Door de klant beheerde sleutels voor Azure Fluid Relay-versleuteling
U kunt uw eigen versleutelingssleutel gebruiken om de gegevens in uw Azure Fluid Relay-resource te beveiligen. Wanneer u een door de klant beheerde sleutel (CMK) opgeeft, wordt die sleutel gebruikt om de toegang tot de sleutel die uw gegevens versleutelt, te beveiligen en te beheren. CMK biedt meer flexibiliteit voor het beheren van toegangsbeheer.
U moet een van de volgende Azure-sleutelarchieven gebruiken om uw CMK op te slaan:
U moet een nieuwe Azure Fluid Relay-resource maken om CMK in te schakelen. U kunt de CMK-activering/-uitschakeling niet wijzigen voor een bestaande Fluid Relay-resource.
CMK van Fluid Relay is ook afhankelijk van beheerde identiteit en u moet een beheerde identiteit toewijzen aan de Fluid Relay-resource bij het inschakelen van CMK. Alleen door de gebruiker toegewezen identiteit is toegestaan voor Fluid Relay-resource CMK. Zie hier voor meer informatie over beheerde identiteiten.
Het configureren van een Fluid Relay-resource met CMK kan nog niet worden uitgevoerd via Azure Portal.
Wanneer u de Fluid Relay-resource configureert met CMK, configureert de Azure Fluid Relay-service de juiste met CMK versleutelde INSTELLINGEN in het Azure Storage-accountbereik waar uw Fluid Session Artifacts worden opgeslagen. Zie hier voor meer informatie over CMK in Azure Storage.
Als u wilt controleren of een Fluid Relay-resource CMK gebruikt, kunt u de eigenschap van de resource controleren door GET te verzenden en te zien of deze geldige, niet-lege eigenschap van encryption.customerManagedKeyEncryption heeft.
Vereisten:
Voordat u CMK configureert op uw Azure Fluid Relay-resource, moet aan de volgende vereisten worden voldaan:
- Sleutels moeten worden opgeslagen in een Azure Key Vault.
- Sleutels moeten RSA-sleutel zijn en geen EC-sleutel, omdat EC-sleutel geen ondersteuning biedt voor WRAP en UNWRAP.
- In stap 1 moet een door de gebruiker toegewezen beheerde identiteit worden gemaakt met de benodigde machtiging (GET, WRAP en UNWRAP) aan de sleutelkluis. Meer informatie vindt u hier. Vernieuw GET, WRAP en UNWRAP onder Sleutelmachtigingen in AKV.
- Azure Key Vault, door de gebruiker toegewezen identiteit en de Fluid Relay-resource moeten zich in dezelfde regio en in dezelfde Microsoft Entra-tenant bevinden.
Een Fluid Relay-resource maken met CMK
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
Indeling van nettolading aanvragen:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
Voorbeeld van userAssignedIdentities en userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
Voorbeeld van keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
Opmerkingen:
- Identity.type moet UserAssigned zijn. Het is het identiteitstype van de beheerde identiteit die is toegewezen aan de Fluid Relay-resource.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType moet UserAssigned zijn. Het is het identiteitstype van de beheerde identiteit die moet worden gebruikt voor CMK.
- Hoewel u meer dan één in Identity.userAssignedIdentities kunt opgeven, wordt slechts één gebruikersidentiteit die is toegewezen aan de Fluid Relay-resource die is opgegeven, gebruikt voor CMK-toegang tot de sleutelkluis voor versleuteling.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId is de resource-id van de door de gebruiker toegewezen identiteit die moet worden gebruikt voor CMK. U ziet dat het een van de identiteiten in Identity.userAssignedIdentities moet zijn (u moet de identiteit toewijzen aan Fluid Relay-resource voordat deze kan worden gebruikt voor CMK). Bovendien moet deze over de benodigde machtigingen beschikken voor de sleutel (geleverd door keyEncryptionKeyUrl).
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl is de sleutel-id die wordt gebruikt voor CMK.
CMK-instellingen van een bestaande Fluid Relay-resource bijwerken
U kunt de volgende CMK-instellingen bijwerken voor de bestaande Fluid Relay-resource:
- Wijzig de identiteit die wordt gebruikt voor toegang tot de sleutelversleutelingssleutel.
- Wijzig de sleutelversleutelingssleutel-id (sleutel-URL).
- Wijzig de sleutelversie van de sleutelversleutelingssleutel.
Houd er rekening mee dat u CMK niet kunt uitschakelen voor een bestaande Fluid Relay-resource zodra deze is ingeschakeld.
Aanvraag-URL:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
Voorbeeld van nettolading aanvragen voor het bijwerken van de URL van de sleutelversleutelingssleutel:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}
Zie ook
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor