Condividi tramite


Usare le chiavi di crittografia gestite dal cliente per Azure Cache HPC

È possibile usare Azure Key Vault per controllare la proprietà delle chiavi usate per crittografare i dati in Azure Cache HPC. Questo articolo illustra come usare le chiavi gestite dal cliente per la crittografia dei dati della cache.

Nota

Tutti i dati archiviati in Azure, inclusi i dischi della cache, vengono crittografati inattivi usando le chiavi gestite da Microsoft per impostazione predefinita. È sufficiente seguire la procedura descritta in questo articolo se si vogliono gestire le chiavi usate per crittografare i dati.

Azure Cache HPC è protetto anche dalla crittografia dell'host della macchina virtuale nei dischi gestiti che contengono i dati memorizzati nella cache, anche se si aggiunge una chiave cliente per i dischi della cache. L'aggiunta di una chiave gestita dal cliente per la doppia crittografia offre un livello di sicurezza aggiuntivo per i clienti con esigenze di sicurezza elevate. Per informazioni dettagliate, vedere Crittografia lato server dell'archiviazione su disco di Azure.

Esistono tre passaggi per abilitare la crittografia della chiave gestita dal cliente per Azure Cache HPC:

  1. Configurare un insieme di credenziali delle chiavi di Azure per archiviare le chiavi.

  2. Quando si crea l'Cache HPC di Azure, scegliere la crittografia della chiave gestita dal cliente e specificare l'insieme di credenziali delle chiavi e la chiave da usare. Facoltativamente, specificare un'identità gestita per la cache da usare per accedere all'insieme di credenziali delle chiavi.

    A seconda delle scelte effettuate in questo passaggio, è possibile ignorare il passaggio 3. Per informazioni dettagliate, vedere Scegliere un'opzione di identità gestita per la cache .

  3. Se si usa un'identità gestita assegnata dal sistema o un'identità assegnata dall'utente non configurata con l'accesso all'insieme di credenziali delle chiavi: passare alla cache appena creata e autorizzarla ad accedere all'insieme di credenziali delle chiavi.

    Se l'identità gestita non ha già accesso ad Azure Key Vault, la crittografia non viene configurata completamente fino a quando non viene autorizzata dalla cache appena creata (passaggio 3).

    Se si usa un'identità gestita dal sistema, l'identità viene creata al momento della creazione della cache. È necessario passare l'identità della cache all'insieme di credenziali delle chiavi per renderla un utente autorizzato dopo la creazione della cache.

    È possibile ignorare questo passaggio se si assegna un'identità gestita dall'utente che ha già accesso all'insieme di credenziali delle chiavi.

Dopo aver creato la cache, non è possibile passare da chiavi gestite dal cliente a chiavi gestite da Microsoft. Tuttavia, se la cache usa chiavi gestite dal cliente, è possibile modificare la chiave di crittografia, la versione della chiave e l'insieme di credenziali delle chiavi in base alle esigenze.

Comprendere i requisiti dell'insieme di credenziali delle chiavi e delle chiavi

L'insieme di credenziali delle chiavi e la chiave devono soddisfare questi requisiti per l'uso con Azure Cache HPC.

Proprietà dell'insieme di credenziali delle chiavi:

  • Sottoscrizione : usare la stessa sottoscrizione usata per la cache.
  • Area: l'insieme di credenziali delle chiavi deve trovarsi nella stessa area del Cache HPC di Azure.
  • Piano tariffario: il livello Standard è sufficiente per l'uso con Azure Cache HPC.
  • Eliminazione temporanea: Azure Cache HPC abiliterà l'eliminazione temporanea se non è già configurata nell'insieme di credenziali delle chiavi.
  • Protezione ripulitura : è necessario abilitare la protezione ripulitura.
  • Criteri di accesso: le impostazioni predefinite sono sufficienti.
  • Connettività di rete: Azure Cache HPC deve essere in grado di accedere all'insieme di credenziali delle chiavi, indipendentemente dalle impostazioni dell'endpoint scelte.

Proprietà chiave:

  • Tipo di chiave - RSA
  • Dimensioni chiave RSA - 2048
  • Abilitato - Sì

Autorizzazioni di accesso all'insieme di credenziali delle chiavi:

Scegliere un'opzione di identità gestita per la cache

Il Cache HPC usa le credenziali di identità gestite per connettersi all'insieme di credenziali delle chiavi.

Azure Cache HPC può usare due tipi di identità gestite:

  • Identità gestita assegnata dal sistema: identità univoca creata automaticamente per la cache. Questa identità gestita esiste solo mentre esiste il Cache HPC e non può essere gestita o modificata direttamente.

  • Identità gestita assegnata dall'utente : credenziali di identità autonome gestite separatamente dalla cache. È possibile configurare un'identità gestita assegnata dall'utente con esattamente l'accesso desiderato e usarla in più Cache HPC.

Se non si assegna un'identità gestita alla cache quando viene creata, Azure crea automaticamente un'identità gestita assegnata dal sistema per la cache.

Con un'identità gestita assegnata dall'utente, è possibile fornire un'identità che ha già accesso all'insieme di credenziali delle chiavi. Ad esempio, è stato aggiunto a un criterio di accesso dell'insieme di credenziali delle chiavi o ha un ruolo controllo degli accessi in base al ruolo di Azure che consente l'accesso. Se si usa un'identità assegnata dal sistema o si fornisce un'identità gestita che non ha accesso, sarà necessario richiedere l'accesso dalla cache dopo la creazione. Questo è un passaggio manuale, descritto di seguito nel passaggio 3.

1. Configurare Azure Key Vault

È possibile configurare un insieme di credenziali delle chiavi e una chiave prima di creare la cache o eseguirla come parte della creazione della cache. Assicurarsi che queste risorse soddisfino i requisiti descritti in precedenza.

Al momento della creazione della cache è necessario specificare un insieme di credenziali, una chiave e una versione della chiave da usare per la crittografia della cache.

Per informazioni dettagliate, vedere la documentazione di Azure Key Vault.

Nota

Azure Key Vault deve usare la stessa sottoscrizione e trovarsi nella stessa area del Cache HPC di Azure. Assicurarsi che l'area scelta supporti entrambi i prodotti.

2. Creare la cache con chiavi gestite dal cliente abilitate

È necessario specificare l'origine della chiave di crittografia quando si crea il Cache HPC di Azure. Seguire le istruzioni in Creare un Cache HPC di Azure e specificare l'insieme di credenziali delle chiavi e la chiave nella pagina Chiavi di crittografia del disco. È possibile creare un nuovo insieme di credenziali delle chiavi e una nuova chiave durante la creazione della cache.

Suggerimento

Se la pagina Chiavi di crittografia del disco non viene visualizzata, assicurarsi che la cache si trova in una delle aree supportate.

Screenshot della schermata delle chiavi di crittografia del disco completate, parte dell'interfaccia di creazione della cache nel portale.

L'utente che crea la cache deve disporre di privilegi uguali al ruolo collaboratore di Key Vault o superiore.

  1. Fare clic sul pulsante per abilitare le chiavi gestite privatamente. Dopo aver modificato questa impostazione, vengono visualizzate le impostazioni dell'insieme di credenziali delle chiavi.

  2. Fare clic su Seleziona un insieme di credenziali delle chiavi per aprire la pagina di selezione della chiave. Scegliere o creare l'insieme di credenziali delle chiavi e la chiave per crittografare i dati nei dischi della cache.

    Se l'insieme di credenziali delle chiavi di Azure non viene visualizzato nell'elenco, verificare questi requisiti:

    • La cache si trova nella stessa sottoscrizione dell'insieme di credenziali delle chiavi?
    • La cache si trova nella stessa area dell'insieme di credenziali delle chiavi?
    • Esiste una connettività di rete tra il portale di Azure e l'insieme di credenziali delle chiavi?
  3. Dopo aver selezionato un insieme di credenziali, selezionare la singola chiave nelle opzioni disponibili o creare una nuova chiave. La chiave deve essere una chiave RSA a 2048 bit.

  4. Specificare la versione per la chiave selezionata. Altre informazioni sul controllo delle versioni sono disponibili nella documentazione di Azure Key Vault.

Queste impostazioni sono facoltative:

  • Selezionare la casella Usa sempre la versione della chiave corrente se si vuole usare la rotazione automatica delle chiavi.

  • Se si vuole usare un'identità gestita specifica per questa cache, selezionare Utente assegnato nella sezione Identità gestite e selezionare l'identità da usare. Per informazioni, leggere la documentazione sulle identità gestite.

    Suggerimento

    Un'identità gestita assegnata dall'utente può semplificare la creazione della cache se si passa un'identità già configurata per accedere all'insieme di credenziali delle chiavi. Con un'identità gestita assegnata dal sistema, è necessario eseguire un passaggio aggiuntivo dopo la creazione della cache per autorizzare l'identità assegnata dal sistema appena creata dalla cache per l'uso dell'insieme di credenziali delle chiavi.

    Nota

    Non è possibile modificare l'identità assegnata dopo aver creato la cache.

Continuare con le altre specifiche e creare la cache come descritto in Creare un'Cache HPC di Azure.

3. Autorizzare la crittografia di Azure Key Vault dalla cache (se necessario)

Nota

Questo passaggio non è obbligatorio se al momento della creazione della cache è stata specificata un'identità gestita assegnata dall'utente con accesso all'insieme di credenziali delle chiavi.

Dopo alcuni minuti, il nuovo Cache HPC di Azure viene visualizzato nel portale di Azure. Passare alla pagina Panoramica per autorizzarlo ad accedere ad Azure Key Vault e abilitare la crittografia della chiave gestita dal cliente.

Suggerimento

La cache potrebbe essere visualizzata nell'elenco delle risorse prima che i messaggi "distribuzione in corso" vengano cancellati. Controllare l'elenco delle risorse dopo un minuto o due invece di attendere una notifica di esito positivo.

È necessario autorizzare la crittografia entro 90 minuti dalla creazione della cache. Se questo passaggio non viene completato, si verifica il timeout e l'esito negativo della cache. Una cache non riuscita deve essere ricreata, non può essere corretta.

La cache mostra lo stato In attesa della chiave. Fare clic sul pulsante Abilita crittografia nella parte superiore della pagina per autorizzare la cache ad accedere all'insieme di credenziali delle chiavi specificato.

Screenshot della pagina di panoramica della cache nel portale, con evidenziazione nel pulsante Abilita crittografia (riga superiore) e Stato: In attesa della chiave.

Fare clic su Abilita crittografia e quindi sul pulsante Sì per autorizzare la cache a usare la chiave di crittografia. Questa azione abilita anche l'eliminazione temporanea e la protezione dall'eliminazione (se non è già abilitata) nell'insieme di credenziali delle chiavi.

Screenshot della pagina di panoramica della cache nel portale con un messaggio banner nella parte superiore che chiede all'utente di abilitare la crittografia facendo clic su Sì.

Dopo che la cache richiede l'accesso all'insieme di credenziali delle chiavi, può creare e crittografare i dischi che archiviano i dati memorizzati nella cache.

Dopo aver autorizzato la crittografia, Azure Cache HPC passa attraverso diversi minuti di installazione per creare i dischi crittografati e l'infrastruttura correlata.

Aggiornare le impostazioni delle chiavi

È possibile modificare l'insieme di credenziali delle chiavi, la chiave o la versione della chiave per la cache dal portale di Azure. Fare clic sul collegamento Impostazioni crittografia della cache per aprire la pagina Impostazioni chiave cliente.

Non è possibile modificare una cache tra chiavi gestite dal cliente e chiavi gestite dal sistema.

Screenshot della pagina

Fare clic sul collegamento Cambia chiave , quindi fare clic su Modifica insieme di credenziali delle chiavi, chiave o versione per aprire il selettore di chiave.

Screenshot della pagina

Gli insiemi di credenziali delle chiavi nella stessa sottoscrizione e nella stessa area di questa cache vengono visualizzati nell'elenco.

Dopo aver scelto i nuovi valori della chiave di crittografia, fare clic su Seleziona. Viene visualizzata una pagina di conferma con i nuovi valori. Fare clic su Salva per finalizzare la selezione.

Screenshot della pagina di conferma con il pulsante Salva in alto a sinistra.

Altre informazioni sulle chiavi gestite dal cliente in Azure

Questi articoli illustrano altre informazioni sull'uso di Azure Key Vault e delle chiavi gestite dal cliente per crittografare i dati in Azure:

Passaggi successivi

Dopo aver creato la crittografia basata su Key Vault Cache HPC e autorizzata, continuare a configurare la cache concedendole l'accesso alle origini dati.