Konfigurera kundhanterade nycklar med hanterad maskinvarusäkerhetsmodul för Azure NetApp Files-volymkryptering

Azure NetApp Files-volymkryptering med kundhanterade nycklar med den hanterade maskinvarusäkerhetsmodulen (HSM) är ett tillägg till kundhanterade nycklar för krypteringsfunktionen för Azure NetApp Files-volymer. Med kundhanterade nycklar med HSM kan du lagra dina krypteringsnycklar i en säkrare FIPS 140-2 HSM på nivå 3 i stället för FIPS 140-2 nivå 1- eller nivå 2-tjänsten som används av Azure Key Vault (AKV).

Krav

• Kundhanterade nycklar med hanterad HSM stöds med hjälp av API-versionen 2022.11 eller senare.
• Kundhanterade nycklar med hanterad HSM stöds endast för Azure NetApp Files-konton som inte har befintlig kryptering.
• Innan du skapar en volym med en kundhanterad nyckel med hanterad HSM-volym måste du ha:
  • skapat ett Azure Key Vault som innehåller minst en nyckel.
    • Nyckelvalvet måste ha mjuk borttagning och rensningsskydd aktiverat.
    • Nyckeln måste vara av RSA-typ.
  • skapat ett virtuellt nätverk med ett undernät som delegerats till Microsoft.Netapp/volymer.
  • en användar- eller systemtilldelad identitet för ditt Azure NetApp Files-konto.
  • etablerade och aktiverade en hanterad HSM.

Regioner som stöds

• Australien, centrala
• Australien, centrala 2
• Australien, östra
• Australien, sydöstra
• Brasilien, södra
• Brasilien, sydöstra
• Kanada, centrala
• Kanada, östra
• Indien, centrala
• Central US
• Asien, östra
• East US
• USA, östra 2
• Centrala Frankrike
• Tyskland, norra
• Tyskland, västra centrala
• Israel, centrala
• Italien, norra
• Japan, östra
• Japan, västra
• Sydkorea, centrala
• USA, norra centrala
• Europa, norra
• Norge, östra
• Norge, västra
• Qatar, centrala
• Sydafrika, norra
• USA, södra centrala
• Indien, södra
• Sydostasien
• Spanien, centrala
• Sverige, centrala
• Schweiz, norra
• Schweiz, västra
• Förenade Arabemiraten, centrala
• Förenade Arabemiraten, norra
• Storbritannien, södra
• Europa, västra
• USA, västra
• USA, västra 2
• USA, västra 3

Registrera funktionen

Den här funktionen finns i förhandsgranskning. Du måste registrera funktionen innan du använder den för första gången. Efter registreringen är funktionen aktiverad och fungerar i bakgrunden. Ingen användargränssnittskontroll krävs.

1. Registrera funktionen:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
   

2. Kontrollera status för funktionsregistreringen:

   Kommentar

   RegistrationState kan vara i tillståndet i Registering upp till 60 minuter innan du ändrar tillRegistered. Vänta tills statusen har registrerats innan du fortsätter.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
   

Du kan också använda Azure CLI-kommandon az feature register och az feature show registrera funktionen och visa registreringsstatusen.

Konfigurera kundhanterade nycklar med hanterad HSM för systemtilldelad identitet

När du konfigurerar kundhanterade nycklar med en systemtilldelad identitet konfigurerar Azure NetApp-kontot automatiskt genom att lägga till en systemtilldelad identitet. Åtkomstprincipen skapas i Azure Key Vault med nyckelbehörigheter för Get, Encrypt och Decrypt.

Krav

Om du vill använda en systemtilldelad identitet måste Azure Key Vault konfigureras för att använda vault-åtkomstprincipen som sin behörighetsmodell. Annars måste du använda en användartilldelad identitet.

Steg

1. I Azure Portal navigerar du till Azure NetApp Files och väljer sedan Kryptering.

2. I menyn Kryptering anger du följande värden:

   • För Krypteringsnyckelkälla väljer du Kundhanterad nyckel.
   • För Nyckel-URI väljer du Ange nyckel-URI och anger sedan URI:n för den hanterade HSM:n.
   • Välj NetApp-prenumerationen.
   • Som Identitetstyp väljer du Systemtilldelad.

   

3. Välj Spara.

Konfigurera kundhanterade nycklar med hanterad HSM för användartilldelad identitet

1. I Azure Portal navigerar du till Azure NetApp Files och väljer sedan Kryptering.

2. I menyn Kryptering anger du följande värden:

   • För Krypteringsnyckelkälla väljer du Kundhanterad nyckel.
   • För Nyckel-URI väljer du Ange nyckel-URI och anger sedan URI:n för den hanterade HSM:n.
   • Välj NetApp-prenumerationen.
   • Som Identitetstyp väljer du Användartilldelad.

3. När du väljer Användartilldelad öppnas ett kontextfönster för att välja identiteten.

   • Om ditt Azure Key Vault har konfigurerats för att använda en åtkomstprincip för valv konfigurerar Azure NetApp-kontot automatiskt och lägger till den användartilldelade identiteten till ditt NetApp-konto. Åtkomstprincipen skapas i Azure Key Vault med nyckelbehörigheter för Get, Encrypt och Decrypt.
   • Om ditt Azure Key Vault har konfigurerats för att använda rollbaserad åtkomstkontroll i Azure (RBAC) kontrollerar du att den valda användartilldelade identiteten har en rolltilldelning i nyckelvalvet med behörigheter för dataåtgärder:
     • "Microsoft.KeyVault/vaults/keys/read"
     • "Microsoft.KeyVault/vaults/keys/encrypt/action"
     • "Microsoft.KeyVault/vaults/keys/decrypt/action" Den användartilldelade identiteten som du väljer läggs till i ditt NetApp-konto. På grund av att RBAC är anpassningsbart konfigurerar Azure Portal inte åtkomst till nyckelvalvet. Mer information finns i Använda Azure RBAC-behörigheter för hemlighet, nyckel och certifikat med Key Vault

   

4. Välj Spara.

Nästa steg

• Konfigurera kundhanterade nycklar
• Vanliga frågor och svar om säkerhet