Delen via

Door de klant beheerde versleutelingssleutels gebruiken met Azure Managed Lustre

  • Artikel

U kunt Azure Key Vault gebruiken om het eigendom te beheren van de sleutels die worden gebruikt voor het versleutelen van uw gegevens die zijn opgeslagen in een Azure Managed Lustre-bestandssysteem. In dit artikel wordt uitgelegd hoe u door de klant beheerde sleutels gebruikt voor gegevensversleuteling met Azure Managed Lustre.

Notitie

Alle gegevens die in Azure zijn opgeslagen, worden standaard versleuteld met door Microsoft beheerde sleutels. U hoeft alleen de stappen in dit artikel te volgen als u de sleutels wilt beheren die worden gebruikt om uw gegevens te versleutelen wanneer deze worden opgeslagen in uw Azure Managed Lustre-cluster.

Vm-hostversleuteling beveiligt alle informatie op de beheerde schijven die uw gegevens in een Azure Managed Lustre-bestandssysteem bevatten, zelfs als u een klantsleutel voor de Lustre-schijven toevoegt. Het toevoegen van een door de klant beheerde sleutel biedt een extra beveiligingsniveau voor hoge beveiligingsbehoeften. Zie Versleuteling aan serverzijde van Azure-schijfopslag voor meer informatie.

Er zijn drie stappen voor het inschakelen van door de klant beheerde sleutelversleuteling voor Azure Managed Lustre:

  1. Stel een Azure Key Vault in om de sleutels op te slaan.
  2. Maak een beheerde identiteit die toegang heeft tot die sleutelkluis.
  3. Wanneer u het bestandssysteem maakt, kiest u door de klant beheerde sleutelversleuteling en geeft u de sleutelkluis, sleutel en beheerde identiteit op die u wilt gebruiken.

In dit artikel worden deze stappen in meer detail uitgelegd.

Nadat u het bestandssysteem hebt gemaakt, kunt u niet wisselen tussen door de klant beheerde sleutels en door Microsoft beheerde sleutels.

Vereisten

U kunt een bestaande sleutelkluis en sleutel gebruiken of u kunt nieuwe maken voor gebruik met Azure Managed Lustre. Zie de volgende vereiste instellingen om ervoor te zorgen dat u een correct geconfigureerde sleutelkluis en sleutel hebt.

Een sleutelkluis en sleutel maken

Stel een Azure-sleutelkluis in om uw versleutelingssleutels op te slaan. De sleutelkluis en sleutel moeten voldoen aan deze vereisten voor gebruik met Azure Managed Lustre.

Eigenschappen van key vault

De volgende instellingen zijn vereist voor gebruik met Azure Managed Lustre. U kunt opties configureren die niet worden vermeld als dat nodig is.

Basisprincipes:

  • Abonnement : gebruik hetzelfde abonnement dat wordt gebruikt voor het Azure Managed Lustre-cluster.
  • Regio: de sleutelkluis moet zich in dezelfde regio bevinden als het Azure Managed Lustre-cluster.
  • Prijscategorie : de Standard-laag is voldoende voor gebruik met Azure Managed Lustre.
  • Voorlopig verwijderen : Met Azure Managed Lustre kunt u voorlopig verwijderen inschakelen als deze nog niet is geconfigureerd in de sleutelkluis.
  • Beveiliging tegen opschonen : beveiliging tegen opschonen inschakelen.

Toegangsbeleid:

  • Toegangsconfiguratie : instellen op op rollen gebaseerd toegangsbeheer van Azure.

Netwerken:

  • Openbare toegang : moet zijn ingeschakeld.

  • Toegang toestaan - Alle netwerken selecteren of, als u de toegang wilt beperken, geselecteerde netwerken selecteren

    • Als geselecteerde netwerken zijn gekozen, moet u de vertrouwde Microsoft-services toestaan inschakelen om deze firewalloptie te omzeilen in de sectie Uitzondering hieronder.

Schermopname die laat zien hoe u de toegang tot de sleutelkluis tot geselecteerde netwerken beperkt, terwijl u toegang tot vertrouwde Microsoft-services toestaat.

Notitie

Als u een bestaande sleutelkluis gebruikt, kunt u de sectie netwerkinstellingen bekijken om te bevestigen dat Toegang toestaan is ingesteld op Openbare toegang vanuit alle netwerken toestaan of zo nodig wijzigingen aanbrengen.

Belangrijke eigenschappen

  • Sleuteltype - RSA
  • RSA-sleutelgrootte - 2048
  • Ingeschakeld - Ja

Toegangsmachtigingen voor Key Vault:

  • De gebruiker die het Azure Managed Lustre-systeem maakt, moet machtigingen hebben die gelijk zijn aan de rol Key Vault-inzender. Dezelfde machtigingen zijn nodig voor het instellen en beheren van Azure Key Vault.

    Zie Beveiligde toegang tot een sleutelkluis voor meer informatie.

Meer informatie over de basisbeginselen van Azure Key Vault.

Een door de gebruiker toegewezen beheerde identiteit maken

Het azure Managed Lustre-bestandssysteem heeft een door de gebruiker toegewezen beheerde identiteit nodig voor toegang tot de sleutelkluis.

Beheerde identiteiten zijn zelfstandige identiteitsreferenties die de plaats innemen van gebruikersidentiteiten bij het openen van Azure-services via Microsoft Entra-id. Net als andere gebruikers kunnen ze rollen en machtigingen toewijzen. Meer informatie over beheerde identiteiten.

Maak deze identiteit voordat u het bestandssysteem maakt en geef deze toegang tot de sleutelkluis.

Notitie

Als u een beheerde identiteit opgeeft die geen toegang heeft tot de sleutelkluis, kunt u het bestandssysteem niet maken.

Zie de documentatie voor beheerde identiteiten voor meer informatie:

Het Azure Managed Lustre-bestandssysteem maken met door de klant beheerde versleutelingssleutels

Wanneer u uw Azure Managed Lustre-bestandssysteem maakt, gebruikt u het tabblad Schijfversleutelingssleutels om klant te selecteren die wordt beheerd in de instelling schijfversleutelingssleuteltype . Andere secties worden weergegeven voor klantsleutelinstellingen en beheerde identiteiten.

Schermopname van de Azure Portal-interface voor het maken van een nieuw Azure Managed Lustre-systeem, waarbij de klant is geselecteerd.

Houd er rekening mee dat u alleen door de klant beheerde sleutels kunt instellen tijdens het maken. U kunt het type versleutelingssleutels dat wordt gebruikt voor een bestaand Azure Managed Lustre-bestandssysteem niet wijzigen.

Instellingen voor de klantsleutel

Selecteer de koppeling in de instellingen van de klantsleutel om de sleutelkluis, sleutel en versie-instellingen te selecteren. U kunt ook een nieuwe Azure Key Vault maken op deze pagina. Als u een nieuwe sleutelkluis maakt, moet u uw beheerde identiteit toegang geven tot deze kluis.

Als uw Azure Key Vault niet wordt weergegeven in de lijst, controleert u de volgende vereisten:

  • Bevindt het bestandssysteem zich in hetzelfde abonnement als de sleutelkluis?
  • Bevindt het bestandssysteem zich in dezelfde regio als de sleutelkluis?
  • Is er een netwerkverbinding tussen Azure Portal en de sleutelkluis?

Nadat u een kluis hebt geselecteerd, selecteert u de afzonderlijke sleutel in de beschikbare opties of maakt u een nieuwe sleutel. De sleutel moet een 2048-bits RSA-sleutel zijn.

Geef de versie voor de geselecteerde sleutel op. Zie de documentatie van Azure Key Vault voor meer informatie over versiebeheer.

Instellingen voor beheerde identiteiten

Selecteer de koppeling in Beheerde identiteiten en selecteer de identiteit die het Azure Managed Lustre-bestandssysteem gebruikt voor toegang tot de sleutelkluis.

Nadat u deze instellingen voor versleutelingssleutels hebt geconfigureerd, gaat u verder met het tabblad Controleren en maken en voltooit u het maken van het bestandssysteem zoals gebruikelijk.

Volgende stappen

In deze artikelen wordt meer uitgelegd over het gebruik van Azure Key Vault en door de klant beheerde sleutels voor het versleutelen van gegevens in Azure: