Konfigurera kundhanterade nycklar för Azure NetApp Files-volymkryptering

Med kundhanterade nycklar för Azure NetApp Files-volymkryptering kan du använda dina egna nycklar i stället för en plattformshanterad nyckel när du skapar en ny volym. Med kundhanterade nycklar kan du helt hantera relationen mellan en nyckels livscykel, behörigheter för nyckelanvändning och granskningsåtgärder på nycklar.

Följande diagram visar hur kundhanterade nycklar fungerar med Azure NetApp Files:

1. Azure NetApp Files ger behörighet till krypteringsnycklar till en hanterad identitet. Den hanterade identiteten är antingen en användartilldelad hanterad identitet som du skapar och hanterar eller en systemtilldelad hanterad identitet som är associerad med NetApp-kontot.

2. Du konfigurerar kryptering med en kundhanterad nyckel för NetApp-kontot.

3. Du använder den hanterade identitet som Azure Key Vault-administratören beviljade behörigheter till i steg 1 för att autentisera åtkomst till Azure Key Vault via Microsoft Entra-ID.

4. Azure NetApp Files omsluter kontokrypteringsnyckeln med den kundhanterade nyckeln i Azure Key Vault.

   Kundhanterade nycklar har ingen prestandapåverkan på Azure NetApp Files. Den enda skillnaden från plattformshanterade nycklar är hur nyckeln hanteras.

5. För läs-/skrivåtgärder skickar Azure NetApp Files begäranden till Azure Key Vault för att packa upp kontokrypteringsnyckeln för att utföra krypterings- och dekrypteringsåtgärder.

Att tänka på

• Om du vill skapa en volym med kundhanterade nycklar måste du välja standardnätverksfunktionerna . Du kan inte använda kundhanterade nyckelvolymer med volym konfigurerad med hjälp av grundläggande nätverksfunktioner. Följ anvisningarna i för att ange alternativet Nätverksfunktioner på sidan för att skapa volymer.
• För ökad säkerhet kan du välja alternativet Inaktivera offentlig åtkomst i nätverksinställningarna för ditt nyckelvalv. När du väljer det här alternativet måste du också välja Tillåt betrodda Microsoft usluge att kringgå brandväggen för att tillåta att Azure NetApp Files-tjänsten får åtkomst till krypteringsnyckeln.
• Kundhanterade nycklar stöder automatisk msi-certifikatförnyelse (Managed System Identity). Om certifikatet är giltigt behöver du inte uppdatera det manuellt.
• Användning av Azure-nätverkssäkerhetsgrupper i det privata länkundernätet till Azure Key Vault stöds inte för kundhanterade Azure NetApp Files-nycklar. Nätverkssäkerhetsgrupper påverkar inte anslutningen till Private Link om det inte Private endpoint network policy är aktiverat i undernätet. Det krävs för att det här alternativet ska vara inaktiverat.
• Om Azure NetApp Files inte kan skapa en kundhanterad nyckelvolym visas felmeddelanden. Mer information finns i avsnittet Felmeddelanden och felsökning .
• Gör inga ändringar i den underliggande privata Azure Key Vault- eller Azure-slutpunkten när du har skapat en volym för kundhanterade nycklar. Att göra ändringar kan göra volymerna otillgängliga.
• Om Azure Key Vault blir otillgängligt förlorar Azure NetApp Files sin åtkomst till krypteringsnycklarna och möjligheten att läsa eller skriva data till volymer som är aktiverade med kundhanterade nycklar. I sådant fall skapar du en supportbegäran för att få åtkomsten återställd manuellt för de berörda volymerna.
• Azure NetApp Files stöder kundhanterade nycklar på käll- och datareplikeringsvolymer med replikering mellan regioner eller replikeringsrelationer mellan regioner.

Regioner som stöds

Kundhanterade nycklar i Azure NetApp Files stöds för följande regioner:

• Australien, centrala
• Australien, centrala 2
• Australien, östra
• Australien, sydöstra
• Brasilien, södra
• Brasilien, sydöstra
• Kanada, centrala
• Kanada, östra
• Indien, centrala
• Central US
• Asien, östra
• East US
• USA, östra 2
• Centrala Frankrike
• Tyskland, norra
• Tyskland, västra centrala
• Israel, centrala
• Italien, norra
• Japan, östra
• Japan, västra
• Sydkorea, centrala
• Sydkorea, södra
• USA, norra centrala
• Europa, norra
• Norge, östra
• Norge, västra
• Qatar, centrala
• Sydafrika, norra
• USA, södra centrala
• Indien, södra
• Sydostasien
• Sverige, centrala
• Schweiz, norra
• Schweiz, västra
• Förenade Arabemiraten, centrala
• Förenade Arabemiraten, norra
• Storbritannien, södra
• Storbritannien, västra
• US Gov, Arizona
• US Gov, Texas
• US Gov, Virginia
• Europa, västra
• USA, västra
• USA, västra 2
• USA, västra 3

Krav

Innan du skapar din första kundhanterade nyckelvolym måste du konfigurera:

• Ett Azure Key Vault som innehåller minst en nyckel.
  • Nyckelvalvet måste ha mjukt borttagnings- och rensningsskydd aktiverat.
  • Nyckeln måste vara av typen RSA.
• Nyckelvalvet måste ha en privat Azure-slutpunkt.
  • Den privata slutpunkten måste finnas i ett annat undernät än den som delegeras till Azure NetApp Files. Undernätet måste finnas i samma virtuella nätverk som det som delegerats till Azure NetApp.

Mer information om Azure Key Vault och azure private endpoint finns i:

• Snabbstart: Skapa ett nyckelvalv
• Skapa eller importera en nyckel till valvet
• Skapa en privat slutpunkt
• Mer om nycklar och nyckeltyper som stöds
• Nätverkssäkerhetsgrupper
• Hantera nätverksprinciper för privata slutpunkter

Konfigurera ett NetApp-konto för att använda kundhanterade nycklar

Portal

1. I Azure-portalen och under Azure NetApp Files väljer du Kryptering.

   På sidan Kryptering kan du hantera krypteringsinställningar för ditt NetApp-konto. Den innehåller ett alternativ som gör att du kan ange att ditt NetApp-konto ska använda din egen krypteringsnyckel, som lagras i Azure Key Vault. Den här inställningen tillhandahåller en systemtilldelad identitet till NetApp-kontot och lägger till en åtkomstprincip för identiteten med nödvändiga nyckelbehörigheter.

   

2. När du anger att netApp-kontot ska använda kundhanterad nyckel kan du ange nyckel-URI:n på två sätt:

   • Med alternativet Välj från nyckelvalv kan du välja ett nyckelvalv och en nyckel.

   • Med alternativet Ange nyckel-URI kan du ange nyckel-URI :n manuellt.

3. Välj den identitetstyp som du vill använda för autentisering till Azure Key Vault. Om Azure Key Vault har konfigurerats för att använda åtkomstprincipen för valvet som behörighetsmodell är båda alternativen tillgängliga. Annars är endast det användartilldelade alternativet tillgängligt.

   • Om du väljer Systemtilldelad väljer du knappen Spara . Azure-portalen konfigurerar NetApp-kontot automatiskt genom att lägga till en systemtilldelad identitet till ditt NetApp-konto. En åtkomstprincip skapas också i ditt Azure Key Vault med nyckelbehörigheterna Get, Encrypt, Decrypt.

   

   • Om du väljer Användartilldelad måste du välja en identitet. Välj Välj en identitet för att öppna ett kontextfönster där du väljer en användartilldelad hanterad identitet.

   

   Om du har konfigurerat Azure Key Vault att använda en åtkomstprincip för valv konfigurerar Azure-portalen NetApp-kontot automatiskt med följande process: Den användartilldelade identiteten som du väljer läggs till i ditt NetApp-konto. En åtkomstprincip skapas i ditt Azure Key Vault med nyckelbehörigheterna Get, Encrypt, Decrypt.

   Om du har konfigurerat Azure Key Vault för att använda rollbaserad åtkomstkontroll i Azure måste du se till att den valda användartilldelade identiteten har en rolltilldelning i nyckelvalvet med behörigheter för åtgärder:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action Den användartilldelade identitet som du väljer läggs till i ditt NetApp-konto. På grund av den anpassningsbara karaktären hos rollbaserad åtkomstkontroll (RBAC) konfigurerar Azure-portalen inte åtkomst till nyckelvalvet. Mer information om hur du konfigurerar Azure Key Vault finns i Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.

4. Välj Spara och observera sedan meddelandet som kommunicerar status för åtgärden. Om åtgärden inte lyckades visas ett felmeddelande. Mer information om hur du löser felet finns i felmeddelanden och felsökning.

Azure CLI

Hur du konfigurerar ett NetApp-konto med kundhanterade nycklar med Azure CLI beror på om du använder en systemtilldelad identitet eller en användartilldelad identitet.

Använda en systemtilldelad identitet

1. Uppdatera ditt NetApp-konto så att det använder en systemtilldelad identitet.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Om du vill använda en åtkomstprincip skapar du en variabel som innehåller kontoidentitetens huvud-ID och sedan kör az keyvault set-policy och tilldelar behörigheter för "Get", "Encrypt" och "Decrypt".

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Uppdatera NetApp-kontot med ditt nyckelvalv.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Använda en ny användartilldelad identitet

1. Skapa en ny användartilldelad identitet.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Ange en åtkomstprincip för nyckelvalvet.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Kommentar

   Du kan också använda rollbaserad åtkomstkontroll för att bevilja åtkomst till nyckelvalvet.

3. Tilldela den användartilldelade identiteten till NetApp-kontot och uppdatera nyckelvalvskryptering.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Processen för att konfigurera ett NetApp-konto med kundhanterade nycklar i Azure CLI beror på om du använder en systemtilldelad identitet eller en användartilldelad identitet.

Aktivera åtkomst för systemtilldelad identitet

1. Uppdatera ditt NetApp-konto för att använda systemtilldelad identitet.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Om du vill använda en åtkomstprincip kör Set-AzKeyVaultAccessPolicy du med nyckelvalvets namn, huvud-ID för kontoidentiteten och behörigheterna "Get", "Encrypt" och "Decrypt".

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Uppdatera ditt NetApp-konto med information om nyckelvalvet.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Aktivera åtkomst för användartilldelad identitet

1. Skapa en ny användartilldelad identitet.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Tilldela åtkomstprincipen till nyckelvalvet.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Kommentar

   Du kan också använda rollbaserad åtkomstkontroll för att bevilja åtkomst till nyckelvalvet.

3. Tilldela den användartilldelade identiteten till NetApp-kontot och uppdatera nyckelvalvskryptering.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Använd rollbaserad åtkomstkontroll

Du kan använda ett Azure Key Vault som är konfigurerat för att använda rollbaserad åtkomstkontroll i Azure. För att konfigurera kundhanterade nycklar via Azure-portalen måste du ange en användartilldelad identitet.

1. I ditt Azure-konto går du till Nyckelvalv och sedan Åtkomstprinciper.

2. Om du vill skapa en åtkomstprincip väljer du Rollbaserad åtkomstkontroll i Azure under Behörighetsmodell.

3. När du skapar den användartilldelade rollen krävs tre behörigheter för kundhanterade nycklar:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Även om det finns fördefinierade roller som innehåller dessa behörigheter, ger dessa roller fler privilegier än vad som krävs. Vi rekommenderar att du skapar en anpassad roll med endast de minsta behörigheter som krävs. Mer information finns i Anpassade Azure-roller.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. När den anpassade rollen har skapats och är tillgänglig för användning med nyckelvalvet tillämpar du den på den användartilldelade identiteten.

Skapa en Azure NetApp Files-volym med kundhanterade nycklar

1. Från Azure NetApp Files väljer du Volymer och sedan + Lägg till volym.

2. Följ anvisningarna i Konfigurera nätverksfunktioner för en Azure NetApp Files-volym:

   • Ange alternativet Nätverksfunktioner på sidan för att skapa volymer.
   • Nätverkssäkerhetsgruppen för volymens delegerade undernät måste tillåta inkommande trafik från NetApps virtuella lagringsdator.

3. För ett NetApp-konto som har konfigurerats för att använda en kundhanterad nyckel innehåller sidan Skapa volym ett alternativ För krypteringsnyckelkälla.

   Om du vill kryptera volymen med din nyckel väljer du Kundhanterad nyckel i listrutan Krypteringsnyckelkälla .

   När du skapar en volym med en kundhanterad nyckel måste du också välja Standard för alternativet Nätverksfunktioner . Grundläggande nätverksfunktioner stöds inte.

   Du måste också välja en privat slutpunkt för nyckelvalvet. Den nedrullningsbara menyn visar privata slutpunkter i det valda virtuella nätverket. Om det inte finns någon privat slutpunkt för ditt nyckelvalv i det valda virtuella nätverket är listrutan tom och du kommer inte att kunna fortsätta. I så fall kan du gå till Den privata Azure-slutpunkten.

   

4. Fortsätt att slutföra processen för att skapa volymen. Läs mer:

   • Skapa en NFS-volym
   • Skapa en SMB-volym
   • Skapa en volym med dubbla protokoll

Överföra en Azure NetApp Files-volym till kundhanterade nycklar (förhandsversion)

Azure NetApp Files stöder möjligheten att flytta befintliga volymer med plattformshanterade nycklar till kundhanterade nycklar. När du har slutfört migreringen kan du inte återgå till plattformshanterade nycklar.

Registrera funktionen

Krypteringsnyckelövergången för Azure NetApp Files är för närvarande i förhandsversion. Innan du använder den här funktionen för första gången måste du registrera den.

1. Registrera funktionen:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk 
   

2. Kontrollera status för funktionsregistreringen:

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk
   

   Kommentar

   RegistrationState kan vara i tillståndet i Registering upp till 60 minuter innan du ändrar till Registered. Vänta tills statusen har registrerats innan du fortsätter.

Du kan också använda Azure CLI-kommandon az feature register och az feature show registrera funktionen och visa registreringsstatusen.

Övergångsvolymer

Kommentar

När du övergår volymer till att använda kundhanterade nycklar måste du utföra övergången för varje virtuellt nätverk där ditt Azure NetApp Files-konto har volymer.

1. Se till att du har konfigurerat ditt Azure NetApp Files-konto för att använda kundhanterade nycklar.
2. I Azure-portalen går du till Kryptering.
3. Välj fliken CMK-migrering .
4. I den nedrullningsbara menyn väljer du den privata slutpunkten för det virtuella nätverket och nyckelvalvet som du vill använda.
5. Azure genererar en lista över volymer som ska krypteras av din kundhanterade nyckel.
6. Välj Bekräfta för att initiera migreringen.

Nyckela om alla volymer under ett NetApp-konto

Om du redan har konfigurerat ditt NetApp-konto för kundhanterade nycklar och har en eller flera volymer krypterade med kundhanterade nycklar kan du ändra nyckeln som används för att kryptera alla volymer under NetApp-kontot. Du kan välja valfri nyckel som finns i samma nyckelvalv. Det går inte att ändra nyckelvalv.

1. Under ditt NetApp-konto går du till menyn Kryptering . Under fältet Aktuell nyckelinmatning väljer du länken Nyckel igen.

2. Välj en av de tillgängliga nycklarna i den nedrullningsbara menyn på menyn Nyckel igen. Den valda nyckeln måste skilja sig från den aktuella nyckeln.

3. Välj OK för att spara. Nyckelåtgärden kan ta flera minuter.

Växla från systemtilldelad till användartilldelad identitet

Om du vill växla från systemtilldelad till användartilldelad identitet måste du ge målidentiteten åtkomst till nyckelvalvet som används med läs-/hämta-, krypterings- och dekrypteringsbehörigheter.

1. Uppdatera NetApp-kontot genom att skicka en PATCH-begäran med kommandot az rest :

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   Nyttolasten bör använda följande struktur:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Bekräfta att åtgärden har slutförts med az netappfiles account show kommandot . Utdata innehåller följande fält:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Se till att du har gjort följande:

   • encryption.identity.principalId matchar värdet i identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity matchar värdet i identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Felmeddelanden och felsökning

I det här avsnittet visas felmeddelanden och möjliga lösningar när Azure NetApp Files inte kan konfigurera kundhanterad nyckelkryptering eller skapa en volym med hjälp av en kundhanterad nyckel.

Fel vid konfiguration av kundhanterad nyckelkryptering på ett NetApp-konto

Feltillstånd	Åtgärd
The operation failed because the specified key vault key was not found	När du anger nyckel-URI manuellt kontrollerar du att URI:n är korrekt.
Azure Key Vault key is not a valid RSA key	Kontrollera att den valda nyckeln är av typen RSA.
Azure Key Vault key is not enabled	Kontrollera att den valda nyckeln är aktiverad.
Azure Key Vault key is expired	Kontrollera att den valda nyckeln inte har upphört att gälla.
Azure Key Vault key has not been activated	Kontrollera att den valda nyckeln är aktiv.
Key Vault URI is invalid	När du anger nyckel-URI manuellt kontrollerar du att URI:n är korrekt.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Uppdatera återställningsnivån för nyckelvalvet till: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Kontrollera att nyckelvalvet finns i samma region som NetApp-kontot.

Fel vid skapande av en volym som krypterats med kundhanterade nycklar

Feltillstånd	Åtgärd
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	NetApp-kontot har inte kundhanterad nyckelkryptering aktiverad. Konfigurera NetApp-kontot så att det använder kundhanterad nyckel.
EncryptionKeySource cannot be changed	Ingen lösning. Det går inte att ändra egenskapen EncryptionKeySource för en volym.
Unable to use the configured encryption key, please check if key is active	Kontrollera att: -Är alla åtkomstprinciper korrekta i nyckelvalvet: Get, Encrypt, Decrypt? - Finns det en privat slutpunkt för nyckelvalvet? -Finns det en NAT för virtuellt nätverk i det virtuella nätverket, med det delegerade Azure NetApp Files-undernätet aktiverat?
Could not connect to the KeyVault	Kontrollera att den privata slutpunkten är korrekt konfigurerad och att brandväggarna inte blockerar anslutningen från ditt virtuella nätverk till keyVault.

Nästa steg

• Azure NetApp Files API
• Konfigurera kundhanterade nycklar med hanterad maskinvarusäkerhetsmodul