Configurare le chiavi gestite dal cliente per la crittografia del volume di Azure NetApp Files

Le chiavi gestite dal cliente per la crittografia del volume di Azure NetApp Files consentono di usare chiavi personalizzate anziché una chiave gestita dalla piattaforma durante la creazione di un nuovo volume. Con le chiavi gestite dal cliente, è possibile gestire completamente la relazione tra il ciclo di vita di una chiave, le autorizzazioni di utilizzo delle chiavi e le operazioni di controllo sulle chiavi.

Il diagramma seguente illustra il funzionamento delle chiavi gestite dal cliente con Azure NetApp Files:

1. Azure NetApp Files concede le autorizzazioni per le chiavi di crittografia a un'identità gestita. L'identità gestita è un'identità gestita assegnata dall'utente creata e gestita o un'identità gestita assegnata dal sistema associata all'account NetApp.

2. La crittografia viene configurata con una chiave gestita dal cliente per l'account NetApp.

3. Usare l'identità gestita a cui l'amministratore di Azure Key Vault ha concesso le autorizzazioni nel passaggio 1 per autenticare l'accesso ad Azure Key Vault tramite Microsoft Entra ID.

4. Azure NetApp Files esegue il wrapping della chiave di crittografia dell'account con la chiave gestita dal cliente in Azure Key Vault.

   Le chiavi gestite dal cliente non hanno alcun impatto sulle prestazioni di Azure NetApp Files. L'unica differenza rispetto alle chiavi gestite dalla piattaforma è la modalità di gestione della chiave.

5. Per le operazioni di lettura/scrittura, Azure NetApp Files invia richieste ad Azure Key Vault per annullare il wrapping della chiave di crittografia dell'account per eseguire operazioni di crittografia e decrittografia.

Considerazioni

• Le chiavi gestite dal cliente possono essere configurate solo in nuovi volumi. Non è possibile eseguire la migrazione dei volumi esistenti alla crittografia della chiave gestita dal cliente.
• Per creare un volume usando chiavi gestite dal cliente, è necessario selezionare le funzionalità di rete Standard . Non è possibile usare volumi di chiavi gestiti dal cliente con volumi configurati usando le funzionalità di rete di base. Seguire le istruzioni in Per impostare l'opzione Funzionalità di rete nella pagina di creazione del volume.
• Per una maggiore sicurezza, è possibile selezionare l'opzione Disabilita accesso pubblico nelle impostazioni di rete dell'insieme di credenziali delle chiavi. Quando si seleziona questa opzione, è anche necessario selezionare Consenti alle servizi Microsoft attendibili di ignorare questo firewall per consentire al servizio Azure NetApp Files di accedere alla chiave di crittografia.
• Le chiavi gestite dal cliente supportano il rinnovo automatico del certificato dell'identità del sistema gestito . Se il certificato è valido, non è necessario aggiornarlo manualmente.
• L'applicazione di gruppi di sicurezza di rete di Azure nella subnet di collegamento privato ad Azure Key Vault non è supportata per le chiavi gestite dal cliente di Azure NetApp Files. I gruppi di sicurezza di rete non influiscono sulla connettività a collegamento privato a meno che non Private endpoint network policy sia abilitato nella subnet. È necessario mantenere disabilitata questa opzione.
• Se Azure NetApp Files non riesce a creare un volume di chiavi gestito dal cliente, vengono visualizzati messaggi di errore. Per altre informazioni, vedere la sezione Messaggi di errore e risoluzione dei problemi .
• Se Azure Key Vault diventa inaccessibile, Azure NetApp Files perde l'accesso alle chiavi di crittografia e la possibilità di leggere o scrivere dati in volumi abilitati con chiavi gestite dal cliente. In questo caso, creare un ticket di supporto per avere un accesso manualmente ripristinato per i volumi interessati.
• Azure NetApp Files supporta chiavi gestite dal cliente nei volumi di replica di origine e dati con la replica tra aree o le relazioni di replica tra zone.

Aree geografiche supportate

Le chiavi gestite dal cliente di Azure NetApp Files sono supportate per le aree seguenti:

• Australia centrale
• Australia centrale 2
• Australia orientale
• Australia sud-orientale
• Brasile meridionale
• Brasile meridionale
• Canada centrale
• Canada orientale
• India centrale
• Stati Uniti centrali
• Asia orientale
• Stati Uniti orientali
• Stati Uniti orientali 2
• Francia centrale
• Germania settentrionale
• Germania centro-occidentale
• Israele centrale
• Giappone orientale
• Giappone occidentale
• Corea centrale
• Corea meridionale
• Stati Uniti centro-settentrionali
• Europa settentrionale
• Norvegia orientale
• Norvegia occidentale
• Qatar centrale
• Sudafrica settentrionale
• Stati Uniti centro-meridionali
• India meridionale
• Asia sud-orientale
• Svezia centrale
• Svizzera settentrionale
• Svizzera occidentale
• Emirati Arabi Uniti centrali
• Emirati Arabi Uniti settentrionali
• Regno Unito meridionale
• Regno Unito occidentale
• Europa occidentale
• Stati Uniti occidentali
• West US 2
• Stati Uniti occidentali 3

Requisiti

Prima di creare il primo volume di chiavi gestito dal cliente, è necessario configurare:

• Un insieme di credenziali delle chiavi di Azure contenente almeno una chiave.
  • L'insieme di credenziali delle chiavi deve disporre dell'eliminazione temporanea e della protezione dall'eliminazione abilitata.
  • La chiave deve essere di tipo RSA.
• L'insieme di credenziali delle chiavi deve avere un endpoint privato di Azure.
  • L'endpoint privato deve trovarsi in una subnet diversa da quella delegata ad Azure NetApp Files. La subnet deve trovarsi nella stessa rete virtuale di quella delegata ad Azure NetApp.

Per altre informazioni su Azure Key Vault e l'endpoint privato di Azure, vedere:

• Avvio rapido: Creare un insieme di credenziali delle chiavi
• Creare o importare una chiave nell'insieme di credenziali
• Creare un endpoint privato
• Altre informazioni sulle chiavi e sui tipi di chiave supportati
• Gruppi di sicurezza di rete
• Gestire i criteri di rete per gli endpoint privati

Configurare un account NetApp per l'uso delle chiavi gestite dal cliente

Portale

1. Nella portale di Azure e in Azure NetApp Files selezionare Crittografia.

   La pagina Crittografia consente di gestire le impostazioni di crittografia per l'account NetApp. Include un'opzione che consente di impostare l'account NetApp per usare la propria chiave di crittografia, archiviata in Azure Key Vault. Questa impostazione fornisce un'identità assegnata dal sistema all'account NetApp e aggiunge un criterio di accesso per l'identità con le autorizzazioni di chiave necessarie.

   

2. Quando si imposta l'account NetApp per l'uso della chiave gestita dal cliente, è possibile specificare l'URI della chiave in due modi:

   • L'opzione Seleziona dall'insieme di credenziali delle chiavi consente di selezionare un insieme di credenziali delle chiavi e una chiave.

   • L'opzione URI tasto INVIO consente di immettere manualmente l'URI della chiave.

3. Selezionare il tipo di identità da usare per l'autenticazione in Azure Key Vault. Se Azure Key Vault è configurato per l'uso dei criteri di accesso di Vault come modello di autorizzazione, sono disponibili entrambe le opzioni. In caso contrario, è disponibile solo l'opzione assegnata dall'utente.

   • Se si sceglie Assegnata dal sistema, selezionare il pulsante Salva . Il portale di Azure configura automaticamente l'account NetApp con il processo seguente: un'identità assegnata dal sistema viene aggiunta all'account NetApp. Un criterio di accesso deve essere creato nell'insieme di credenziali delle chiavi di Azure con autorizzazioni per le chiavi Get, Encrypt, Decrypt.

   

   • Se si sceglie Assegnata dall'utente, è necessario selezionare un'identità. Scegliere Seleziona un'identità per aprire un riquadro di contesto in cui si seleziona un'identità gestita assegnata dall'utente.

   

   Se l'insieme di credenziali delle chiavi di Azure è stato configurato per l'uso dei criteri di accesso dell'insieme di credenziali, il portale di Azure configura automaticamente l'account NetApp con il processo seguente: l'identità assegnata dall'utente selezionata viene aggiunta all'account NetApp. Un criterio di accesso viene creato nell'insieme di credenziali delle chiavi di Azure con le autorizzazioni delle chiavi Get, Encrypt, Decrypt.

   Se è stato configurato Azure Key Vault per l'uso del controllo degli accessi in base al ruolo di Azure, è necessario assicurarsi che l'identità assegnata dall'utente selezionato abbia un'assegnazione di ruolo nell'insieme di credenziali delle chiavi con autorizzazioni per le azioni:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action L'identità assegnata dall'utente selezionata viene aggiunta all'account NetApp. A causa della natura personalizzabile del controllo degli accessi in base al ruolo, il portale di Azure non configura l'accesso all'insieme di credenziali delle chiavi. Per informazioni dettagliate sulla configurazione di Azure Key Vault, vedere Fornire l'accesso a chiavi, certificati e segreti con un controllo degli accessi in base al ruolo di Azure.

4. Selezionare Salva e quindi osservare la notifica che comunica lo stato dell'operazione. Se l'operazione non è riuscita, viene visualizzato un messaggio di errore. Per assistenza nella risoluzione dell'errore, vedere messaggi di errore e risoluzione dei problemi.

Interfaccia della riga di comando di Azure

La modalità di configurazione di un account NetApp con chiavi gestite dal cliente con l'interfaccia della riga di comando di Azure dipende dall'uso di un'identità assegnata dal sistema o di un'identità assegnata dall'utente.

Usare un'identità assegnata dal sistema

1. Aggiornare l'account NetApp per usare un'identità assegnata dal sistema.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Per usare un criterio di accesso, creare una variabile che includa l'ID entità dell'identità dell'account, quindi eseguire az keyvault set-policy e assegnare le autorizzazioni di "Get", "Encrypt" e "Decrypt".

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Aggiornare l'account NetApp con l'insieme di credenziali delle chiavi.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Usare una nuova identità assegnata dall'utente

1. Creare una nuova identità assegnata dall'utente.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Impostare un criterio di accesso per l'insieme di credenziali delle chiavi.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Nota

   In alternativa , è possibile usare il controllo degli accessi in base al ruolo per concedere l'accesso all'insieme di credenziali delle chiavi.

3. Assegnare l'identità assegnata dall'utente all'account NetApp e aggiornare la crittografia dell'insieme di credenziali delle chiavi.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Il processo per configurare un account NetApp con chiavi gestite dal cliente nell'interfaccia della riga di comando di Azure dipende dall'uso di un'identità assegnata dal sistema o di un'identità assegnata dall'utente.

Abilitare l'accesso per l'identità assegnata dal sistema

1. Aggiornare l'account NetApp per usare l'identità assegnata dal sistema.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Per usare un criterio di accesso, eseguire Set-AzKeyVaultAccessPolicy con il nome dell'insieme di credenziali delle chiavi, l'ID entità dell'identità dell'account e le autorizzazioni "Get", "Encrypt" e "Decrypt".

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Aggiornare l'account NetApp con le informazioni sull'insieme di credenziali delle chiavi.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Abilitare l'accesso per l'identità assegnata dall'utente

1. Creare una nuova identità assegnata dall'utente.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Assegnare i criteri di accesso all'insieme di credenziali delle chiavi.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Nota

   In alternativa , è possibile usare il controllo degli accessi in base al ruolo per concedere l'accesso all'insieme di credenziali delle chiavi.

3. Assegnare l'identità assegnata dall'utente all'account NetApp e aggiornare la crittografia dell'insieme di credenziali delle chiavi.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Usare il controllo degli accessi in base al ruolo

È possibile usare un insieme di credenziali delle chiavi di Azure configurato per l'uso del controllo degli accessi in base al ruolo di Azure. Per configurare le chiavi gestite dal cliente tramite portale di Azure, è necessario fornire un'identità assegnata dall'utente.

1. Nell'account Azure passare a Insiemi di credenziali delle chiavi e quindi Criteri di accesso.

2. Per creare un criterio di accesso, in Modello di autorizzazione selezionare Controllo degli accessi in base al ruolo di Azure.

3. Quando si crea il ruolo assegnato dall'utente, sono necessarie tre autorizzazioni per le chiavi gestite dal cliente:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Anche se esistono ruoli predefiniti che includono queste autorizzazioni, tali ruoli concedono più privilegi di quelli necessari. È consigliabile creare un ruolo personalizzato con solo le autorizzazioni minime necessarie. Per altre informazioni, vedere Ruoli personalizzati in Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Dopo aver creato e disponibile il ruolo personalizzato da usare con l'insieme di credenziali delle chiavi, applicarlo all'identità assegnata dall'utente.

Creare un volume di Azure NetApp Files usando chiavi gestite dal cliente

1. In Azure NetApp Files selezionare Volumi e quindi + Aggiungi volume.

2. Seguire le istruzioni in Configurare le funzionalità di rete per un volume di Azure NetApp Files:

   • Impostare l'opzione Funzionalità di rete nella pagina di creazione del volume.
   • Il gruppo di sicurezza di rete per la subnet delegata del volume deve consentire il traffico in ingresso dalla macchina virtuale di archiviazione di NetApp.

3. Per un account NetApp configurato per l'uso di una chiave gestita dal cliente, la pagina Crea volume include un'opzione Origine chiave di crittografia.

   Per crittografare il volume con la chiave, selezionare Chiave gestita dal cliente nel menu a discesa Origine chiave di crittografia.

   Quando si crea un volume usando una chiave gestita dal cliente, è necessario selezionare anche Standard per l'opzione Funzionalità di rete. Le funzionalità di rete di base non sono supportate.

   È necessario selezionare anche un endpoint privato dell'insieme di credenziali delle chiavi. Nel menu a discesa vengono visualizzati gli endpoint privati nella rete virtuale selezionata. Se nella rete virtuale selezionata non è presente alcun endpoint privato per l'insieme di credenziali delle chiavi, l'elenco a discesa è vuoto e non sarà possibile procedere. In tal caso, vedere Endpoint privato di Azure.

   

4. Continuare a completare il processo di creazione del volume. Fare riferimento a:

   • Creare un volume NFS
   • Creare un volume SMB
   • Creare un volume a doppio protocollo

Reimpostare tutti i volumi in un account NetApp

Se è già stato configurato l'account NetApp per le chiavi gestite dal cliente e si dispone di uno o più volumi crittografati con chiavi gestite dal cliente, è possibile modificare la chiave usata per crittografare tutti i volumi nell'account NetApp. È possibile selezionare qualsiasi chiave presente nello stesso insieme di credenziali delle chiavi. La modifica degli insiemi di credenziali delle chiavi non è supportata.

1. Nell'account NetApp passare al menu Crittografia . Nel campo Input chiave corrente selezionare il collegamento Chiave di reimpostazione.

2. Nel menu Rekey selezionare una delle chiavi disponibili dal menu a discesa. La chiave scelta deve essere diversa dalla chiave corrente.

3. Selezionare OK per salvare. L'operazione di reimpostazione della chiave potrebbe richiedere alcuni minuti.

Passare dall'identità assegnata dal sistema all'identità assegnata dall'utente

Per passare dall'identità assegnata dal sistema all'identità assegnata dall'utente, è necessario concedere all'identità di destinazione l'accesso all'insieme di credenziali delle chiavi usato con autorizzazioni di lettura/recupero, crittografia e decrittografia.

1. Aggiornare l'account NetApp inviando una richiesta PATCH usando il az rest comando :

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   Il payload deve usare la struttura seguente:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Verificare che l'operazione sia stata completata correttamente con il az netappfiles account show comando . L'output include i campi seguenti:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Assicurarsi che:

   • encryption.identity.principalId corrisponde al valore in identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity corrisponde al valore in identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Messaggi di errore e risoluzione dei problemi

Questa sezione elenca i messaggi di errore e le possibili risoluzioni quando Azure NetApp Files non riesce a configurare la crittografia della chiave gestita dal cliente o creare un volume usando una chiave gestita dal cliente.

Errori durante la configurazione della crittografia della chiave gestita dal cliente in un account NetApp

Condizione di errore	Risoluzione
The operation failed because the specified key vault key was not found	Quando si immette manualmente l'URI della chiave, assicurarsi che l'URI sia corretto.
Azure Key Vault key is not a valid RSA key	Verificare che la chiave selezionata sia di tipo RSA.
Azure Key Vault key is not enabled	Assicurarsi che la chiave selezionata sia abilitata.
Azure Key Vault key is expired	Assicurarsi che la chiave selezionata non sia scaduta.
Azure Key Vault key has not been activated	Assicurarsi che la chiave selezionata sia attiva.
Key Vault URI is invalid	Quando si immette manualmente l'URI della chiave, assicurarsi che l'URI sia corretto.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Aggiornare il livello di ripristino dell'insieme di credenziali delle chiavi in: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Assicurarsi che l'insieme di credenziali delle chiavi si trova nella stessa area dell'account NetApp.

Errori durante la creazione di un volume crittografato con chiavi gestite dal cliente

Condizione di errore	Risoluzione
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	La crittografia della chiave gestita dal cliente non è abilitata per l'account NetApp. Configurare l'account NetApp per l'uso della chiave gestita dal cliente.
EncryptionKeySource cannot be changed	Nessuna risoluzione. La proprietà EncryptionKeySource di un volume non può essere modificata.
Unable to use the configured encryption key, please check if key is active	Verificare che: -Tutti i criteri di accesso sono corretti nell'insieme di credenziali delle chiavi: Get, Encrypt, Decrypt? -Esiste un endpoint privato per l'insieme di credenziali delle chiavi? -Esiste un Rete virtuale NAT nella rete virtuale, con la subnet di Azure NetApp Files delegata abilitata?
Could not connect to the KeyVault	Assicurarsi che l'endpoint privato sia configurato correttamente e che i firewall non blocchino la connessione dal Rete virtuale all'insieme di credenziali delle chiavi.

Passaggi successivi

• Azure NetApp Files API