Configurare chiavi gestite dal cliente per test di carico di Azure con Azure Key Vault

Test di carico di Azure crittografa automaticamente tutti i dati archiviati nella risorsa di test di carico con chiavi fornite da Microsoft (chiavi gestite dal servizio). Facoltativamente, è possibile aggiungere un secondo livello di sicurezza fornendo anche chiavi personalizzate (gestite dal cliente). Le chiavi gestite dal cliente offrono maggiore flessibilità per controllare l'accesso e usare i criteri di rotazione delle chiavi.

Le chiavi fornite vengono archiviate in modo sicuro con Azure Key Vault. È possibile creare una chiave separata per ogni risorsa di test di carico di Azure abilitata con chiavi gestite dal cliente.

Quando si usano chiavi di crittografia gestite dal cliente, è necessario specificare un'identità gestita assegnata dall'utente per recuperare le chiavi da Azure Key Vault.

Test di carico di Azure usa la chiave gestita dal cliente per crittografare i dati seguenti nella risorsa di test di carico:

• Testare script e file di configurazione
• Segreti
• Variabili di ambiente

Nota

Test di carico di Azure non crittografa i dati delle metriche per un'esecuzione di test con la chiave gestita dal cliente, inclusi i nomi degli esempi di metriche JMeter specificati nello script JMeter. Microsoft ha accesso a questi dati delle metriche.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

• Identità gestita assegnata dall'utente esistente. Per altre informazioni sulla creazione di un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

Limiti

• Le chiavi gestite dal cliente sono disponibili solo per le nuove risorse di test di carico di Azure. È necessario configurare la chiave durante la creazione della risorsa.

• Una volta abilitata la crittografia della chiave gestita dal cliente in una risorsa, non può essere disabilitata.

• Test di carico di Azure non può ruotare automaticamente la chiave gestita dal cliente per usare la versione più recente della chiave di crittografia. È necessario aggiornare l'URI della chiave nella risorsa dopo la rotazione della chiave in Azure Key Vault.

Configurare l'insieme di credenziali delle chiavi di Azure

Per usare le chiavi di crittografia gestite dal cliente con Test di carico di Azure, è necessario archiviare la chiave in Azure Key Vault. È possibile usare un insieme di credenziali delle chiavi esistente o crearne uno nuovo. La risorsa di test di carico e l'insieme di credenziali delle chiavi possono trovarsi in aree o sottoscrizioni diverse nello stesso tenant.

Assicurarsi di configurare le impostazioni seguenti dell'insieme di credenziali delle chiavi quando si usano chiavi di crittografia gestite dal cliente.

Configurare le impostazioni di rete dell'insieme di credenziali delle chiavi

Se l'accesso all'insieme di credenziali delle chiavi di Azure è limitato da un firewall o da una rete virtuale, è necessario concedere l'accesso a Test di carico di Azure per recuperare le chiavi gestite dal cliente. Seguire questa procedura per concedere l'accesso ai servizi di Azure attendibili.

Configurare l'eliminazione temporanea e la protezione dall'eliminazione

È necessario impostare le proprietà eliminazione temporanea e protezione dall'eliminazione nell'insieme di credenziali delle chiavi per usare le chiavi gestite dal cliente con Test di carico di Azure. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non è possibile disabilitarla. È possibile abilitare la protezione dall'eliminazione in qualsiasi momento. Altre informazioni sull'eliminazione temporanea e la protezione dall'eliminazione in Azure Key Vault.

Azure portal

Seguire questa procedura per verificare se l'eliminazione temporanea è abilitata e abilitarla in un insieme di credenziali delle chiavi. L'eliminazione temporanea è in grado per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi.

È possibile abilitare la protezione dall'eliminazione quando si crea un nuovo insieme di credenziali delle chiavi selezionando le impostazioni Abilita ripulitura protezione .

Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente, seguire questa procedura:

1. Passare all'insieme di credenziali delle chiavi nella portale di Azure.
2. In Impostazioni, scegliere Proprietà.
3. Nella sezione Ripulisci protezione scegliere Abilita protezione ripulitura.

PowerShell

Per creare un nuovo insieme di credenziali delle chiavi con PowerShell, installare la versione 2.0.0 o successiva del modulo PowerShell Az.KeyVault . Chiamare quindi New-AzKeyVault per creare un nuovo insieme di credenziali delle chiavi. Con la versione 2.0.0 e successive del modulo Az.KeyVault, l'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi.

Nell'esempio seguente viene creato un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dall'eliminazione abilitata. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente con PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Interfaccia della riga di comando di Azure

Per creare un nuovo insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure, chiamare az keyvault create. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi.

Nell'esempio seguente viene creato un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dall'eliminazione abilitata. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente con l'interfaccia della riga di comando di Azure:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Aggiungere una chiave gestita dal cliente ad Azure Key Vault

Aggiungere quindi una chiave all'insieme di credenziali delle chiavi. La crittografia test di carico di Azure supporta le chiavi RSA. Per altre informazioni sui tipi di chiave supportati in Azure Key Vault, vedere Informazioni sulle chiavi.

Azure portal

Per informazioni su come aggiungere una chiave con il portale di Azure, vedere Impostare e recuperare una chiave da Azure Key Vault usando il portale di Azure.

PowerShell

Per aggiungere una chiave con PowerShell, chiamare Add-AzKeyVaultKey. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori e usare le variabili definite negli esempi precedenti.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Interfaccia della riga di comando di Azure

Per aggiungere una chiave con l'interfaccia della riga di comando di Azure, chiamare az keyvault key create. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Aggiungere un criterio di accesso all'insieme di credenziali delle chiavi

Quando si usano chiavi di crittografia gestite dal cliente, è necessario specificare un'identità gestita assegnata dall'utente. L'identità gestita assegnata dall'utente per l'accesso alle chiavi gestite dal cliente in Azure Key Vault deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi.

1. Nella portale di Azure passare all'istanza dell'insieme di credenziali delle chiavi di Azure che si prevede di usare per ospitare le chiavi di crittografia.

2. Selezionare Criteri di accesso dal menu a sinistra.

   

3. Selezionare + Aggiungi un criterio di accesso.

4. Nel menu a discesa Autorizzazioni chiave selezionare Get, Unwrap Key (Ottieni), Unwrap Key (Annulla il wrapping della chiave) e Wrap Key permissions (Eseguire il wrapping delle autorizzazioni per le chiavi).

   

5. In Seleziona entità selezionare Nessuno selezionato.

6. Cercare l'identità gestita assegnata dall'utente creata in precedenza e selezionarla nell'elenco.

7. Scegliere Seleziona nella parte inferiore.

8. Selezionare Aggiungi per aggiungere il nuovo criterio di accesso.

9. Selezionare Salva nell'istanza dell'insieme di credenziali delle chiavi per salvare tutte le modifiche.

Usare chiavi gestite dal cliente con Test di carico di Azure

È possibile configurare le chiavi di crittografia gestite dal cliente solo quando si crea una nuova risorsa di test di carico di Azure. Quando si specificano i dettagli della chiave di crittografia, è anche necessario selezionare un'identità gestita assegnata dall'utente per recuperare la chiave da Azure Key Vault.

Per configurare le chiavi gestite dal cliente per una nuova risorsa di test di carico, seguire questa procedura:

Azure portal

1. Seguire questa procedura per creare una risorsa di test di carico di Azure nella portale di Azure e compilare i campi nella scheda Informazioni di base.

2. Passare alla scheda Crittografia e quindi selezionare Chiavi gestite dal cliente (CMK) per il campo Tipo di crittografia.

3. Nel campo URI chiave incollare l'identificatore URI/chiave della chiave di Azure Key Vault, inclusa la versione della chiave.

4. Per il campo Identità assegnata dall'utente selezionare un'identità gestita assegnata dall'utente esistente.

5. Selezionare Rivedi e crea per convalidare e creare la nuova risorsa.

PowerShell

È possibile distribuire un modello di Resource Manager usando PowerShell per automatizzare la creazione delle risorse di Azure. È possibile creare qualsiasi risorsa di tipo Microsoft.LoadTestService/loadtests con la chiave gestita dal cliente abilitata per la crittografia aggiungendo le proprietà seguenti:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

L'esempio di codice seguente illustra un modello di Resource Manager per la creazione di una risorsa di test di carico con chiavi gestite dal cliente abilitate:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Distribuire il modello precedente in un gruppo di risorse usando New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Interfaccia della riga di comando di Azure

È possibile distribuire un modello di Resource Manager usando l'interfaccia della riga di comando di Azure per automatizzare la creazione delle risorse di Azure. È possibile creare qualsiasi risorsa di tipo Microsoft.LoadTestService/loadtests con la chiave gestita dal cliente abilitata per la crittografia aggiungendo le proprietà seguenti:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

L'esempio di codice seguente illustra un modello di Resource Manager per la creazione di una risorsa di test di carico con chiavi gestite dal cliente abilitate:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Distribuire il modello precedente in un gruppo di risorse usando az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Modificare l'identità gestita per il recupero della chiave di crittografia

È possibile modificare l'identità gestita per le chiavi gestite dal cliente per una risorsa di test di carico esistente in qualsiasi momento.

1. Nella portale di Azure passare alla risorsa test di carico di Azure.

2. Nella pagina Impostazioni selezionare Crittografia.

   Il tipo di crittografia mostra il tipo di crittografia usato per la creazione della risorsa di test di carico.

3. Se il tipo di crittografia è Chiavi gestite dal cliente, selezionare il tipo di identità da usare per l'autenticazione nell'insieme di credenziali delle chiavi. Le opzioni includono Assegnata dal sistema (impostazione predefinita) o Assegnata dall'utente.

   Per altre informazioni su ogni tipo di identità gestita, vedere Tipi di identità gestiti.

   • Se si seleziona Assegnata dal sistema, è necessario abilitare l'identità gestita assegnata dal sistema nella risorsa e concedere l'accesso a AKV prima di modificare l'identità per le chiavi gestite dal cliente.
   • Se si seleziona Assegnata dall'utente, è necessario selezionare un'identità assegnata dall'utente esistente con autorizzazioni per accedere all'insieme di credenziali delle chiavi. Per informazioni su come creare un'identità assegnata dall'utente, vedere Usare identità gestite per l'anteprima di Test di carico di Azure.

4. Salvare le modifiche.

Importante

Assicurarsi che l'identità gestita selezionata abbia accesso ad Azure Key Vault.

Aggiornare la chiave di crittografia gestita dal cliente

È possibile modificare la chiave usata per la crittografia test di carico di Azure in qualsiasi momento. Per modificare la chiave con il portale di Azure, seguire questa procedura:

1. Nella portale di Azure passare alla risorsa test di carico di Azure.

2. Nella pagina Impostazioni selezionare Crittografia. Il tipo di crittografia mostra la crittografia selezionata per la risorsa durante la creazione.

3. Se il tipo di crittografia selezionato è Chiavi gestite dal cliente, è possibile modificare il campo URI chiave con il nuovo URI della chiave.

4. Selezionare Salva per salvare le modifiche.

Ruotare chiavi di crittografia

È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Per ruotare una chiave:

1. In Azure Key Vault aggiornare la versione della chiave o creare una nuova chiave.
2. Aggiornare la chiave di crittografia gestita dal cliente per la risorsa di test di carico.

Domande frequenti

È previsto un costo aggiuntivo per abilitare le chiavi gestite dal cliente?

No, non è previsto alcun addebito per abilitare questa funzionalità.

Le chiavi gestite dal cliente sono supportate per le risorse di test di carico di Azure esistenti?

Questa funzionalità è attualmente disponibile solo per le nuove risorse di test di carico di Azure.

Come è possibile stabilire se le chiavi gestite dal cliente sono abilitate nella risorsa di test di carico di Azure?

1. Nella portale di Azure passare alla risorsa test di carico di Azure.
2. Passare all'elemento Crittografia nella barra di spostamento a sinistra.
3. È possibile verificare il tipo di crittografia nella risorsa.

Come si revoca una chiave di crittografia?

È possibile revocare una chiave disabilitando la versione più recente della chiave in Azure Key Vault. In alternativa, per revocare tutte le chiavi da un'istanza dell'insieme di credenziali delle chiavi, è possibile eliminare i criteri di accesso concessi all'identità gestita della risorsa di test di carico.

Quando si revoca la chiave di crittografia, è possibile eseguire i test per circa 10 minuti, dopo il quale l'unica operazione disponibile è l'eliminazione delle risorse. È consigliabile ruotare la chiave anziché revocarla per gestire la sicurezza delle risorse e conservare i dati.

Contenuto correlato

• Informazioni su come monitorare le metriche delle applicazioni lato server.
• Informazioni su come parametrizzare un test di carico con segreti e variabili di ambiente.