Använda kundhanterade krypteringsnycklar med Azure Managed Lustre
Du kan använda Azure Key Vault för att kontrollera ägarskapet för de nycklar som används för att kryptera dina data som lagras i ett Azure Managed Lustre-filsystem. Den här artikeln beskriver hur du använder kundhanterade nycklar för datakryptering med Azure Managed Lustre.
Anteckning
Alla data som lagras i Azure krypteras i vila med Microsoft-hanterade nycklar som standard. Du behöver bara följa stegen i den här artikeln om du vill hantera de nycklar som används för att kryptera dina data när de lagras i ditt Azure Managed Lustre-kluster.
Värdkryptering av virtuella datorer skyddar all information på de hanterade diskar som innehåller dina data i ett Azure Managed Lustre-filsystem, även om du lägger till en kundnyckel för Lustre-diskarna. Att lägga till en kundhanterad nyckel ger en extra säkerhetsnivå för höga säkerhetsbehov. Mer information finns i Kryptering på serversidan av Azure-disklagring.
Det finns tre steg för att aktivera kundhanterad nyckelkryptering för Azure Managed Lustre:
- Konfigurera en Azure-Key Vault för att lagra nycklarna.
- Skapa en hanterad identitet som kan komma åt nyckelvalvet.
- När du skapar filsystemet väljer du kundhanterad nyckelkryptering och anger det nyckelvalv, den nyckel och den hanterade identitet som ska användas.
I den här artikeln beskrivs de här stegen mer detaljerat.
När du har skapat filsystemet kan du inte ändra mellan kundhanterade nycklar och Microsoft-hanterade nycklar.
Förutsättningar
Du kan använda antingen ett befintligt nyckelvalv och en nyckel, eller så kan du skapa nya som du kan använda med Azure Managed Lustre. Se följande obligatoriska inställningar för att se till att du har ett korrekt konfigurerat nyckelvalv och nyckel.
Skapa ett nyckelvalv och en nyckel
Konfigurera ett Azure-nyckelvalv för att lagra dina krypteringsnycklar. Nyckelvalvet och nyckeln måste uppfylla dessa krav för att fungera med Azure Managed Lustre.
Egenskaper för nyckelvalv
Följande inställningar krävs för användning med Azure Managed Lustre. Du kan konfigurera alternativ som inte visas efter behov.
Grunderna:
- Prenumeration – Använd samma prenumeration som används för Azure Managed Lustre-klustret.
- Region – Nyckelvalvet måste finnas i samma region som Azure Managed Lustre-klustret.
- Prisnivå – Standardnivån räcker för användning med Azure Managed Lustre.
- Mjuk borttagning – Azure Managed Lustre aktiverar mjuk borttagning om det inte redan har konfigurerats i nyckelvalvet.
- Rensningsskydd – Aktivera rensningsskydd.
Åtkomstprincip:
- Åtkomstkonfiguration – Ställ in på rollbaserad åtkomstkontroll i Azure.
Nätverk:
Offentlig åtkomst – Måste vara aktiverat.
Tillåt åtkomst – Välj antingen Alla nätverk eller, om du behöver begränsa åtkomsten, välj Valda nätverk
- Om Valda nätverk väljs måste du aktivera alternativet Tillåt att betrodda Microsoft-tjänster kringgår den här brandväggen i avsnittet Undantag nedan.
Anteckning
Om du använder ett befintligt nyckelvalv kan du granska avsnittet nätverksinställningar för att bekräfta att Tillåt åtkomst från är inställt på Tillåt offentlig åtkomst från alla nätverk eller göra ändringar om det behövs.
Nyckelegenskaper
- Nyckeltyp – RSA
- RSA-nyckelstorlek – 2048
- Aktiverad – Ja
Åtkomstbehörigheter för nyckelvalv:
Användaren som skapar Azure Managed Lustre-systemet måste ha behörigheter som motsvarar rollen Key Vault deltagare. Samma behörigheter krävs för att konfigurera och hantera Azure Key Vault.
Mer information finns i Säker åtkomst till ett nyckelvalv.
Läs mer om grunderna i Azure Key Vault.
Skapa en användartilldelad hanterad identitet
Azure Managed Lustre-filsystemet behöver en användartilldelad hanterad identitet för att få åtkomst till nyckelvalvet.
Hanterade identiteter är fristående identitetsautentiseringsuppgifter som utgör platsen för användaridentiteter vid åtkomst till Azure-tjänster via Microsoft Entra ID. Precis som andra användare kan de tilldelas roller och behörigheter. Läs mer om hanterade identiteter.
Skapa den här identiteten innan du skapar filsystemet och ge det åtkomst till nyckelvalvet.
Anteckning
Om du anger en hanterad identitet som inte kan komma åt nyckelvalvet kan du inte skapa filsystemet.
Mer information finns i dokumentationen om hanterade identiteter:
Skapa Azure Managed Lustre-filsystemet med kundhanterade krypteringsnycklar
När du skapar ditt Azure Managed Lustre-filsystem använder du fliken Diskkrypteringsnycklar för att välja Kundhanterad i inställningen Diskkrypteringsnyckeltyp . Andra avsnitt visas för inställningar för kundnyckel och hanterade identiteter.
Kom ihåg att du bara kan konfigurera kundhanterade nycklar när du skapar. Du kan inte ändra vilken typ av krypteringsnycklar som används för ett befintligt Azure Managed Lustre-filsystem.
Inställningar för kundnyckel
Välj länken i Inställningar för kundnyckel för att välja inställningar för nyckelvalv, nyckel och version. Du kan också skapa en ny Azure-Key Vault från den här sidan. Kom ihåg att ge den hanterade identiteten åtkomst till det om du skapar ett nytt nyckelvalv.
Om din Azure-Key Vault inte visas i listan kontrollerar du följande krav:
- Finns filsystemet i samma prenumeration som nyckelvalvet?
- Finns filsystemet i samma region som nyckelvalvet?
- Finns det någon nätverksanslutning mellan Azure Portal och nyckelvalvet?
När du har valt ett valv väljer du den enskilda nyckeln bland de tillgängliga alternativen eller skapar en ny nyckel. Nyckeln måste vara en 2048-bitars RSA-nyckel.
Ange versionen för den valda nyckeln. Mer information om versionshantering finns i dokumentationen för Azure Key Vault.
Inställningar för hanterade identiteter
Välj länken i Hanterade identiteter och välj den identitet som Azure Managed Lustre-filsystemet använder för åtkomst till nyckelvalvet.
När du har konfigurerat de här krypteringsnyckelinställningarna fortsätter du till fliken Granska + skapa och slutför skapandet av filsystemet som vanligt.
Nästa steg
De här artiklarna förklarar mer om hur du använder Azure Key Vault och kundhanterade nycklar för att kryptera data i Azure:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för