Konfigurera kundhanterade nycklar för ett elastiskt San-nätverk i Azure

Alla data som skrivs till en elastisk SAN-volym krypteras automatiskt i vila med en datakrypteringsnyckel (DEK). Azure använder kuvertkryptering för att kryptera DEK med hjälp av en nyckelkrypteringsnyckel (KEK). Som standard är KEK plattformshanterad (hanteras av Microsoft), men du kan skapa och hantera din egen.

Den här artikeln visar hur du konfigurerar kryptering av en elastisk SAN-volymgrupp med kundhanterade nycklar som lagras i ett Azure Key Vault.

Begränsningar

Följande lista innehåller de regioner som Elastic SAN för närvarande är tillgängligt i, och vilka regioner som stöder både zonredundant lagring (ZRS) och lokalt redundant lagring (LRS) eller endast LRS:

• Sydafrika, norra – LRS
• Asien, östra – LRS
• Sydostasien - LRS
• Södra Brasilien - LRS
• Kanada, centrala – LRS
• Frankrike, centrala – LRS och ZRS
• Tyskland, västra centrala – LRS
• Australien, östra – LRS
• Europa, norra – LRS och ZRS
• Europa, västra - LRS och ZRS
• Storbritannien, södra - LRS
• Japan, östra – LRS
• Korea Central – LRS
• Centrala USA
• USA, östra – LRS
• USA, södra centrala – LRS
• USA, östra 2 – LRS
• USA, västra 2 – LRS och ZRS
• USA, västra 3 – LRS
• Sverige, centrala – LRS
• Schweiz, norra – LRS

Förutsättningar

Om du vill utföra de åtgärder som beskrivs i den här artikeln måste du förbereda ditt Azure-konto och de hanteringsverktyg som du planerar att använda. Förberedelse omfattar installation av nödvändiga moduler, inloggning till ditt konto och inställningsvariabler för PowerShell och Azure CLI. Samma uppsättning variabler används i hela den här artikeln, så om du ställer in dem nu kan du använda samma i alla exempel.

PowerShell

Så här utför du de åtgärder som beskrivs i den här artikeln med hjälp av PowerShell:

1. Installera den senaste versionen av Azure PowerShell om du inte redan har gjort det.

2. När Azure PowerShell har installerats installerar du version 0.1.2 eller senare av elastic SAN-tillägget med Install-Module -Name Az.ElasticSan -Repository PSGallery.

3. Logga in på Azure.

   Connect-AzAccount
   

Skapa variabler som ska användas i PowerShell-exemplen i den här artikeln

Kopiera exempelkoden och ersätt all platshållartext med dina egna värden. Använd samma variabler i alla exempel i den här artikeln:

# Define some variables
# The name of the resource group where the resources will be deployed.
$RgName          = "ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
$EsanName        = "ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
$EsanVgName      = "ElasticSanVolumeGroupName"

# The region where the new resources will be created.
$Location        = "Location"

# The name of the Azure Key Vault that will contain the KEK.
$KvName          = "KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
$KeyName         = "KeyName"

# The name of the user-assigned managed identity, if applicable.
$ManagedUserName = "ManagedUserName"

Azure CLI

Så här använder du Azure CLI för att konfigurera elastisk SAN-kryptering:

1. Installera den senaste versionen.
2. Installera version 1.0.0b2 eller senare av Azure Elastic SAN CLI-tillägget.
   1. Om du inte har tillägget installerat använder du az extension add -n elastic-san för att installera tillägget för Elastic SAN.
   2. (Valfritt) om du redan har installerat tillägget kör du az extension update -n elastic-san för att installera det senaste.

Skapa variabler som ska användas i CLI-exemplen i den här artikeln

Kopiera exempelkoden och ersätt all platshållartext med dina egna värden. Använd samma variabler i alla exempel i den här artikeln:

# The name of the resource group where the resources will be deployed.
RgName="ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
EsanName="ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
EsanVgName="ElasticSanVolumeGroupName"

# The name of the Elastic SAN volume to be created
volume_name="ElasticSanVolumeName"

# The region where the new resources will be created.
Location="Location"

# The name of the Azure Key Vault that will contain the KEK.
KvName="KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
KeyName="KeyName"

# The name of the user-assigned managed identity, if applicable.
ManagedUserName="ManagedUserName"

Konfigurera nyckelvalvet

Du kan använda ett nytt eller befintligt nyckelvalv för att lagra kundhanterade nycklar. Den krypterade resursen och nyckelvalvet kan finnas i olika regioner eller prenumerationer i samma Microsoft Entra-ID-klientorganisation. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault och Vad är Azure Key Vault?.

Att använda kundhanterade nycklar med kryptering kräver att både skydd mot mjuk borttagning och rensning är aktiverat för nyckelvalvet. Mjuk borttagning är aktiverat som standard när du skapar ett nytt nyckelvalv och inte kan inaktiveras. Du kan aktivera rensningsskydd antingen när du skapar nyckelvalvet eller när det har skapats. Azure Elastic SAN-kryptering stöder RSA-nycklar i storlekarna 2048, 3072 och 4096.

Azure Key Vault stöder auktorisering med Azure RBAC via en Azure RBAC-behörighetsmodell. Microsoft rekommenderar att du använder Azure RBAC-behörighetsmodellen för åtkomstprinciper för nyckelvalv. Mer information finns i Bevilja behörighet till program för åtkomst till ett Azure-nyckelvalv med Hjälp av Azure RBAC.

Det finns två steg som ingår i att förbereda ett nyckelvalv som ett arkiv för dina volymgrupp-KEK:er:

• Skapa ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat, eller aktivera rensningsskydd för ett befintligt.
• Skapa eller tilldela en Azure RBAC-roll som har borttagningen av säkerhetskopieringen , hämta behörigheter för att hämta återställningsbehörigheter för importuppdatering .

PowerShell

Följande exempel:

• Skapar ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat.
• Hämtar UPN för ditt användarkonto.
• Tilldelar Key Vault Crypto Officer-rollen för det nya nyckelvalvet till ditt konto.

Använd samma variabler som du definierade tidigare i den här artikeln.

# Setup the parameters to create the key vault.
$NewKvArguments = @{
    Name                    = $KvName
    ResourceGroupName       = $RgName
    Location                = $Location
    EnablePurgeProtection   = $true
    EnableRbacAuthorization = $true
}

# Create the key vault.
$KeyVault = New-AzKeyVault @NewKvArguments

# Get the UPN of the currently loggged in user.
$MyAccountUpn = (Get-AzADUser -SignedIn).UserPrincipalName

# Setup the parameters to create the role assignment.
$CrptoOfficerRoleArguments = @{
    SignInName         = $MyAccountUpn
    RoleDefinitionName = "Key Vault Crypto Officer"
    Scope              = $KeyVault.ResourceId
}

# Assign the Cypto Officer role to your account for the key vault.
New-AzRoleAssignment @CrptoOfficerRoleArguments

Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med PowerShell finns i Översikt över Azure Key Vault-återställning.

Mer information om hur du tilldelar en RBAC-roll med PowerShell finns i Tilldela Azure-roller med Azure PowerShell.

Azure CLI

Om du vill skapa ett nytt nyckelvalv med Azure CLI anropar du az keyvault create. I följande exempel skapas ett nytt nyckelvalv med mjukt borttagnings- och rensningsskydd aktiverat. Nyckelvalvets behörighetsmodell är inställd på att använda Azure RBAC. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden.

az keyvault create --name $KvName --resource-group $RgName --location $Location --enable-purge-protection --retention-days 7

Information om hur du aktiverar rensningsskydd i ett befintligt nyckelvalv med Azure CLI finns i Översikt över Azure Key Vault-återställning.

Lägga till en nyckel

Lägg sedan till en nyckel i nyckelvalvet. Innan du lägger till nyckeln kontrollerar du att du har tilldelat dig rollen Key Vault Crypto Officer .

Azure Storage- och Elastic SAN-kryptering stöder RSA-nycklar i storlekarna 2048, 3072 och 4096. Mer information om nyckeltyper som stöds finns i Om nycklar.

PowerShell

Använd dessa exempelkommandon för att lägga till en nyckel i nyckelvalvet med PowerShell. Använd samma variabler som du definierade tidigare i den här artikeln.

# Get the key vault where the key is to be added.
$KeyVault = Get-AzKeyVault -ResourceGroupName $RgName -VaultName $KvName

# Setup the parameters to add the key to the vault.
$NewKeyArguments = @{
    Name        = $KeyName
    VaultName   = $KeyVault.VaultName
    Destination = "Software"
}

# Add the key to the vault.
$Key = Add-AzKeyVaultKey @NewKeyArguments

Azure CLI

Om du vill lägga till en nyckel med Azure CLI anropar du az keyvault key create. Du kan också ange en princip för din nyckelvalv för att ge behörigheter till specifika användare direkt. Ersätt youremail@here.com och använd sedan följande exempel och samma variabler som du skapade tidigare i den här artikeln:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)

az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

Välj en nyckelroteringsstrategi

Följande metodtips för kryptografi innebär att rotera nyckeln som skyddar din elastiska SAN-volymgrupp enligt ett regelbundet schema, vanligtvis minst vartannat år. Azure Elastic SAN ändrar aldrig nyckeln i nyckelvalvet, men du kan konfigurera en princip för nyckelrotation för att rotera nyckeln enligt dina efterlevnadskrav. Mer information finns i Konfigurera automatisk rotation av kryptografiska nycklar i Azure Key Vault.

När nyckeln har roterats i nyckelvalvet måste krypteringskonfigurationen för din elastiska SAN-volymgrupp uppdateras för att använda den nya nyckelversionen. Kundhanterade nycklar stöder både automatisk och manuell uppdatering av KEK-versionen. Bestäm vilken metod du vill använda innan du konfigurerar kundhanterade nycklar för en ny eller befintlig volymgrupp.

Mer information om nyckelrotation finns i Uppdatera nyckelversionen.

Viktigt!

När du ändrar nyckeln eller nyckelversionen ändras skyddet av rotdatakrypteringsnyckeln, men data i azure elastic SAN-volymgruppen förblir krypterade hela tiden. För din del krävs ingen ytterligare åtgärd för att säkerställa att dina data är skyddade. Att rotera nyckelversionen påverkar inte prestanda och det finns ingen avbrottstid associerad med den.

Automatisk rotation av nyckelversion

Azure Elastic SAN kan automatiskt uppdatera den kundhanterade nyckel som används för kryptering för att använda den senaste nyckelversionen från nyckelvalvet. Elastic SAN kontrollerar nyckelvalvet dagligen efter en ny version av nyckeln. När en ny version blir tillgänglig börjar den automatiskt använda den senaste versionen av nyckeln för kryptering. När du roterar en nyckel måste du vänta 24 timmar innan du inaktiverar den äldre versionen.

Viktigt!

Om den elastiska SAN-volymgruppen har konfigurerats för manuell uppdatering av nyckelversionen och du vill ändra den så att den uppdateras automatiskt ändrar du nyckelversionen till en tom sträng. Mer information om hur du ändrar nyckelversionen manuellt finns i Uppdatera nyckelversionen automatiskt.

Manuell nyckelversionsrotation

Om du föredrar att uppdatera nyckelversionen manuellt anger du URI:n för en viss version vid den tidpunkt då du konfigurerar kryptering med kundhanterade nycklar. När du anger URI:n uppdaterar ditt elastiska SAN inte nyckelversionen automatiskt när en ny version skapas i nyckelvalvet. För att ditt elastiska SAN ska kunna använda en ny nyckelversion måste du uppdatera den manuellt.

Så här hittar du URI:n för en specifik version av en nyckel i Azure-portalen:

1. Gå till ditt nyckelvalv.
2. Under Objekt väljer du Nycklar.
3. Välj önskad nyckel för att visa dess versioner.
4. Välj en nyckelversion för att visa inställningarna för den versionen.
5. Kopiera värdet för fältet Nyckelidentifierare , som tillhandahåller URI:n.
6. Spara den kopierade texten som ska användas senare när du konfigurerar kryptering för volymgruppen.

Välj en hanterad identitet för att auktorisera åtkomst till nyckelvalvet

När du aktiverar kundhanterade krypteringsnycklar för en elastisk SAN-volymgrupp måste du ange en hanterad identitet som används för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Den hanterade identiteten måste ha följande behörigheter:

• Få
• wrapkey
• unwrapkey

Den hanterade identitet som har behörighet till nyckelvalvet kan vara antingen en användartilldelad eller systemtilldelad hanterad identitet. Mer information om systemtilldelade och användartilldelade hanterade identiteter finns i Hanterade identitetstyper.

När en volymgrupp skapas skapas en systemtilldelad identitet automatiskt för den. Om du vill använda en användartilldelad identitet skapar du den innan du konfigurerar kundhanterade krypteringsnycklar för volymgruppen. Information om hur du skapar och hanterar en användartilldelad hanterad identitet finns i Hantera användartilldelade hanterade identiteter.

Använda en användartilldelad hanterad identitet för att auktorisera åtkomst

När du aktiverar kundhanterade nycklar för en ny volymgrupp måste du ange en användartilldelad hanterad identitet. En befintlig volymgrupp stöder användning av antingen en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet för att konfigurera kundhanterade nycklar.

När du konfigurerar kundhanterade nycklar med en användartilldelad hanterad identitet används den användartilldelade hanterade identiteten för att auktorisera åtkomst till nyckelvalvet som innehåller nyckeln. Du måste skapa den användartilldelade identiteten innan du konfigurerar kundhanterade nycklar.

En användartilldelad hanterad identitet är en fristående Azure-resurs. Mer information om användartilldelade hanterade identiteter finns i Hanterade identitetstyper. Information om hur du skapar och hanterar en användartilldelad hanterad identitet finns i Hantera användartilldelade hanterade identiteter.

Den användartilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Du kan antingen bevilja behörigheter till identiteten manuellt eller tilldela en inbyggd roll med key vault-omfång för att bevilja dessa behörigheter.

PowerShell

I följande exempel visas hur du:

• Skapa en ny användartilldelad hanterad identitet.
• Vänta tills den användartilldelade identiteten har skapats.
• PrincipalId Hämta från den nya identiteten.
• Tilldela en RBAC-roll till den nya identiteten, som är begränsad till nyckelvalvet.

Använd samma variabler som du definierade tidigare i den här artikeln.

# Create a new user-assigned managed identity.
$UserIdentity = New-AzUserAssignedIdentity -ResourceGroupName $RgName -Name $ManagedUserName -Location $Location

Dricks

Vänta ungefär 1 minut tills den användartilldelade identiteten har skapats innan du fortsätter.

# Get the `PrincipalId` for the new identity.
$PrincipalId = $UserIdentity.PrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role to the managed identity so it can access the key in the vault.
New-AzRoleAssignment @CryptoUserRoleArguments

Azure CLI

I följande exempel visas hur du:

• Skapa en ny användartilldelad hanterad identitet.
• Vänta tills den användartilldelade identiteten har skapats.
• PrincipalId Hämta från den nya identiteten.
• Ange en princip för ditt nyckelvalv som ger åtkomst till din identitet.

Använd samma variabler som du definierade tidigare i den här artikeln.

### Create a user assigned identity and grant it the access to the key vault
uai=$(az identity create -g $RgName -n $ManagedUserName -o tsv --query id)

#### Get the properties
uai_principal_id=$(az identity show --ids $uai --query principalId -o tsv)
uai_id=$(az identity show --ids $uai --query id -o tsv)
uai_client_id=$(az identity show --ids $uai --query clientId -o tsv)

#### create a keyvault and get the vault url
az keyvault create --name $KvName --resource-group $RgName --location eastus2 --enable-purge-protection --retention-days 7
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --protocol-type Iscsi --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"
az elastic-san volume create -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2

Använda en systemtilldelad hanterad identitet för att auktorisera åtkomst

En systemtilldelad hanterad identitet är associerad med en instans av en Azure-tjänst, till exempel en Azure Elastic SAN-volymgrupp.

Den systemtilldelade hanterade identiteten måste ha behörighet att komma åt nyckeln i nyckelvalvet. Den här artikeln använder rollen Key Vault Crypto Service Encryption User till den systemtilldelade hanterade identiteten med key vault-omfånget för att bevilja dessa behörigheter.

När en volymgrupp skapas skapas automatiskt en systemtilldelad identitet för den om parametern -IdentityType "SystemAssigned" anges med New-AzElasticSanVolumeGroup kommandot . Den systemtilldelade identiteten är inte tillgänglig förrän volymgruppen har skapats. Du måste också tilldela en lämplig roll, till exempel key vault-krypteringstjänstens krypteringsanvändarroll till identiteten innan den kan komma åt krypteringsnyckeln i nyckelvalvet. Därför kan du inte konfigurera kundhanterade nycklar för att använda en systemtilldelad identitet när du skapar en volymgrupp. När du skapar en ny volymgrupp med kundhanterade nycklar måste du använda en användartilldelad identitet när du skapar volymgruppen. Du kan konfigurera en systemtilldelad identitet när den har skapats.

PowerShell

Använd den här exempelkoden för att tilldela den nödvändiga RBAC-rollen till den systemtilldelade hanterade identiteten, som är begränsad till nyckelvalvet. Använd samma variabler som du definierade tidigare i den här artikeln.

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

Azure CLI

Om du vill autentisera åtkomsten till nyckelvalvet med en systemtilldelad hanterad identitet tilldelar du först den systemtilldelade hanterade identiteten till volymgruppen genom att anropa az elastic-san volume-group update. Använd följande exempel och samma variabler som du skapade tidigare i den här artikeln:

az elastic-san volume-group update \
    --name $EsanVgName \
    --resource-group $RgName \
    --identity

Tilldela sedan den systemtilldelade hanterade identiteten den RBAC-roll som krävs, som är begränsad till nyckelvalvet. Använd följande exempel och samma variabler som du skapade tidigare i den här artikeln:

PrincipalId=$(az elastic-san volume-group show --name $EsanVgName \
    --resource-group $RgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $PrincipalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $vault_uri

Konfigurera kundhanterade nycklar för en volymgrupp

Välj Azure PowerShell-modulen eller fliken Azure CLI för instruktioner om hur du konfigurerar kundhanterade krypteringsnycklar med hjälp av önskat hanteringsverktyg.

PowerShell

Nu när du har valt PowerShell väljer du fliken som motsvarar om du vill konfigurera inställningarna när du skapar en ny volymgrupp eller uppdaterar inställningarna för en befintlig.

Azure CLI

Nu när du har valt CLI väljer du fliken som motsvarar om du vill konfigurera inställningarna när du skapar en ny volymgrupp eller uppdaterar inställningarna för en befintlig.

Ny volymgrupp

Använd det här exemplet för att konfigurera kundhanterade nycklar med automatisk uppdatering av nyckelversionen när du skapar en ny volymgrupp med Hjälp av PowerShell:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Om du vill konfigurera kundhanterade nycklar med manuell uppdatering av nyckelversionen när du skapar en ny volymgrupp med hjälp av PowerShell lägger du till parametern KeyVersion enligt det här exemplet:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    KeyVersion                   = $Key.Version
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Ny volymgrupp

Använd följande exempel och samma variabler som du skapade tidigare i den här artikeln för att konfigurera kundhanterade nycklar när du skapar en ny volymgrupp:

Hanterad identitet

vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName \
    --encryption EncryptionAtRestWithCustomerManagedKey \
    --protocol-type Iscsi \
    --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" \
    --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

az elastic-san volume update -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2     

Systemtilldelad identitet

Ersätt youremail@here.com med e-postmeddelandet för den användare som du vill tilldela behörigheter till och kör följande skript:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)
az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with platform-managed keys and a system assigned identity with it
#### Get the system identity's principalId from the response of PUT volume group request.
vg_identity_principal_id=$(az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithPlatformKey --protocol-type Iscsi --identity '{type:SystemAssigned}' --query "identity.principalId" -o tsv)

### Grant access to  the system assigned identity to the key vault created in step1
#### (key permissions: Get, Unwrap Key, Wrap Key)
az keyvault set-policy -n $KvName --object-id $vg_identity_principal_id --key-permissions backup create delete get import get list update restore

### Update the volume group with the key created earlier
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

Befintlig volymgrupp

Den här uppsättningen exempel visar hur du konfigurerar en befintlig volymgrupp för att använda kundhanterade nycklar med en systemtilldelad identitet. Stegen är:

• Generera en systemtilldelad identitet för volymgruppen.
• Hämta huvud-ID:t för den nya systemtilldelade identiteten.
• Tilldela rollen Krypteringsanvändare för Key Vault Crypto Service till den nya identiteten för nyckelvalvet.
• Uppdatera volymgruppen så att den använder kundhanterade nycklar.

Använd det här exemplet för att konfigurera en befintlig volymgrupp för att använda kundhanterade nycklar med en systemtilldelad identitet och automatisk uppdatering av nyckelversionen med Hjälp av PowerShell:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Om du vill konfigurera en befintlig volymgrupp för att använda kundhanterade nycklar med en systemtilldelad identitet och manuell uppdatering av nyckelversionen med PowerShell lägger du till parametern KeyVersion enligt följande exempel:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
    KeyVersion   = $Key.Version
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Befintlig volymgrupp

Använd följande exempel på samma variabler som du skapade tidigare i den här artikeln för att konfigurera kundhanterade nycklar för en befintlig volymgrupp med hjälp av Azure CLI.

Hanterad identitet

### update the volume group with the new user assigned identity
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

Systemtilldelad identitet

az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity '{type:SystemAssigned}' --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

När du uppdaterar nyckelversionen manuellt måste du uppdatera volymgruppens krypteringsinställningar för att använda den nya versionen. Börja med att fråga efter nyckelvalvets URI genom att anropa az keyvault show och för nyckelversionen genom att anropa az keyvault key list-versions. Anropa az elastic-san volume-group update sedan för att uppdatera volymgruppens krypteringsinställningar för att använda den nya versionen av nyckeln, som du ser i föregående exempel.

Nästa steg

• Hantera kundnycklar för Azure Elastic SAN-datakryptering