Ключи, управляемые клиентом, для шифрования Azure Fluid Relay
Вы можете использовать собственный ключ шифрования для защиты данных в ресурсе Azure Fluid Relay. При указании ключа, управляемого клиентом (CMK), этот ключ используется для защиты и управления доступом к ключу, который шифрует данные. CMK обеспечивает большую гибкость управления доступом.
Для хранения CMK необходимо использовать одно из следующих хранилищ ключей Azure:
Чтобы включить CMK, необходимо создать новый ресурс Ретранслятора Azure Fluid Relay. Вы не можете изменить включение и отключение CMK в существующем ресурсе Ретранслятора жидкости.
Кроме того, CMK из Ретранслятора жидкости зависит от управляемого удостоверения, и необходимо назначить управляемое удостоверение ресурсу Ретранслятора жидкости при включении CMK. Для CMK ресурса Fluid Relay разрешено только назначаемое пользователем удостоверение. Дополнительные сведения об управляемых удостоверениях см . здесь.
Настройка ресурса Ретранслятора с помощью CMK пока не может быть выполнена через портал Azure.
При настройке ресурса Динамическая ретрансляция с помощью CMK служба Ретранслятора Azure настраивает соответствующие параметры шифрования CMK в учетной записи служба хранилища Azure область, где хранятся артефакты сеанса Fluid. Дополнительные сведения о CMK в служба хранилища Azure см. здесь.
Чтобы убедиться, что ресурс Fluid Relay использует CMK, можно проверка свойство ресурса, отправив GET и убедившись, имеет ли он допустимое, непустое свойство encryption.customerManagedKeyEncryption.
Необходимые условия:
Перед настройкой CMK в ресурсе Azure Fluid Relay необходимо выполнить следующие предварительные требования:
- Ключи должны храниться в Azure Key Vault.
- Ключи должны быть ключами RSA, а не ключом EC, так как ключ EC не поддерживает ОБОЛОЧКУ и UNWRAP.
- Назначаемое пользователем управляемое удостоверение должно быть создано с необходимым разрешением (GET, WRAP и UNWRAP) в хранилище ключей на шаге 1. Дополнительные сведения см. здесь. Предоставьте GET, WRAP и UNWRAP в разделе "Разрешения ключей" в AKV.
- Azure Key Vault, назначаемое пользователем удостоверение и ресурс "Жидкость ретранслятор" должен находиться в одном регионе и в том же клиенте Microsoft Entra.
Создание ресурса Ретранслятора жидкости с помощью CMK
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
Формат полезных данных запроса:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
Пример userAssignedIdentities и userAssignedIdentityResourceId: /subscriptions/ xxxx-xxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
Пример keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
Примечания
- Identity.type должен быть UserAssigned. Это тип удостоверения управляемого удостоверения, назначенного ресурсу Динамизированного ретранслятора.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType должен быть UserAssigned. Это тип удостоверения управляемого удостоверения, который должен использоваться для CMK.
- Хотя можно указать несколько в Identity.userAssignedIdentities, для доступа к хранилищу ключей для шифрования будет использоваться только одно удостоверение пользователя, назначенное ресурсу Fluid Relay.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId — это идентификатор ресурса назначаемого пользователем удостоверения, который должен использоваться для CMK. Обратите внимание, что оно должно быть одним из удостоверений в Identity.userAssignedIdentities (прежде чем использовать его для CMK, необходимо назначить удостоверение ресурсу Fluid Relay). Кроме того, у него должны быть необходимые разрешения на ключ (предоставленные keyEncryptionKeyUrl).
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl — это идентификатор ключа, используемый для CMK.
Обновление параметров CMK существующего ресурса Ретранслятора жидкости
Вы можете обновить следующие параметры CMK в существующем ресурсе Ретранслятора жидкости:
- Измените удостоверение, используемое для доступа к ключу шифрования ключей.
- Измените идентификатор ключа шифрования ключа (URL-адрес ключа).
- Измените версию ключа ключа шифрования ключа.
Обратите внимание, что вы не можете отключить CMK в существующем ресурсе Ретранслятора жидкости после включения.
Запрос URL-адреса:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
Пример полезных данных запроса для обновления URL-адреса ключа шифрования ключей:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}