Configurare le chiavi gestite dal cliente per SAN di Elastic in Azure

Tutti i dati scritti in un volume SAN di Elastic vengono crittografati automaticamente quando sono inattivi con una chiave di crittografia dei dati (chiave DEK). Azure usa la crittografia envelope per crittografare la chiave DEK usando una chiave di crittografia della chiave (Key Encryption Key, KEK). Per impostazione predefinita, la chiave KEK è gestita dalla piattaforma (da Microsoft), ma è possibile creare e gestire la propria chiave KEK.

Questo articolo illustra come configurare la crittografia di un gruppo di volumi SAN di Elastic con chiavi gestite dal cliente archiviate in Azure Key Vault.

Limiti

L'elenco seguente contiene le aree in cui SAN di Elastic è attualmente disponibile e le aree che supportano sia l'archiviazione con ridondanza della zona (ZRS) che l'archiviazione con ridondanza locale (LRS) o solo LRS:

• Sudafrica settentrionale - LRS
• Asia orientale - LRS
• Asia sud-orientale -LRS
• Brasile meridionale - LRS
• Canada centrale - LRS
• Francia centrale - LRS e ZRS
• Germania centro-occidentale - LRS
• Australia orientale - LRS
• Europa settentrionale - LRS e ZRS
• Europa occidentale - LRS e ZRS
• Regno Unito meridionale - LRS
• Giappone orientale - LRS
• Corea centrale - LRS
• Stati Uniti centrali
• Stati Uniti orientali - LRS
• Stati Uniti centro-meridionali - LRS
• Stati Uniti orientali 2 - LRS
• Stati Uniti occidentali 2 - LRS e ZRS
• Stati Uniti occidentali 3 - LRS
• Svezia centrale - LRS
• Svizzera settentrionale - LRS

Prerequisiti

Per eseguire le operazioni descritte in questo articolo, è necessario preparare l'account di Azure e gli strumenti di gestione da usare. La preparazione include l'installazione dei moduli necessari, l'accesso all'account e l'impostazione delle variabili per PowerShell e per l'interfaccia della riga di comando di Azure. Lo stesso set di variabili viene usato in questo articolo, quindi impostandolo ora è possibile usare le stesse variabili in tutti gli esempi.

PowerShell

Per eseguire le operazioni descritte in questo articolo tramite PowerShell:

1. Installare la versione più recente di Azure PowerShell, se non è già installata.

2. Dopo aver installato Azure PowerShell, installare la versione 0.1.2 o una versione successiva dell'estensione SAN di Elastic con Install-Module -Name Az.ElasticSan -Repository PSGallery.

3. Accedere ad Azure.

   Connect-AzAccount
   

Creare le variabili da usare negli esempi di PowerShell in questo articolo

Copiare il codice di esempio e sostituire tutto il testo del segnaposto con i propri valori. Usare le stesse variabili in tutti gli esempi di questo articolo:

# Define some variables
# The name of the resource group where the resources will be deployed.
$RgName          = "ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
$EsanName        = "ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
$EsanVgName      = "ElasticSanVolumeGroupName"

# The region where the new resources will be created.
$Location        = "Location"

# The name of the Azure Key Vault that will contain the KEK.
$KvName          = "KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
$KeyName         = "KeyName"

# The name of the user-assigned managed identity, if applicable.
$ManagedUserName = "ManagedUserName"

Interfaccia della riga di comando di Azure

Per usare l'interfaccia della riga di comando di Azure per configurare la crittografia di SAN di Elastic:

1. Installa la versione più recente.
2. Installare la versione 1.0.0b2 o una versione successiva dell'estensione dell'interfaccia della riga di comando di SAN di Elastic in Azure.
   1. Se l'estensione non è installata, usare az extension add -n elastic-san per installare l'estensione per SAN di Elastic.
   2. (Facoltativo) Se l'estensione è già installata, eseguire az extension update -n elastic-san per installare la versione più recente.

Creare le variabili da usare negli esempi dell'interfaccia della riga di comando in questo articolo

Copiare il codice di esempio e sostituire tutto il testo del segnaposto con i propri valori. Usare le stesse variabili in tutti gli esempi di questo articolo:

# The name of the resource group where the resources will be deployed.
RgName="ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
EsanName="ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
EsanVgName="ElasticSanVolumeGroupName"

# The name of the Elastic SAN volume to be created
volume_name="ElasticSanVolumeName"

# The region where the new resources will be created.
Location="Location"

# The name of the Azure Key Vault that will contain the KEK.
KvName="KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
KeyName="KeyName"

# The name of the user-assigned managed identity, if applicable.
ManagedUserName="ManagedUserName"

Configurare l'insieme di credenziali delle chiavi

È possibile usare un insieme di credenziali delle chiavi nuovo o esistente per archiviare le chiavi gestite dal cliente. La risorsa crittografata e l'insieme di credenziali delle chiavi possono trovarsi in aree o sottoscrizioni diverse nello stesso tenant di Microsoft Entra ID. Per altre informazioni su Azure Key Vault, vedere Panoramica di Azure Key Vault e Che cos'è Azure Key Vault?.

L'uso di chiavi gestite dal cliente con la crittografia richiede che sia l'eliminazione temporanea che la protezione dalla rimozione definitiva siano abilitate per l'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non è possibile disabilitarla. È possibile abilitare la protezione dalla rimozione definitiva quando si crea l'insieme di credenziali delle chiavi o dopo averlo creato. La crittografia di SAN di Elastic in Azure supporta le chiavi RSA di dimensioni 2048, 3072 e 4096.

Azure Key Vault supporta l'autorizzazione con il controllo degli accessi in base al ruolo di Azure tramite un modello di autorizzazione del controllo degli accessi in base al ruolo di Azure. Microsoft consiglia di usare il modello di autorizzazione del controllo degli accessi in base al ruolo di Azure sui criteri di accesso dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Concedere alle applicazioni l'autorizzazione per accedere a un insieme di credenziali delle chiavi di Azure usando il controllo degli accessi in base al ruolo di Azure.

La preparazione di un insieme di credenziali delle chiavi come archivio per le chiavi KEK del gruppo di volumi prevede due passaggi:

• Creare un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dalla rimozione definitiva abilitate oppure abilitare la protezione dalla rimozione definitiva per un insieme di credenziali delle chiavi esistente.
• Creare o assegnare un ruolo Controllo degli accessi in base al ruolo di Azure che abbia le autorizzazioni backup create delete get import get list update restore.

PowerShell

L'esempio seguente:

• Crea un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dalla rimozione definitiva abilitate.
• Ottiene l'UPN dell'account utente.
• Assegna il ruolo di Responsabile della crittografia di Key Vault per il nuovo insieme di credenziali delle chiavi all'account.

Usare le stesse variabili definite in precedenza in questo articolo.

# Setup the parameters to create the key vault.
$NewKvArguments = @{
    Name                    = $KvName
    ResourceGroupName       = $RgName
    Location                = $Location
    EnablePurgeProtection   = $true
    EnableRbacAuthorization = $true
}

# Create the key vault.
$KeyVault = New-AzKeyVault @NewKvArguments

# Get the UPN of the currently loggged in user.
$MyAccountUpn = (Get-AzADUser -SignedIn).UserPrincipalName

# Setup the parameters to create the role assignment.
$CrptoOfficerRoleArguments = @{
    SignInName         = $MyAccountUpn
    RoleDefinitionName = "Key Vault Crypto Officer"
    Scope              = $KeyVault.ResourceId
}

# Assign the Cypto Officer role to your account for the key vault.
New-AzRoleAssignment @CrptoOfficerRoleArguments

Per informazioni su come abilitare la protezione dalla rimozione definitiva in un insieme di credenziali delle chiavi esistente con PowerShell, vedere Panoramica del ripristino di Azure Key Vault.

Per altre informazioni su come assegnare un ruolo Controllo degli accessi in base al ruolo con PowerShell, vedere Assegnare ruoli di Azure usando Azure PowerShell.

Interfaccia della riga di comando di Azure

Per creare un nuovo insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure, chiamare az keyvault create. L'esempio seguente crea un nuovo insieme di credenziali delle chiavi con eliminazione temporanea e protezione dalla rimozione definitiva abilitate. Il modello di autorizzazione dell'insieme di credenziali delle chiavi è impostato per l'uso del Controllo degli accessi in base al ruolo di Azure. Ricordare di sostituire i valori segnaposto tra parentesi con i valori personalizzati.

az keyvault create --name $KvName --resource-group $RgName --location $Location --enable-purge-protection --retention-days 7

Per informazioni su come abilitare la protezione dalla rimozione definitiva in un insieme di credenziali delle chiavi esistente con l'interfaccia della riga di comando di Azure, vedere Panoramica del ripristino di Azure Key Vault.

Aggiungere una chiave

Aggiungere quindi una chiave all'insieme di credenziali delle chiavi. Prima di aggiungere la chiave, assicurarsi di aver assegnato a se stessi il ruolo di Responsabile della crittografia di Key Vault.

Archiviazione di Azure e la crittografia di SAN di Elastic supportano le chiavi RSA di dimensioni 2048, 3072 e 4096. Per altre informazioni sui tipi di chiave supportati, vedere Informazioni sulle chiavi.

PowerShell

Usare questi comandi di esempio per aggiungere una chiave all'insieme di credenziali delle chiavi con PowerShell. Usare le stesse variabili definite in precedenza in questo articolo.

# Get the key vault where the key is to be added.
$KeyVault = Get-AzKeyVault -ResourceGroupName $RgName -VaultName $KvName

# Setup the parameters to add the key to the vault.
$NewKeyArguments = @{
    Name        = $KeyName
    VaultName   = $KeyVault.VaultName
    Destination = "Software"
}

# Add the key to the vault.
$Key = Add-AzKeyVaultKey @NewKeyArguments

Interfaccia della riga di comando di Azure

Per aggiungere una chiave con l'interfaccia della riga di comando di Azure, chiamare az keyvault key create. È anche possibile impostare un criterio nell'insieme di credenziali delle chiavi per concedere le autorizzazioni direttamente a utenti specifici. Sostituire youremail@here.com quindi usare l'esempio seguente e le stesse variabili create in precedenza in questo articolo:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)

az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

Scegliere una strategia di rotazione delle chiavi

Seguire le procedure consigliate per la crittografia significa ruotare la chiave che protegge il gruppo di volumi SAN di Elastic in base a una pianificazione regolare, in genere almeno ogni due anni. SAN di Elastic in Azure non modifica mai la chiave nell'insieme di credenziali delle chiavi, ma è possibile configurare un criterio di rotazione delle chiavi per ruotare la chiave in base ai requisiti di conformità. Per altre informazioni, vedere Configurare la rotazione automatica delle chiavi crittografiche in Azure Key Vault.

Al termine della rotazione delle chiavi nell'insieme di credenziali delle chiavi, la configurazione della crittografia per il gruppo di volumi SAN di Elastic deve essere aggiornata per usare la nuova versione della chiave. Le chiavi gestite dal cliente supportano sia l'aggiornamento automatico che manuale della versione della chiave KEK. Decidere quale approccio si vuole usare prima di configurare le chiavi gestite dal cliente per un gruppo di volumi nuovo o esistente.

Per altre informazioni sulla rotazione delle chiavi, vedere Aggiornare la versione della chiave.

Importante

Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia dei dati radice cambia, ma i dati nel gruppo di volumi SAN di Elastic di Azure rimangono sempre crittografati. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La rotazione della versione delle chiavi non influisce sulle prestazioni e non implica tempi di inattività.

Rotazione automatica della versione delle chiavi

SAN di Elastic di Azure può aggiornare automaticamente la chiave gestita dal cliente usata per la crittografia per usare la versione più recente della chiave dall'insieme di credenziali delle chiavi. SAN di Elastic controlla ogni giorno se esiste una nuova versione della chiave dell'insieme di credenziali delle chiavi. Quando è disponibile una nuova versione, inizia automaticamente a usare la versione più recente della chiave per la crittografia. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.

Importante

Se il gruppo di volumi SAN di Elastic è stato configurato per l'aggiornamento manuale della versione delle chiavi e si vuole modificarlo in modo che venga aggiornato automaticamente, modificare la versione delle chiavi in una stringa vuota. Per altre informazioni sulla modifica manuale della versione delle chiavi, vedere Aggiornare automaticamente la versione della chiave.

Rotazione manuale della versione delle chiavi

Se si preferisce aggiornare manualmente la versione delle chiavi, specificare l'URI per una versione specifica al momento della configurazione della crittografia con le chiavi gestite dal cliente. Quando si specifica l'URI, SAN di Elastic non aggiorna automaticamente la versione delle chiavi quando viene creata una nuova versione nell'insieme di credenziali delle chiavi. Affinché SAN di Elastic usi una nuova versione delle chiavi, è necessario aggiornarla manualmente.

Per individuare l'URI di una versione specifica di una chiave nel portale di Azure:

1. Passare all'insieme di credenziali delle chiavi.
2. In Oggetti selezionare Chiavi.
3. Selezionare la chiave desiderata per visualizzarne le versioni.
4. Selezionare una versione della chiave per visualizzare le relative impostazioni.
5. Copiare il valore del campo Identificatore chiave, che fornisce l'URI.
6. Salvare il testo copiato da usare in un secondo momento durante la configurazione della crittografia per il gruppo di volumi.

Scegliere un'identità gestita per autorizzare l'accesso all'insieme di credenziali delle chiavi

Quando si abilitano le chiavi di crittografia gestite dal cliente per un gruppo di volumi SAN di Elastic, è necessario specificare un'identità gestita usata per autorizzare l'accesso all'insieme di credenziali delle chiavi contenente la chiave. L'identità gestita deve avere le autorizzazioni seguenti:

• get
• wrapkey
• unwrapkey

L'identità gestita autorizzata ad accedere all'insieme di credenziali delle chiavi può essere un'identità gestita assegnata dall'utente o assegnata dal sistema. Per altre informazioni sulle identità gestite assegnate dal sistema e quelle assegnate dall'utente, vedere Tipi di identità gestita.

Quando viene creato un gruppo di volumi, viene creata automaticamente una relativa identità assegnata dal sistema. Se si vuole usare un'identità assegnata dall'utente, crearla prima di configurare le chiavi di crittografia gestite dal cliente per il gruppo di volumi. Per informazioni su come creare e gestire un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

Usare un'identità gestita assegnata dall'utente per autorizzare l'accesso

Quando si abilitano le chiavi gestite dal cliente per un nuovo gruppo di volumi, è necessario specificare un'identità gestita assegnata dall'utente. Un gruppo di volumi esistente supporta l'uso di un'identità gestita assegnata dall'utente o di un'identità gestita assegnata dal sistema per configurare le chiavi gestite dal cliente.

Quando si configurano le chiavi gestite dal cliente con un'identità gestita assegnata dall'utente, l'identità gestita assegnata dall'utente viene usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. È necessario creare l'identità assegnata dall'utente prima di configurare le chiavi gestite dal cliente.

Un'identità gestita assegnata dall'utente è una risorsa di Azure autonoma. Per altre informazioni sulle identità gestite assegnate dall'utente, vedere Tipi di identità gestita. Per informazioni su come creare e gestire un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

L'identità gestita assegnata dall'utente deve avere le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. È possibile concedere manualmente le autorizzazioni all'identità o assegnare un ruolo predefinito con ambito insieme di credenziali delle chiavi per concedere queste autorizzazioni.

PowerShell

L'esempio seguente illustra come:

• Creare una nuova identità gestita assegnata dall'utente.
• Attendere il completamento della creazione dell'identità assegnata dall'utente.
• Ottenere PrincipalId dalla nuova identità.
• Assegnare un ruolo Controllo degli accessi in base al ruolo alla nuova identità, con insieme di credenziali delle chiavi come ambito.

Usare le stesse variabili definite in precedenza in questo articolo.

# Create a new user-assigned managed identity.
$UserIdentity = New-AzUserAssignedIdentity -ResourceGroupName $RgName -Name $ManagedUserName -Location $Location

Suggerimento

Attendere circa 1 minuto il completamento della creazione dell'identità assegnata dall'utente prima di procedere.

# Get the `PrincipalId` for the new identity.
$PrincipalId = $UserIdentity.PrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role to the managed identity so it can access the key in the vault.
New-AzRoleAssignment @CryptoUserRoleArguments

Interfaccia della riga di comando di Azure

L'esempio seguente illustra come:

• Creare una nuova identità gestita assegnata dall'utente.
• Attendere il completamento della creazione dell'identità assegnata dall'utente.
• Ottenere PrincipalId dalla nuova identità.
• Impostare un criterio nell'insieme di credenziali delle chiavi, consentendo l'accesso all'identità.

Usare le stesse variabili definite in precedenza in questo articolo.

### Create a user assigned identity and grant it the access to the key vault
uai=$(az identity create -g $RgName -n $ManagedUserName -o tsv --query id)

#### Get the properties
uai_principal_id=$(az identity show --ids $uai --query principalId -o tsv)
uai_id=$(az identity show --ids $uai --query id -o tsv)
uai_client_id=$(az identity show --ids $uai --query clientId -o tsv)

#### create a keyvault and get the vault url
az keyvault create --name $KvName --resource-group $RgName --location eastus2 --enable-purge-protection --retention-days 7
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --protocol-type Iscsi --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"
az elastic-san volume create -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2

Usare un'identità gestita assegnata dal sistema per autorizzare l'accesso

Un'identità gestita assegnata dal sistema è associata a un'istanza di un servizio di Azure, ad esempio un gruppo di volumi SAN di Elastic di Azure.

L'identità gestita assegnata dal sistema deve avere le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi. Questo articolo usa il ruolo Utente di crittografia del servizio di crittografia di Key Vault per l'identità gestita assegnata dal sistema con ambito insieme di credenziali delle chiavi per concedere queste autorizzazioni.

Quando viene creato un gruppo di volumi, viene creata automaticamente una relativa identità assegnata dal sistema se il parametro -IdentityType "SystemAssigned" viene specificato con il comando New-AzElasticSanVolumeGroup. L'identità assegnata dal sistema non è disponibile fino a quando la creazione del gruppo di volumi non è completa. È anche necessario assegnare un ruolo appropriato, ad esempio il ruolo Utente di crittografia del servizio di crittografia di Key Vault all'identità prima che questa possa accedere alla chiave di crittografia nell'insieme di credenziali delle chiavi. Non è quindi possibile configurare le chiavi gestite dal cliente per l'uso di un'identità assegnata dal sistema durante la creazione di un gruppo di volumi. Quando si crea un nuovo gruppo di volumi con chiavi gestite dal cliente, è necessario usare un'identità assegnata dall'utente quando si crea il gruppo di volumi. Dopo averlo creato, è possibile configurare un'identità assegnata dal sistema.

PowerShell

Usare questo codice di esempio per assegnare il ruolo Controllo degli accessi in base al ruolo richiesto all'identità gestita assegnata dal sistema,con insieme di credenziali delle chiavi come ambito. Usare le stesse variabili definite in precedenza in questo articolo.

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

Interfaccia della riga di comando di Azure

Per autenticare l'accesso all'insieme di credenziali delle chiavi con un'identità gestita assegnata dal sistema, assegnare prima l'identità gestita assegnata dal sistema al gruppo di volumi chiamando az elastic-san volume-group update. Usare l'esempio seguente e le stesse variabili create in precedenza in questo articolo:

az elastic-san volume-group update \
    --name $EsanVgName \
    --resource-group $RgName \
    --identity

Assegnare quindi all'identità gestita assegnata dal sistema il ruolo Controllo degli accessi in base al ruolo richiesto, con insieme di credenziali delle chiavi come ambito. Usare l'esempio seguente e le stesse variabili create in precedenza in questo articolo:

PrincipalId=$(az elastic-san volume-group show --name $EsanVgName \
    --resource-group $RgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $PrincipalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $vault_uri

Configurare le chiavi gestite dal cliente per un gruppo di volumi

Selezionare il modulo di Azure PowerShell o la scheda Interfaccia della riga di comando di Azure per istruzioni su come configurare le chiavi di crittografia gestite dal cliente usando lo strumento di gestione preferito.

PowerShell

Dopo aver selezionato PowerShell, selezionare la scheda corrispondente alla scelta di configurare le impostazioni durante la creazione di un nuovo gruppo di volumi o aggiornare le impostazioni per un gruppo esistente.

Interfaccia della riga di comando di Azure

Dopo aver selezionato Interfaccia della riga di comando, selezionare la scheda corrispondente alla scelta di configurare le impostazioni durante la creazione di un nuovo gruppo di volumi o aggiornare le impostazioni per un gruppo esistente.

Nuovo gruppo di volumi

Usare questo esempio per configurare le chiavi gestite dal cliente con aggiornamento automatico della versione delle chiavi durante la creazione di un nuovo gruppo di volumi tramite PowerShell:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Per configurare le chiavi gestite dal cliente con aggiornamento manuale della versione delle chiavi durante la creazione di un nuovo gruppo di volumi tramite PowerShell, aggiungere il parametro KeyVersion come illustrato in questo esempio:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    KeyVersion                   = $Key.Version
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Nuovo gruppo di volumi

Usare gli esempi seguenti e le stesse variabili create in precedenza in questo articolo per configurare le chiavi gestite dal cliente durante la creazione di un nuovo gruppo di volumi:

Identità gestita

vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName \
    --encryption EncryptionAtRestWithCustomerManagedKey \
    --protocol-type Iscsi \
    --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" \
    --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

az elastic-san volume update -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2     

Identità assegnata dal sistema

Sostituire youremail@here.com con l'indirizzo di posta elettronica dell'utente a cui si vogliono assegnare le autorizzazioni ed eseguire lo script seguente:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)
az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with platform-managed keys and a system assigned identity with it
#### Get the system identity's principalId from the response of PUT volume group request.
vg_identity_principal_id=$(az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithPlatformKey --protocol-type Iscsi --identity '{type:SystemAssigned}' --query "identity.principalId" -o tsv)

### Grant access to  the system assigned identity to the key vault created in step1
#### (key permissions: Get, Unwrap Key, Wrap Key)
az keyvault set-policy -n $KvName --object-id $vg_identity_principal_id --key-permissions backup create delete get import get list update restore

### Update the volume group with the key created earlier
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

Gruppo di volumi esistente

Questo set di esempi illustra come configurare un gruppo di volumi esistente per l'uso delle chiavi gestite dal cliente con un'identità assegnata dal sistema. I passaggi sono:

• Generare un'identità assegnata dal sistema per il gruppo di volumi.
• Ottenere l'ID entità di sicurezza della nuova identità assegnata dal sistema.
• Assegnare il ruolo Utente di crittografia del servizio di crittografia di Key Vault alla nuova identità per l'insieme di credenziali delle chiavi.
• Aggiornare il gruppo di volumi affinché usi le chiavi gestite dal cliente.

Usare questo esempio per configurare un gruppo di volumi esistente per l'uso della chiavi gestite dal cliente con un'identità assegnata dal sistema e l'aggiornamento automatico della versione delle chiavi tramite PowerShell:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Per configurare un gruppo di volumi esistente per l'uso delle chiavi gestite dal cliente con un'identità assegnata dal sistema e l'aggiornamento manuale della versione delle chiavi tramite PowerShell, aggiungere il parametro KeyVersion come illustrato in questo esempio:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
    KeyVersion   = $Key.Version
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Gruppo di volumi esistente

Usare gli esempi seguenti e le stesse variabili create in precedenza in questo articolo per configurare le chiavi gestite dal cliente per un gruppo di volumi esistente tramite l'interfaccia della riga di comando di Azure.

Identità gestita

### update the volume group with the new user assigned identity
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

Identità assegnata dal sistema

az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity '{type:SystemAssigned}' --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

Quando si aggiorna manualmente la versione delle chiavi, è necessario aggiornare le impostazioni di crittografia del gruppo di volumi per usare la nuova versione. Prima di tutto, eseguire una query per l'URI dell'insieme di credenziali delle chiavi chiamando az keyvault show e per la versione della chiave chiamando az keyvault key list-versions. Chiamare quindi az elastic-san volume-group update per aggiornare le impostazioni di crittografia del gruppo di volumi per usare la nuova versione della chiave, come illustrato nell'esempio precedente.

Passaggi successivi

• Gestire le chiavi del cliente per la crittografia dei dati di SAN di Elastic in Azure