Ключи, управляемые клиентом, для шифрования Azure Fluid Relay

Вы можете использовать собственный ключ шифрования для защиты данных в ресурсе Azure Fluid Relay. При указании ключа, управляемого клиентом (CMK), этот ключ используется для защиты и управления доступом к ключу, который шифрует данные. CMK обеспечивает большую гибкость управления доступом.

Для хранения CMK необходимо использовать одно из следующих хранилищ ключей Azure:

• Azure Key Vault
• Управляемый аппаратный модуль безопасности (HSM) в Azure Key Vault

Чтобы включить CMK, необходимо создать новый ресурс Ретранслятора Azure Fluid Relay. Вы не можете изменить включение и отключение CMK в существующем ресурсе Ретранслятора жидкости.

Кроме того, CMK из Ретранслятора жидкости зависит от управляемого удостоверения, и необходимо назначить управляемое удостоверение ресурсу Ретранслятора жидкости при включении CMK. Для CMK ресурса Fluid Relay разрешено только назначаемое пользователем удостоверение. Дополнительные сведения об управляемых удостоверениях см . здесь.

Настройка ресурса Ретранслятора с помощью CMK пока не может быть выполнена через портал Azure.

При настройке ресурса Динамическая ретрансляция с помощью CMK служба Azure Fluid Relay настраивает соответствующие параметры шифрования CMK в области учетной записи служба хранилища Azure, в которой хранятся артефакты сеанса Fluid. Дополнительные сведения о CMK в служба хранилища Azure см. здесь.

Чтобы убедиться, что ресурс Fluid Relay использует CMK, можно проверить свойство ресурса, отправив get и убедившись, имеет ли оно допустимое, непустое свойство encryption.customerManagedKeyEncryption.

Необходимые условия:

Перед настройкой CMK в ресурсе Azure Fluid Relay необходимо выполнить следующие предварительные требования:

• Ключи должны храниться в Azure Key Vault.
• Ключи должны быть ключами RSA, а не ключом EC, так как ключ EC не поддерживает ОБОЛОЧКУ и UNWRAP.
• Назначаемое пользователем управляемое удостоверение должно быть создано с необходимым разрешением (GET, WRAP и UNWRAP) в хранилище ключей на шаге 1. Дополнительные сведения см. здесь. Предоставьте GET, WRAP и UNWRAP в разделе "Разрешения ключей" в AKV.
• Azure Key Vault, назначаемое пользователем удостоверение и ресурс "Жидкость ретранслятор" должен находиться в одном регионе и в том же клиенте Microsoft Entra.

Создание ресурса Ретранслятора жидкости с помощью CMK

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>" 

Формат полезных данных запроса:

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
} 

Пример userAssignedIdentities и userAssignedIdentityResourceId: /subscriptions/ xxxx-xxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Пример keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Примечания:

• Identity.type должен быть UserAssigned. Это тип удостоверения управляемого удостоверения, назначенного ресурсу Динамизированного ретранслятора.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType должен быть UserAssigned. Это тип удостоверения управляемого удостоверения, который должен использоваться для CMK.
• Хотя можно указать несколько в Identity.userAssignedIdentities, для доступа к хранилищу ключей для шифрования будет использоваться только одно удостоверение пользователя, назначенное ресурсу Fluid Relay.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId — это идентификатор ресурса назначаемого пользователем удостоверения, который должен использоваться для CMK. Обратите внимание, что оно должно быть одним из удостоверений в Identity.userAssignedIdentities (прежде чем использовать его для CMK, необходимо назначить удостоверение ресурсу Fluid Relay). Кроме того, у него должны быть необходимые разрешения на ключ (предоставленные keyEncryptionKeyUrl).
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl — это идентификатор ключа, используемый для CMK.

Обновление параметров CMK существующего ресурса Ретранслятора жидкости

Вы можете обновить следующие параметры CMK в существующем ресурсе Ретранслятора жидкости:

• Измените удостоверение, используемое для доступа к ключу шифрования ключей.
• Измените идентификатор ключа шифрования ключа (URL-адрес ключа).
• Измените версию ключа ключа шифрования ключа.

Обратите внимание, что вы не можете отключить CMK в существующем ресурсе Ретранслятора жидкости после включения.

Запрос URL-адреса:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload" 

Пример полезных данных запроса для обновления URL-адреса ключа шифрования ключей:

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

См. также

• Обзор архитектуры Ретранслятора Жидкости Azure
• Хранилище данных в Ретрансляторе Жидкости Azure
• Шифрование данных в Ретрансляторе Жидкости Azure