Azure Fluid Relay şifrelemesi için müşteri tarafından yönetilen anahtarlar

Azure Fluid Relay kaynağınızdaki verileri korumak için kendi şifreleme anahtarınızı kullanabilirsiniz. Müşteri tarafından yönetilen bir anahtar (CMK) belirttiğinizde, bu anahtar verilerinizi şifreleyen anahtarı korumak ve bu anahtara erişimi denetlemek için kullanılır. CMK, erişim denetimlerini yönetmek için daha fazla esneklik sunar.

CMK'nizi depolamak için aşağıdaki Azure anahtar depolarından birini kullanmanız gerekir:

• Azure Key Vault
• Azure Key Vault Yönetilen Donanım Güvenlik Modülü (HSM)

CMK'yi etkinleştirmek için yeni bir Azure Fluid Relay kaynağı oluşturmanız gerekir. Mevcut bir Akışkan Geçişi kaynağında CMK etkinleştirme/devre dışı bırakma özelliğini değiştiremezsiniz.

Ayrıca, Akışkan Geçişi CMK'si Yönetilen Kimlik'e dayanır ve CMK'yi etkinleştirirken Akıcı Geçiş kaynağına yönetilen bir kimlik atamanız gerekir. Fluid Relay kaynağı CMK'si için yalnızca kullanıcı tarafından atanan kimliğe izin verilir. Yönetilen kimlikler hakkında daha fazla bilgi için buraya bakın.

CmK ile Akıcı Geçiş kaynağı yapılandırma işlemi henüz Azure portalı üzerinden yapılamıyor.

Akışkan Geçişi kaynağını CMK ile yapılandırdığınızda Azure Fluid Relay hizmeti, Akışkan oturumu yapıtlarınızın depolandığı Azure Depolama hesabı kapsamında uygun CMK şifreli ayarlarını yapılandırır. Azure Depolama'da CMK hakkında daha fazla bilgi için buraya bakın.

Akışkan Geçişi kaynağının CMK kullandığını doğrulamak için GET göndererek kaynağın özelliğini denetleyerek encryption.customerManagedKeyEncryption öğesinin geçerli, boş olmayan bir özelliği olup olmadığını görebilirsiniz.

Ön koşullar:

Azure Akıcı Geçiş kaynağınızda CMK'yi yapılandırmadan önce aşağıdaki önkoşulların karşılanması gerekir:

• Anahtarlar bir Azure Key Vault'ta depolanmalıdır.
• EC anahtarı WRAP ve UNWRAP'ı desteklemediğinden anahtarlar EC anahtarı değil RSA anahtarı olmalıdır.
• Kullanıcı tarafından atanan yönetilen kimlik, 1. adımda anahtar kasasına gerekli izinlerle (GET, WRAP ve UNWRAP) oluşturulmalıdır. Burada daha fazla bilgi bulabilirsiniz. Lütfen AKV'de Anahtar İzinleri altında GET, WRAP ve UNWRAP verin.
• Azure Key Vault, kullanıcı tarafından atanan kimlik ve Akıcı Geçiş kaynağı aynı bölgede ve aynı Microsoft Entra kiracısında olmalıdır.

CMK ile Akışkan Geçiş kaynağı oluşturma

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>" 

İstek yükü biçimi:

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
} 

Örnek userAssignedIdentities ve userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Örnek keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Notlar:

• Identity.type userAssigned olmalıdır. Akıcı Geçiş kaynağına atanan yönetilen kimliğin kimlik türüdür.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType userAssigned olmalıdır. CMK için kullanılması gereken yönetilen kimliğin kimlik türüdür.
• Identity.userAssignedIdentities içinde birden fazla kullanıcı belirteseniz de, şifreleme için anahtar kasasına CMK erişimi için belirtilen Akıcı Geçiş kaynağına atanan yalnızca bir kullanıcı kimliği kullanılır.
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId, CMK için kullanılması gereken kullanıcı tarafından atanan kimliğin kaynak kimliğidir. Identity.userAssignedIdentities içindeki kimliklerden biri olması gerektiğine dikkat edin (CMK için kullanabilmesi için önce kimliği Fluid Relay kaynağına atamanız gerekir). Ayrıca anahtar üzerinde gerekli izinlere sahip olmalıdır (keyEncryptionKeyUrl tarafından sağlanır).
• Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl, CMK için kullanılan anahtar tanımlayıcıdır.

Mevcut Bir Akışkan Geçişi kaynağının CMK ayarlarını güncelleştirme

Mevcut Akışkan Geçişi kaynağında aşağıdaki CMK ayarlarını güncelleştirebilirsiniz:

• Anahtar şifreleme anahtarına erişmek için kullanılan kimliği değiştirin.
• Anahtar şifreleme anahtarı tanımlayıcısını (anahtar URL'si) değiştirin.
• Anahtar şifreleme anahtarının anahtar sürümünü değiştirin.

Mevcut Akışkan Geçişi kaynağı etkinleştirildikten sonra CMK'yi devre dışı bırakamayacağınızı unutmayın.

İstek URL'si:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload" 

Anahtar şifreleme anahtarı URL'sini güncelleştirmek için istek yükü örneği:

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

Ayrıca bkz.

• Azure Fluid Relay mimarisine genel bakış
• Azure Fluid Relay'de veri depolama
• Azure Fluid Relay'de veri şifreleme