Konfigurowanie kluczy zarządzanych przez klienta

Usługa Azure Data Explorer szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz podać klucze zarządzane przez klienta do użycia na potrzeby szyfrowania danych.

Klucze zarządzane przez klienta muszą być przechowywane w usłudze Azure Key Vault. Możesz utworzyć własne klucze i przechowywać je w magazynie kluczy lub użyć interfejsu API usługi Azure Key Vault do generowania kluczy. Klaster usługi Azure Data Explorer i magazyn kluczy muszą znajdować się w tym samym regionie, ale mogą znajdować się w różnych subskrypcjach. Aby uzyskać szczegółowe wyjaśnienie dotyczące kluczy zarządzanych przez klienta, zobacz Klucze zarządzane przez klienta za pomocą usługi Azure Key Vault.

W tym artykule przedstawiono sposób konfigurowania kluczy zarządzanych przez klienta.

Konfigurowanie usługi Azure Key Vault

Aby skonfigurować klucze zarządzane przez klienta za pomocą usługi Azure Data Explorer, należy ustawić dwie właściwości w magazynie kluczy: Usuwanie nietrwałe i Nie przeczyszczanie. Te właściwości nie są domyślnie włączone. Aby włączyć te właściwości, wykonaj opcję Włączanie usuwania nietrwałego i włączanie ochrony przed przeczyszczeniem w programie PowerShell lub interfejsie wiersza polecenia platformy Azure w nowym lub istniejącym magazynie kluczy. Obsługiwane są tylko klucze RSA o rozmiarze 2048. Aby uzyskać więcej informacji na temat kluczy, zobacz Key Vault klucze.

Uwaga

Szyfrowanie danych przy użyciu kluczy zarządzanych przez klienta nie jest obsługiwane w klastrach liderów i obserwowanych.

Przypisywanie tożsamości zarządzanej do klastra

Aby włączyć klucze zarządzane przez klienta dla klastra, najpierw przypisz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika do klastra. Ta tożsamość zarządzana będzie używana do udzielania uprawnień klastra w celu uzyskania dostępu do magazynu kluczy. Aby skonfigurować tożsamości zarządzane, zobacz tożsamości zarządzane.

Włączanie szyfrowania przy użyciu kluczy zarządzanych przez klienta

Portal

W poniższych krokach wyjaśniono, jak włączyć szyfrowanie kluczy zarządzanych przez klienta przy użyciu Azure Portal. Domyślnie szyfrowanie usługi Azure Data Explorer używa kluczy zarządzanych przez firmę Microsoft. Skonfiguruj klaster usługi Azure Data Explorer do używania kluczy zarządzanych przez klienta i określ klucz do skojarzenia z klastrem.

1. W Azure Portal przejdź do zasobu klastra usługi Azure Data Explorer.

2. Wybierz pozycję Szyfrowanie ustawień> w lewym okienku portalu.

3. W okienku Szyfrowanie wybierz pozycję Wł . dla ustawienia Klucz zarządzany przez klienta .

4. Kliknij pozycję Wybierz klucz.

   

5. W oknie Wybieranie klucza z usługi Azure Key Vault wybierz istniejący magazyn kluczy z listy rozwijanej. Jeśli wybierzesz pozycję Utwórz nowy, aby utworzyć nowy Key Vault, nastąpi przekierowanie do ekranu Tworzenie Key Vault.

6. Wybierz pozycję Klucz.

7. Wersja:

   • Aby upewnić się, że ten klucz zawsze używa najnowszej wersji klucza, zaznacz pole wyboru Zawsze używaj bieżącej wersji klucza .
   • W przeciwnym razie wybierz pozycję Wersja.

8. Kliknij pozycję Wybierz.

   

9. W obszarze Typ tożsamości wybierz pozycję Przypisano system lub Przypisano użytkownika.

10. Jeśli wybierzesz pozycję Przypisano użytkownika, wybierz tożsamość przypisaną przez użytkownika z listy rozwijanej.

    

11. W okienku Szyfrowanie , które zawiera teraz klucz, wybierz pozycję Zapisz. Po pomyślnym utworzeniu klucza zarządzanego zostanie wyświetlony komunikat o powodzeniu w obszarze Powiadomienia.

    

Jeśli wybierzesz tożsamość przypisaną przez system podczas włączania kluczy zarządzanych przez klienta dla klastra usługi Azure Data Explorer, utworzysz tożsamość przypisaną przez system dla klastra, jeśli nie istnieje. Ponadto udostępnisz wymagane uprawnienia get, wrapKey i unwrapKey do klastra usługi Azure Data Explorer w wybranym Key Vault i uzyskasz właściwości Key Vault.

Uwaga

Wybierz pozycję Wyłączone , aby usunąć klucz zarządzany przez klienta po jego utworzeniu.

C#

W poniższych sekcjach opisano sposób konfigurowania szyfrowania kluczy zarządzanych przez klienta przy użyciu klienta usługi Azure Data Explorer C#.

Instalowanie pakietów

• Zainstaluj pakiet NuGet usługi Azure Data Explorer (Kusto).
• Zainstaluj pakiet NuGet MSAL na potrzeby uwierzytelniania za pomocą usługi Azure Active Directory (Azure AD).
• Zainstaluj pakiet NuGet Microsoft.Rest.ClientRuntime na potrzeby uwierzytelniania za pomocą usługi Azure Active Directory (Azure AD).

Authentication

Aby uruchomić przykłady w tym artykule, utwórz aplikację Azure AD i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Możesz dodać przypisanie roli w zakresie subskrypcji i uzyskać wymagane Azure AD Directory (tenant) IDwartości , Application IDi Application Secret.

Poniższy fragment kodu pokazuje, jak za pomocą biblioteki Microsoft Authentication Library (MSAL) uzyskać token aplikacji Azure AD w celu uzyskania dostępu do klastra. Aby przepływ zakończył się pomyślnie, aplikacja musi zostać zarejestrowana w Azure AD i musisz mieć poświadczenia uwierzytelniania aplikacji, takie jak Azure AD wystawiony klucz aplikacji lub certyfikat X.509v2 zarejestrowany Azure AD.

Konfigurowanie kluczy zarządzanych przez klienta

Domyślnie szyfrowanie usługi Azure Data Explorer używa kluczy zarządzanych przez firmę Microsoft. Skonfiguruj klaster usługi Azure Data Explorer do używania kluczy zarządzanych przez klienta i określ klucz do skojarzenia z klastrem.

1. Zaktualizuj klaster przy użyciu następującego kodu:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   // Create a confidential authentication client for Azure AD:
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret) // can be replaced by .WithCertificate to authenticate with an X.509 certificate
       .Build();
   // Acquire application token
   var result = authClient.AcquireTokenForClient(
       new[] { "https://management.core.windows.net/.default" } // Define scopes for accessing Azure management plane
   ).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterPatch = new ClusterUpdate(
       keyVaultProperties: new KeyVaultProperties(
           keyName: "<keyName>",
           keyVersion: "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           keyVaultUri: "https://<keyVaultName>.vault.azure.net/",
           userIdentity: "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       )
   );
   await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);
   

2. Uruchom następujące polecenie, aby sprawdzić, czy klaster został pomyślnie zaktualizowany:

   var clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Jeśli wynik zawiera ProvisioningStateSucceeded wartość, klaster został pomyślnie zaktualizowany.

Interfejs wiersza polecenia platformy Azure

W poniższych krokach wyjaśniono, jak włączyć szyfrowanie kluczy zarządzanych przez klienta przy użyciu klienta interfejsu wiersza polecenia platformy Azure. Domyślnie szyfrowanie usługi Azure Data Explorer używa kluczy zarządzanych przez firmę Microsoft. Skonfiguruj klaster usługi Azure Data Explorer do używania kluczy zarządzanych przez klienta i określ klucz do skojarzenia z klastrem.

1. Uruchom następujące polecenia, aby zalogować się na platformie Azure:

   az login
   

2. Ustaw subskrypcję, w której zarejestrowano klaster. Zastąp ciąg MyAzureSub nazwą subskrypcji platformy Azure, której chcesz użyć.

   az account set --subscription MyAzureSub
   

3. Uruchom następujące polecenie, aby ustawić nowy klucz z tożsamością przypisaną przez system klastra

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Alternatywnie ustaw nowy klucz przy użyciu tożsamości przypisanej przez użytkownika.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Uruchom następujące polecenie i sprawdź właściwość "keyVaultProperties", aby sprawdzić, czy klaster został pomyślnie zaktualizowany.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

Program PowerShell

W poniższych krokach wyjaśniono, jak włączyć szyfrowanie kluczy zarządzanych przez klienta przy użyciu programu PowerShell. Domyślnie szyfrowanie usługi Azure Data Explorer używa kluczy zarządzanych przez firmę Microsoft. Skonfiguruj klaster usługi Azure Data Explorer do używania kluczy zarządzanych przez klienta i określ klucz do skojarzenia z klastrem.

1. Uruchom następujące polecenia, aby zalogować się na platformie Azure:

   Connect-AzAccount
   

2. Ustaw subskrypcję, w której zarejestrowano klaster.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Uruchom następujące polecenie, aby ustawić nowy klucz przy użyciu tożsamości przypisanej przez system.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Alternatywnie ustaw nowy klucz przy użyciu tożsamości przypisanej przez użytkownika.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Uruchom następujące polecenie i sprawdź właściwość "KeyVaultProperty..." właściwości, aby sprawdzić, czy klaster został pomyślnie zaktualizowany.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

Szablon usługi ARM

W poniższych krokach wyjaśniono, jak skonfigurować klucze zarządzane przez klienta przy użyciu szablonów usługi Azure Resource Manager. Domyślnie szyfrowanie usługi Azure Data Explorer używa kluczy zarządzanych przez firmę Microsoft. W tym kroku skonfiguruj klaster usługi Azure Data Explorer do używania kluczy zarządzanych przez klienta i określ klucz do skojarzenia z klastrem.

Jeśli chcesz użyć tożsamości przypisanej przez system w celu uzyskania dostępu do magazynu kluczy, pozostaw userIdentity puste. W przeciwnym razie ustaw identyfikator zasobu tożsamości.

Szablon usługi Azure Resource Manager można wdrożyć przy użyciu Azure Portal lub programu PowerShell.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

Aktualizowanie wersji klucza

Podczas tworzenia nowej wersji klucza należy zaktualizować klaster, aby używał nowej wersji. Najpierw wywołaj metodę Get-AzKeyVaultKey , aby pobrać najnowszą wersję klucza. Następnie zaktualizuj właściwości magazynu kluczy klastra, aby użyć nowej wersji klucza, jak pokazano w temacie Włączanie szyfrowania przy użyciu kluczy zarządzanych przez klienta.

Następne kroki

• Zabezpieczanie klastrów usługi Azure Data Explorer na platformie Azure
• Konfigurowanie tożsamości zarządzanych dla klastra usługi Azure Data Explorer
• Zabezpieczanie klastra przy użyciu usługi Disk Encryption w usłudze Azure Data Explorer