Konfigurera kundhanterade nycklar för Azure Load Testing med Azure Key Vault

Azure Load Testing krypterar automatiskt alla data som lagras i din belastningstestningsresurs med nycklar som Microsoft tillhandahåller (tjänsthanterade nycklar). Du kan också lägga till ett andra säkerhetslager genom att även tillhandahålla dina egna (kundhanterade) nycklar. Kundhanterade nycklar ger större flexibilitet för att styra åtkomst och använda principer för nyckelrotation.

Nycklarna som du anger lagras på ett säkert sätt med Hjälp av Azure Key Vault. Du kan skapa en separat nyckel för varje Azure-belastningstestningsresurs som du aktiverar med kundhanterade nycklar.

När du använder kundhanterade krypteringsnycklar måste du ange en användartilldelad hanterad identitet för att hämta nycklarna från Azure Key Vault.

Azure Load Testing använder den kundhanterade nyckeln för att kryptera följande data i belastningstestningsresursen:

• Testa skript- och konfigurationsfiler
• Hemligheter
• Miljövariabler

Kommentar

Azure Load Testing krypterar inte måttdata för en testkörning med din kundhanterade nyckel, inklusive JMeter-måttexempelnamnen som du anger i JMeter-skriptet. Microsoft har åtkomst till dessa måttdata.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

• En befintlig användartilldelad hanterad identitet. Mer information om hur du skapar en användartilldelad hanterad identitet finns i Hantera användartilldelade hanterade identiteter.

Begränsningar

• Kundhanterade nycklar är endast tillgängliga för nya Azure-belastningstestningsresurser. Du bör konfigurera nyckeln när du skapar resurser.

• När kundhanterad nyckelkryptering har aktiverats på en resurs kan den inte inaktiveras.

• Azure Load Testing kan inte automatiskt rotera den kundhanterade nyckeln för att använda den senaste versionen av krypteringsnyckeln. Du bör uppdatera nyckel-URI:n i resursen när nyckeln har roterats i Azure Key Vault.

Konfigurera ditt Azure-nyckelvalv

Om du vill använda kundhanterade krypteringsnycklar med Azure Load Testing måste du lagra nyckeln i Azure Key Vault. Du kan använda ett befintligt nyckelvalv eller skapa ett nytt. Belastningstestningsresursen och nyckelvalvet kan finnas i olika regioner eller prenumerationer i samma klientorganisation.

Se till att konfigurera följande nyckelvalvinställningar när du använder kundhanterade krypteringsnycklar.

Konfigurera inställningar för key vault-nätverk

Om du har begränsad åtkomst till ditt Azure-nyckelvalv via en brandvägg eller ett virtuellt nätverk måste du ge åtkomst till Azure Load Testing för att hämta dina kundhanterade nycklar. Följ de här stegen för att bevilja åtkomst till betrodda Azure-tjänster.

Konfigurera skydd för mjuk borttagning och rensning

Du måste ange egenskaperna Mjuk borttagning och rensningsskydd i nyckelvalvet för att kunna använda kundhanterade nycklar med Azure Load Testing. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd när som helst. Läs mer om skydd mot mjuk borttagning och rensning i Azure Key Vault.

Azure-portalen

Följ de här stegen för att kontrollera om mjuk borttagning är aktiverat och aktivera det i ett nyckelvalv. Mjuk borttagning kan som standard när du skapar ett nytt nyckelvalv.

Du kan aktivera rensningsskydd när du skapar ett nytt nyckelvalv genom att välja inställningarna Aktivera rensningsskydd .

Följ dessa steg för att aktivera rensningsskydd i ett befintligt nyckelvalv:

1. Gå till ditt nyckelvalv i Azure-portalen.
2. Under Inställningar väljer du Egenskaper.
3. I avsnittet Rensa skydd väljer du Aktivera rensningsskydd.

PowerShell

Om du vill skapa ett nytt nyckelvalv med PowerShell installerar du version 2.0.0 eller senare av Az.KeyVault PowerShell-modulen. Anropa sedan New-AzKeyVault för att skapa ett nytt nyckelvalv. Med version 2.0.0 och senare av Az.KeyVault-modulen aktiveras mjuk borttagning som standard när du skapar ett nytt nyckelvalv.

I följande exempel skapas ett nytt nyckelvalv med både skydd för mjuk borttagning och rensning aktiverat. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Så här aktiverar du rensningsskydd i ett befintligt nyckelvalv med PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Om du vill skapa ett nytt nyckelvalv med Azure CLI anropar du az keyvault create. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv.

I följande exempel skapas ett nytt nyckelvalv med både skydd för mjuk borttagning och rensning aktiverat. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Så här aktiverar du rensningsskydd i ett befintligt nyckelvalv med Azure CLI:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Lägga till en kundhanterad nyckel i Azure Key Vault

Lägg sedan till en nyckel i nyckelvalvet. Azure Load Testing-kryptering stöder RSA-nycklar. Mer information om nyckeltyper som stöds i Azure Key Vault finns i Om nycklar.

Azure-portalen

Information om hur du lägger till en nyckel med Azure-portalen finns i Ange och hämta en nyckel från Azure Key Vault med hjälp av Azure-portalen.

PowerShell

Om du vill lägga till en nyckel med PowerShell anropar du Add-AzKeyVaultKey. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden och att använda variablerna som definierats i föregående exempel.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Om du vill lägga till en nyckel med Azure CLI anropar du az keyvault key create. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Lägga till en åtkomstprincip i ditt nyckelvalv

När du använder kundhanterade krypteringsnycklar måste du ange en användartilldelad hanterad identitet. Den användartilldelade hanterade identiteten för åtkomst till kundhanterade nycklar i Azure Key Vault måste ha rätt behörighet för att få åtkomst till nyckelvalvet.

1. I Azure-portalen går du till den Azure Key Vault-instans som du planerar att använda som värd för dina krypteringsnycklar.

2. Välj Åtkomstprinciper på den vänstra menyn.

   

3. Välj + Lägg till åtkomstprincip.

4. I den nedrullningsbara menyn Nyckelbehörigheter väljer du Behörigheter för Hämta, Packa upp nyckel och Radbryt nyckel .

   

5. I Välj huvudnamn väljer du Ingen markerad.

6. Sök efter den användartilldelade hanterade identiteten som du skapade tidigare och välj den i listan.

7. Välj Välj längst ned.

8. Välj Lägg till för att lägga till den nya åtkomstprincipen.

9. Välj Spara på key vault-instansen för att spara alla ändringar.

Använda kundhanterade nycklar med Azure Load Testing

Du kan bara konfigurera kundhanterade krypteringsnycklar när du skapar en ny Azure-belastningstestningsresurs. När du anger information om krypteringsnyckeln måste du också välja en användartilldelad hanterad identitet för att hämta nyckeln från Azure Key Vault.

Följ dessa steg för att konfigurera kundhanterade nycklar för en ny belastningstestningsresurs:

Azure-portalen

1. Följ de här stegen för att skapa en Azure-belastningstestningsresurs i Azure-portalen och fyll i fälten på fliken Grundläggande.

2. Gå till fliken Kryptering och välj sedan Kundhanterade nycklar (CMK) för fältet Krypteringstyp .

3. I fältet Nyckel-URI klistrar du in URI/nyckelidentifieraren för Azure Key Vault-nyckeln, inklusive nyckelversionen.

4. För fältet Användartilldelad identitet väljer du en befintlig användartilldelad hanterad identitet.

5. Välj Granska + skapa för att verifiera och skapa den nya resursen.

PowerShell

Du kan distribuera en ARM-mall med Hjälp av PowerShell för att automatisera skapandet av dina Azure-resurser. Du kan skapa valfri resurs av typen Microsoft.LoadTestService/loadtests med kundhanterad nyckel aktiverad för kryptering genom att lägga till följande egenskaper:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Följande kodexempel visar en ARM-mall för att skapa en belastningstestresurs med kundhanterade nycklar aktiverade:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Distribuera mallen ovan till en resursgrupp med hjälp av New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Du kan distribuera en ARM-mall med Hjälp av Azure CLI för att automatisera skapandet av dina Azure-resurser. Du kan skapa valfri resurs av typen Microsoft.LoadTestService/loadtests med kundhanterad nyckel aktiverad för kryptering genom att lägga till följande egenskaper:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Följande kodexempel visar en ARM-mall för att skapa en belastningstestresurs med kundhanterade nycklar aktiverade:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Distribuera mallen ovan till en resursgrupp med hjälp av az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Ändra den hanterade identiteten för att hämta krypteringsnyckeln

Du kan ändra den hanterade identiteten för kundhanterade nycklar för en befintlig belastningstestningsresurs när som helst.

1. I Azure-portalen går du till din Azure-belastningstestningsresurs.

2. På sidan Inställningar väljer du Kryptering.

   Krypteringstypen visar den krypteringstyp som användes för att skapa belastningstestningsresursen.

3. Om krypteringstypen är Kundhanterade nycklar väljer du den typ av identitet som ska användas för att autentisera till nyckelvalvet. Alternativen är Systemtilldelade (standard) eller Användartilldelade.

   Mer information om varje typ av hanterad identitet finns i Hanterade identitetstyper.

   • Om du väljer Systemtilldelad måste den systemtilldelade hanterade identiteten aktiveras på resursen och beviljas åtkomst till AKV innan identiteten för kundhanterade nycklar ändras.
   • Om du väljer Användartilldelad måste du välja en befintlig användartilldelad identitet som har behörighet att komma åt nyckelvalvet. Information om hur du skapar en användartilldelad identitet finns i Använda hanterade identiteter för förhandsversionen av Azure Load Testing.

4. Spara dina ändringar.

Viktigt!

Kontrollera att den valda hanterade identiteten har åtkomst till Azure Key Vault.

Uppdatera den kundhanterade krypteringsnyckeln

Du kan när som helst ändra nyckeln som du använder för Azure Load Testing-kryptering. Följ dessa steg för att ändra nyckeln med Azure-portalen:

1. I Azure-portalen går du till din Azure-belastningstestningsresurs.

2. På sidan Inställningar väljer du Kryptering. Krypteringstypen visar den kryptering som valts för resursen när den skapas.

3. Om den valda krypteringstypen är Kundhanterade nycklar kan du redigera nyckel-URI-fältet med den nya nyckel-URI:n.

4. Spara dina ändringar.

Rotera krypteringsnycklar

Du kan rotera en kundhanterad nyckel i Azure Key Vault enligt dina efterlevnadsprinciper. Så här roterar du en nyckel:

1. I Azure Key Vault uppdaterar du nyckelversionen eller skapar en ny nyckel.
2. Uppdatera den kundhanterade krypteringsnyckeln för din belastningstestningsresurs.

Vanliga frågor och svar

Tillkommer en extra kostnad för att aktivera kundhanterade nycklar?

Nej, det kostar ingenting att aktivera den här funktionen.

Stöds kundhanterade nycklar för befintliga Azure-belastningstestningsresurser?

Den här funktionen är för närvarande endast tillgänglig för nya Azure-belastningstestningsresurser.

Hur vet jag om kundhanterade nycklar är aktiverade på min Azure-belastningstestningsresurs?

1. I Azure-portalen går du till din Azure-belastningstestningsresurs.
2. Gå till krypteringsobjektet i det vänstra navigeringsfältet.
3. Du kan verifiera krypteringstypen på resursen.

Hur gör jag för att återkalla en krypteringsnyckel?

Du kan återkalla en nyckel genom att inaktivera den senaste versionen av nyckeln i Azure Key Vault. Om du vill återkalla alla nycklar från en key vault-instans kan du också ta bort åtkomstprincipen som beviljats till den hanterade identiteten för belastningstestningsresursen.

När du återkallar krypteringsnyckeln kanske du kan köra tester i cirka 10 minuter, varefter den enda tillgängliga åtgärden är borttagning av resurser. Vi rekommenderar att du roterar nyckeln i stället för att återkalla den för att hantera resurssäkerhet och behålla dina data.

Relaterat innehåll

• Lär dig hur du övervakar programmått på serversidan.
• Lär dig hur du parameteriserar ett belastningstest med hemligheter och miljövariabler.