portal Azure

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft di portal Azure, ikuti langkah-langkah berikut:

1. Navigasi ke akun penyimpanan Anda.

2. Di bawah Keamanan + jaringan, pilih Enkripsi.

3. Ubah jenis Enkripsi ke kunci yang dikelola Microsoft.

   

PowerShell

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft dengan PowerShell, panggil Set-AzStorageAccount dengan -StorageEncryption opsi , seperti yang ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI

Untuk beralih dari kunci yang dikelola pelanggan kembali ke kunci yang dikelola Microsoft dengan Azure CLI, panggil pembaruan akun penyimpanan az dan atur ke Microsoft.Storage, seperti yang --encryption-key-source parameter ditunjukkan dalam contoh berikut. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Baca juga

• Kunci yang dikelola pelanggan untuk enkripsi Azure Storage
• Mengonfigurasi kunci yang dikelola pelanggan lintas penyewa untuk akun penyimpanan baru