Настройка ключей, управляемых клиентом, с помощью управляемого модуля безопасности оборудования для шифрования томов Azure NetApp Files
Шифрование томов Azure NetApp Files с ключами, управляемыми клиентом, с помощью управляемого модуля безопасности оборудования (HSM) — это расширение для ключей, управляемых клиентом, для функции шифрования томов Azure NetApp Files. Управляемые клиентом ключи с HSM позволяют хранить ключи шифрования в более безопасной службе FIPS 140-2 уровня 3 HSM вместо службы FIPS 140-2 уровня 1 или уровня 2, используемой в Azure Key Vault (AKV).
Требования
- Ключи, управляемые клиентом, с управляемым HSM поддерживаются с помощью версии API 2022.11 или более поздней версии.
- Ключи, управляемые клиентом, с управляемым HSM поддерживаются только для учетных записей Azure NetApp Files, которые не имеют существующего шифрования.
- Прежде чем создавать том с помощью ключа, управляемого клиентом, с управляемым томом HSM, необходимо:
- создал Azure Key Vault, содержащий по крайней мере один ключ.
- Для хранилища ключей должны быть включены обратимое удаление и защита от очистки.
- Ключ должен иметь тип RSA.
- создать виртуальную сеть с подсетью, делегированной в Microsoft.Netapp/volumes.
- удостоверение, назначаемое пользователем или системой, для учетной записи Azure NetApp Files.
- подготовлен и активирован управляемый HSM.
- создал Azure Key Vault, содержащий по крайней мере один ключ.
Поддерживаемые регионы
- Центральная Австралия
- Центральная Австралия 2
- Восточная Австралия
- Юго-Восточная часть Австралии
- Южная Бразилия
- Юго-Восточная Бразилия
- Центральная Канада
- Восточная Канада
- Центральная Индия
- Центральная часть США
- Восточная Азия
- Восточная часть США
- Восточная часть США 2
- Центральная Франция
- Северная Германия
- Центрально-Западная Германия
- Израиль, центральный регион
- Северная Италия
- Восточная Япония
- Западная Япония
- Республика Корея, центральный регион
- Центрально-северная часть США
- Северная Европа
- Восточная Норвегия;
- Западная Норвегия
- Центральный Катар
- Северная часть ЮАР;
- Центрально-южная часть США
- Южная Индия
- Юго-Восточная Азия
- Центральная Испания
- Центральная Швеция
- Северная Швейцария
- Западная Швейцария
- Центральная часть ОАЭ
- Северная часть ОАЭ;
- южная часть Соединенного Королевства
- Западная Европа
- западная часть США
- западная часть США 2
- Западная часть США — 3
регистрация компонента
Эта функция в настоящее время доступна для предварительного ознакомления. Если эта функция используется впервые, ее необходимо сначала зарегистрировать. После регистрации эта функция будет включена и начнет работать в фоновом режиме. Элемент управления пользовательским интерфейсом не требуется.
Регистрация компонента.
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryptionПроверка состояния регистрации функции.
Примечание.
RegistrationState может находиться в состоянии
Registeringдо 60 минут, прежде чем изменится наRegistered. Перед продолжением подождите, пока состояние не изменится на Зарегистрировано.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
Вы также можете использовать команды Azure CLI az feature register и az feature show, чтобы зарегистрировать эту функцию и отобразить состояние регистрации.
Настройка ключей, управляемых клиентом, с управляемым HSM для удостоверения, назначаемого системой
При настройке ключей, управляемых клиентом, с удостоверением, назначаемым системой, Azure автоматически настраивает учетную запись NetApp, добавив назначаемое системой удостоверение. Политика доступа создается в Azure Key Vault с разрешениями на получение, шифрование и расшифровку.
Требования
Чтобы использовать назначаемое системой удостоверение, Azure Key Vault необходимо настроить для использования политики доступа Хранилища в качестве ее модели разрешений. В противном случае необходимо использовать удостоверение, назначаемое пользователем.
Шаги
В портал Azure перейдите к Azure NetApp Files и выберите "Шифрование".
В меню "Шифрование" укажите следующие значения:
- Для источника ключа шифрования выберите управляемый клиентом ключ.
- Для URI ключа выберите URI ключа ввод, а затем укажите универсальный код ресурса (URI) управляемого модуля HSM.
- Выберите подписку NetApp.
- Для типа удостоверений выберите "Назначаемое системой".
Выберите Сохранить.
Настройка ключей, управляемых клиентом, с управляемым HSM для удостоверения, назначаемого пользователем
В портал Azure перейдите к Azure NetApp Files и выберите "Шифрование".
В меню "Шифрование" укажите следующие значения:
- Для источника ключа шифрования выберите управляемый клиентом ключ.
- Для URI ключа выберите URI ключа ввод, а затем укажите универсальный код ресурса (URI) управляемого модуля HSM.
- Выберите подписку NetApp.
- Для типа удостоверения выберите назначаемый пользователем тип.
При выборе назначаемого пользователем области контекста откроется, чтобы выбрать удостоверение.
- Если Azure Key Vault настроен на использование политики доступа к Хранилищу, Azure настраивает учетную запись NetApp автоматически и добавляет удостоверение, назначаемое пользователем, в учетную запись NetApp. Политика доступа создается в Azure Key Vault с разрешениями на получение, шифрование и расшифровку.
- Если Azure Key Vault настроено на использование управления доступом на основе ролей Azure (RBAC), убедитесь, что выбранное удостоверение, назначаемое пользователем, имеет назначение роли в хранилище ключей с разрешениями для действий с данными:
- "Microsoft.KeyVault/vaults/keys/read"
- "Microsoft.KeyVault/vaults/keys/encrypt/action"
- "Microsoft.KeyVault/vaults/keys/decrypt/action" Выбранное пользователем удостоверение добавляется в учетную запись NetApp. Из-за настраиваемого RBAC портал Azure не настраивает доступ к хранилищу ключей. Дополнительные сведения см. в статье "Использование секрета, ключа и сертификата Azure RBAC с помощью Key Vault"
Выберите Сохранить.
