Aracılığıyla paylaş

Azure Managed Lustre ile müşteri tarafından yönetilen şifreleme anahtarlarını kullanma

Azure Yönetilen Lustre dosya sisteminde depolanan verilerinizi şifrelemek için kullanılan anahtarların sahipliğini denetlemek için Azure Key Vault'ı kullanabilirsiniz. Bu makalede Azure Yönetilen Lustre ile veri şifrelemesi için müşteri tarafından yönetilen anahtarların nasıl kullanılacağı açıklanmaktadır.

Not

Azure'da depolanan tüm veriler, varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak beklemede şifrelenir. Verilerinizi Azure Yönetilen Lustre kümenizde depolandığında şifrelemek için kullanılan anahtarları yönetmek istiyorsanız yalnızca bu makaledeki adımları izlemeniz gerekir.

VM ana bilgisayar şifrelemesi , Lustre diskleri için bir Müşteri Anahtarı ekleseniz bile verilerinizi Azure Yönetilen Lustre dosya sisteminde tutan yönetilen disklerle ilgili tüm bilgileri korur. Müşteri tarafından yönetilen anahtar eklemek, yüksek güvenlik gereksinimleri için ek bir güvenlik düzeyi sağlar. Daha fazla bilgi için bkz . Azure disk depolamanın sunucu tarafı şifrelemesi.

Azure Yönetilen Lustre için müşteri tarafından yönetilen anahtar şifrelemesini etkinleştirmeye yönelik üç adım vardır:

  1. Anahtarları depolamak için bir Azure Key Vault ayarlayın.
  2. Bu anahtar kasasına erişebilen bir yönetilen kimlik oluşturun.
  3. Dosya sistemini oluştururken müşteri tarafından yönetilen anahtar şifrelemesini seçin ve kullanılacak anahtar kasasını, anahtarı ve yönetilen kimliği belirtin.

Bu makalede bu adımlar daha ayrıntılı olarak açıklanmaktadır.

Dosya sistemini oluşturduktan sonra, müşteri tarafından yönetilen anahtarlar ile Microsoft tarafından yönetilen anahtarlar arasında değişiklik yapamazsınız.

Önkoşullar

Önceden var olan bir anahtar kasasını ve anahtarı kullanabilir veya Azure Yönetilen Lustre ile kullanmak üzere yeni anahtarlar oluşturabilirsiniz. Düzgün yapılandırılmış bir anahtar kasasına ve anahtara sahip olduğunuzdan emin olmak için aşağıdaki gerekli ayarlara bakın.

Anahtar kasası ve anahtar oluşturma

Şifreleme anahtarlarınızı depolamak için bir Azure anahtar kasası ayarlayın. Anahtar kasası ve anahtarın Azure Yönetilen Şehvet ile çalışmak için bu gereksinimleri karşılaması gerekir.

Anahtar kasası özellikleri

Azure Yönetilen Şehvet ile kullanmak için aşağıdaki ayarlar gereklidir. Gerektiği gibi listelenmeyen seçenekleri yapılandırabilirsiniz.

Temel:

  • Abonelik - Azure Yönetilen Lustre kümesi için kullanılan aboneliği kullanın.
  • Bölge - Anahtar kasası, Azure Yönetilen Lustre kümesiyle aynı bölgede olmalıdır.
  • Fiyatlandırma katmanı - Standart katman, Azure Yönetilen Lustre ile kullanmak için yeterlidir.
  • Geçici silme - Azure Yönetilen Lustre, anahtar kasasında henüz yapılandırılmamışsa geçici silmeyi etkinleştirir.
  • Temizleme koruması - Temizleme korumasını etkinleştirin.

Erişim ilkesi:

  • Erişim Yapılandırması - Azure rol tabanlı erişim denetimi olarak ayarlayın.

Ağ:

  • Genel Erişim - Etkinleştirilmelidir.

  • Erişime İzin Ver - Tüm ağlar'ı seçin veya erişimi kısıtlamanız gerekiyorsa Seçili ağlar'ı seçin

    • Seçili ağlar seçilirse, aşağıdaki Özel Durum bölümünde Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver seçeneğini etkinleştirmeniz gerekir.

Anahtar kasası erişimini seçili ağlara kısıtlamayı ve güvenilir Microsoft hizmetleri erişime izin verme işlemini gösteren ekran görüntüsü.

Not

Mevcut bir anahtar kasası kullanıyorsanız, Ağ ayarları bölümünü gözden geçirerek Erişime izin ver seçeneğinin Tüm ağlardan genel erişime izin ver olarak ayarlandığını onaylayabilir veya gerekirse değişiklik yapabilirsiniz.

Temel özellikler

  • Anahtar türü - RSA
  • RSA anahtar boyutu - 2048
  • Etkin - Evet

Anahtar kasası erişim izinleri:

  • Azure Yönetilen Lustre sistemini oluşturan kullanıcının Key Vault katkıda bulunan rolüne eşdeğer izinlere sahip olması gerekir. Azure Key Vault'un ayarlanması ve yönetilmesi için aynı izinler gereklidir.

    Daha fazla bilgi için bkz . Anahtar kasasına güvenli erişim.

Azure Key Vault ile ilgili temel bilgiler hakkında daha fazla bilgi edinin.

Kullanıcı tarafından atanan yönetilen kimlik oluşturma

Azure Yönetilen Lustre dosya sistemi, anahtar kasasına erişmek için kullanıcı tarafından atanan yönetilen bir kimliğe ihtiyaç duyar.

Yönetilen kimlikler, Microsoft Entra Id aracılığıyla Azure hizmetlerine erişirken kullanıcı kimliklerinin yerini alan tek başına kimlik kimlik bilgileridir. Diğer kullanıcılar gibi bu kullanıcılara da roller ve izinler atanabilir. Yönetilen kimlikler hakkında daha fazla bilgi edinin.

Dosya sistemini oluşturmadan önce bu kimliği oluşturun ve anahtar kasasına erişim verin.

Not

Anahtar kasasına erişemeyecek bir yönetilen kimlik sağlarsanız, dosya sistemini oluşturamazsınız.

Daha fazla bilgi için yönetilen kimlikler belgelerine bakın:

Müşteri tarafından yönetilen şifreleme anahtarlarıyla Azure Yönetilen Lustre dosya sistemini oluşturma

Azure Yönetilen Lustre dosya sisteminizi oluştururken Disk şifreleme anahtarları sekmesini kullanarak Disk şifreleme anahtarı türü ayarında Müşteri tarafından yönetilen'i seçin. Müşteri Anahtarı ayarları ve Yönetilen kimlikler için diğer bölümler görüntülenir.

Müşteri tarafından yönetilen yeni bir Azure Yönetilen Lustre sistemi oluşturmaya yönelik Azure portalı arabiriminin ekran görüntüsü.

Müşteri tarafından yönetilen anahtarları yalnızca oluşturma zamanında ayarlayabildiğinizi unutmayın. Mevcut Azure Yönetilen Lustre dosya sistemi için kullanılan şifreleme anahtarlarının türünü değiştiremezsiniz.

Müşteri Anahtarı ayarları

Anahtar kasasını, anahtarı ve sürüm ayarlarını seçmek için Müşteri Anahtarı ayarları'ndaki bağlantıyı seçin. Bu sayfadan yeni bir Azure Key Vault da oluşturabilirsiniz. Yeni bir anahtar kasası oluşturursanız yönetilen kimliğinize bu kasaya erişim vermeyi unutmayın.

Azure Key Vault'unuz listede görünmüyorsa şu gereksinimleri denetleyin:

  • Dosya sistemi anahtar kasasıyla aynı abonelikte mi?
  • Dosya sistemi anahtar kasasıyla aynı bölgede mi?
  • Azure portalı ile anahtar kasası arasında ağ bağlantısı var mı?

Kasayı seçtikten sonra, kullanılabilir seçenekler arasından tek tek anahtarı seçin veya yeni bir anahtar oluşturun. Anahtar bir 2048 bit RSA anahtarı olmalıdır.

Seçili anahtarın sürümünü belirtin. Sürüm oluşturma hakkında daha fazla bilgi için Azure Key Vault belgelerine bakın.

Yönetilen kimlik ayarları

Yönetilen kimlikler'deki bağlantıyı seçin ve Azure Yönetilen Lustre dosya sisteminin anahtar kasası erişimi için kullandığı kimliği seçin.

Bu şifreleme anahtarı ayarlarını yapılandırdıktan sonra Gözden Geçir + oluştur sekmesine geçin ve dosya sistemini oluşturmayı her zamanki gibi tamamlayın.

Sonraki adımlar

Bu makalelerde, Azure'daki verileri şifrelemek için Azure Key Vault ve müşteri tarafından yönetilen anahtarları kullanma hakkında daha fazla bilgi veilmektedir: