Partilhar via

Usar chaves de criptografia gerenciadas pelo cliente com o Azure Managed Lustre

  • Artigo

Você pode usar o Azure Key Vault para controlar a propriedade das chaves usadas para criptografar seus dados armazenados em um sistema de arquivos do Azure Managed Lustre. Este artigo explica como usar chaves gerenciadas pelo cliente para criptografia de dados com o Azure Managed Lustre.

Nota

Todos os dados armazenados no Azure são criptografados em repouso usando chaves gerenciadas pela Microsoft por padrão. Você só precisa seguir as etapas neste artigo se quiser gerenciar as chaves usadas para criptografar seus dados quando eles estiverem armazenados em seu cluster do Azure Managed Lustre.

A criptografia de host de VM protege todas as informações nos discos gerenciados que armazenam seus dados em um sistema de arquivos do Azure Managed Lustre, mesmo se você adicionar uma Chave do Cliente para os discos do Lustre. Adicionar uma chave gerenciada pelo cliente oferece um nível extra de segurança para necessidades de alta segurança. Para obter mais informações, consulte Criptografia do lado do servidor do armazenamento em disco do Azure.

Há três etapas para habilitar a criptografia de chave gerenciada pelo cliente para o Azure Managed Lustre:

  1. Configure um Cofre da Chave do Azure para armazenar as chaves.
  2. Crie uma identidade gerenciada que possa acessar esse cofre de chaves.
  3. Ao criar o sistema de arquivos, escolha a criptografia de chave gerenciada pelo cliente e especifique o cofre de chaves, a chave e a identidade gerenciada a serem usados.

Este artigo explica essas etapas com mais detalhes.

Depois de criar o sistema de arquivos, não é possível alternar entre chaves gerenciadas pelo cliente e chaves gerenciadas pela Microsoft.

Pré-requisitos

Você pode usar um cofre de chaves e uma chave pré-existentes ou pode criar novos cofres e chaves para usar com o Azure Managed Lustre. Consulte as seguintes configurações necessárias para garantir que você tenha um cofre de chaves e uma chave configurados corretamente.

Criar um cofre de chaves e uma chave

Configure um cofre de chaves do Azure para armazenar suas chaves de criptografia. O cofre de chaves e a chave devem atender a esses requisitos para trabalhar com o Azure Managed Lustre.

Propriedades do cofre da chave

As configurações a seguir são necessárias para uso com o Azure Managed Lustre. Você pode configurar opções que não estão listadas conforme necessário.

Básico:

  • Assinatura - Use a mesma assinatura usada para o cluster do Azure Managed Lustre.
  • Região - O cofre de chaves deve estar na mesma região que o cluster do Azure Managed Lustre.
  • Nível de preços - A camada padrão é suficiente para uso com o Azure Managed Lustre.
  • Exclusão suave - O Azure Managed Lustre habilita a exclusão suave se ainda não estiver configurado no cofre de chaves.
  • Proteção contra purga - Habilite a proteção contra purga.

Política de acesso:

  • Configuração de Acesso - Defina como controle de acesso baseado em função do Azure.

Rede:

  • Acesso Público - Deve estar habilitado.

  • Permitir acesso - Selecione Todas as redes ou, se precisar restringir o acesso, selecione Redes selecionadas

    • Se Redes selecionadas for escolhida, você deverá habilitar a opção Permitir que serviços confiáveis da Microsoft ignorem esse firewall na seção Exceção abaixo.

Captura de ecrã a mostrar como restringir o acesso ao cofre de chaves a redes selecionadas, permitindo ao mesmo tempo o acesso a serviços Microsoft fidedignos.

Nota

Se estiver a utilizar um cofre de chaves existente, pode rever a secção de definições de rede para confirmar se Permitir acesso a partir de está definido como Permitir acesso público a partir de todas as redes ou fazer alterações, se necessário.

Propriedades chave

  • Tipo de chave - RSA
  • Tamanho da chave RSA - 2048
  • Ativado - Sim

Permissões de acesso ao cofre de chaves:

  • O usuário que cria o sistema Azure Managed Lustre deve ter permissões equivalentes à função de colaborador do Cofre da Chave. As mesmas permissões são necessárias para configurar e gerenciar o Azure Key Vault.

    Para obter mais informações, consulte Acesso seguro a um cofre de chaves.

Saiba mais sobre as noções básicas do Azure Key Vault.

Criar uma identidade gerida atribuída pelo utilizador

O sistema de arquivos do Azure Managed Lustre precisa de uma identidade gerenciada atribuída pelo usuário para acessar o cofre de chaves.

As identidades gerenciadas são credenciais de identidade autônomas que substituem as identidades do usuário ao acessar os serviços do Azure por meio da ID do Microsoft Entra. Como outros usuários, eles podem receber funções e permissões. Saiba mais sobre identidades gerenciadas.

Crie essa identidade antes de criar o sistema de arquivos e dê a ele acesso ao cofre de chaves.

Nota

Se você fornecer uma identidade gerenciada que não pode acessar o cofre de chaves, não poderá criar o sistema de arquivos.

Para obter mais informações, consulte a documentação de identidades gerenciadas:

Criar o sistema de arquivos do Azure Managed Lustre com chaves de criptografia gerenciadas pelo cliente

Ao criar seu sistema de arquivos do Azure Managed Lustre, use a guia Chaves de criptografia de disco para selecionar Gerenciado pelo cliente na configuração Tipo de chave de criptografia de disco. Outras seções são exibidas para configurações de Chave do Cliente e Identidades gerenciadas.

Captura de ecrã da interface do portal do Azure para criar um novo sistema Azure Managed Lustre, com a seleção de gestão do cliente.

Lembre-se de que você só pode configurar chaves gerenciadas pelo cliente no momento da criação. Não é possível alterar o tipo de chaves de criptografia usadas para um sistema de arquivos existente do Azure Managed Lustre.

Configurações da chave do cliente

Selecione o link em Configurações da chave do cliente para selecionar as configurações do cofre de chaves, da chave e da versão. Você também pode criar um novo Cofre da Chave do Azure nesta página. Se você criar um novo cofre de chaves, lembre-se de conceder acesso à sua identidade gerenciada a ele.

Se o Azure Key Vault não aparecer na lista, verifique estes requisitos:

  • O sistema de arquivos está na mesma assinatura que o cofre de chaves?
  • O sistema de arquivos está na mesma região do cofre de chaves?
  • Existe conectividade de rede entre o portal do Azure e o cofre da chave?

Depois de selecionar um cofre, selecione a chave individual entre as opções disponíveis ou crie uma nova chave. A chave deve ser uma chave RSA de 2048 bits.

Especifique a versão para a chave selecionada. Para obter mais informações sobre controle de versão, consulte a documentação do Azure Key Vault.

Configurações de identidades gerenciadas

Selecione o link em Identidades gerenciadas e selecione a identidade que o sistema de arquivos Azure Managed Lustre usa para acesso ao cofre de chaves.

Depois de definir essas configurações de chave de criptografia, vá para a guia Revisar + criar e conclua a criação do sistema de arquivos como de costume.

Próximos passos

Estes artigos explicam mais sobre como usar o Cofre de Chaves do Azure e chaves gerenciadas pelo cliente para criptografar dados no Azure: