Chaves gerenciadas pelo cliente para criptografia do Azure Fluid Relay
Você pode usar sua própria chave de criptografia para proteger os dados em seu recurso do Azure Fluid Relay. Quando você especifica uma chave gerenciada pelo cliente (CMK), essa chave é usada para proteger e controlar o acesso à chave que criptografa seus dados. A CMK oferece maior flexibilidade para gerenciar controles de acesso.
Você deve usar um dos seguintes armazenamentos de chaves do Azure para armazenar sua CMK:
Você deve criar um novo recurso do Azure Fluid Relay para habilitar a CMK. Não é possível alterar a ativação/desativação da CMK em um recurso existente do Fluid Relay.
Além disso, a CMK do Fluid Relay depende da Identidade Gerenciada, e você precisa atribuir uma identidade gerenciada ao recurso do Fluid Relay ao habilitar a CMK. Somente a identidade atribuída pelo usuário é permitida para o recurso Fluid Relay CMK. Para obter mais informações sobre identidades gerenciadas, consulte aqui.
A configuração de um recurso do Fluid Relay com a CMK ainda não pode ser feita através do portal do Azure.
Quando você configura o recurso Fluid Relay com CMK, o serviço Azure Fluid Relay define as configurações criptografadas CMK apropriadas no escopo da conta de Armazenamento do Azure onde seus artefatos de sessão Fluid são armazenados. Para obter mais informações sobre CMK no Armazenamento do Azure, consulte aqui.
Para verificar se um recurso do Fluid Relay está usando CMK, você pode verificar a propriedade do recurso enviando GET e ver se ele tem uma propriedade válida e não vazia de encryption.customerManagedKeyEncryption.
Pré-requisitos:
Antes de configurar a CMK em seu recurso do Azure Fluid Relay, os seguintes pré-requisitos devem ser atendidos:
- As chaves devem ser armazenadas em um Cofre de Chaves do Azure.
- As chaves devem ser chave RSA e não chave EC, uma vez que a chave EC não suporta WRAP e UNWRAP.
- Uma identidade gerenciada atribuída ao usuário deve ser criada com a permissão necessária (GET, WRAP e UNWRAP) para o cofre de chaves na etapa 1. Pode obter mais informações aqui. Por favor, conceda GET, WRAP e UNWRAP em Permissões de chave em AKV.
- O Cofre de Chaves do Azure, a identidade atribuída pelo usuário e o recurso Fluid Relay devem estar na mesma região e no mesmo locatário do Microsoft Entra.
Crie um recurso de Fluid Relay com CMK
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
Solicitar formato de carga útil:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
Exemplo userAssignedIdentities e userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
Exemplo keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
Notas:
- Identity.type deve ser UserAssigned. É o tipo de identidade da identidade gerenciada atribuída ao recurso Fluid Relay.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType deve ser UserAssigned. É o tipo de identidade da identidade gerenciada que deve ser usada para CMK.
- Embora você possa especificar mais de uma em Identity.userAssignedIdentities, apenas uma identidade de usuário atribuída ao recurso Fluid Relay especificado será usada para acessar CMK ao cofre de chaves para criptografia.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId é a ID de recurso da identidade atribuída ao usuário que deve ser usada para CMK. Observe que ele deve ser uma das identidades em Identity.userAssignedIdentities (Você deve atribuir a identidade ao recurso Fluid Relay antes que ele possa usá-lo para CMK). Além disso, ele deve ter as permissões necessárias na chave (fornecida por keyEncryptionKeyUrl).
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl é o identificador de chave usado para CMK.
Atualizar as configurações de CMK de um recurso existente do Fluid Relay
Você pode atualizar as seguintes configurações de CMK no recurso Fluid Relay existente:
- Altere a identidade usada para acessar a chave de criptografia de chave.
- Altere o identificador da chave de criptografia (URL da chave).
- Altere a versão da chave da chave de encriptação.
Observe que não é possível desativar a CMK no recurso Fluid Relay existente depois que ele estiver habilitado.
URL do Pedido:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
Exemplo de solicitação de carga útil para atualizar o URL da chave de criptografia de chave:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}