Azure Yönetilen Lustre ile müşteri tarafından yönetilen şifreleme anahtarlarını kullanma
Azure Yönetilen Lustre dosya sisteminde depolanan verilerinizi şifrelemek için kullanılan anahtarların sahipliğini denetlemek için Azure Key Vault kullanabilirsiniz. Bu makalede Azure Yönetilen Lustre ile veri şifreleme için müşteri tarafından yönetilen anahtarların nasıl kullanılacağı açıklanmaktadır.
Not
Azure'da depolanan tüm veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Verilerinizi Azure Yönetilen Lustre kümenizde depolandığında şifrelemek için kullanılan anahtarları yönetmek istiyorsanız yalnızca bu makaledeki adımları izlemeniz gerekir.
VM ana bilgisayar şifrelemesi , Lustre diskleri için bir Müşteri Anahtarı ekleseniz bile verilerinizi Azure Yönetilen Lustre dosya sisteminde tutan yönetilen disklerle ilgili tüm bilgileri korur. Müşteri tarafından yönetilen anahtar eklemek, yüksek güvenlik gereksinimleri için ek bir güvenlik düzeyi sağlar. Daha fazla bilgi için bkz. Azure disk depolamanın sunucu tarafı şifrelemesi.
Azure Yönetilen Lustre için müşteri tarafından yönetilen anahtar şifrelemesini etkinleştirmenin üç adımı vardır:
- Anahtarları depolamak için bir Azure Key Vault ayarlayın.
- Bu anahtar kasasına erişebilen bir yönetilen kimlik oluşturun.
- Dosya sistemini oluştururken müşteri tarafından yönetilen anahtar şifrelemesini seçin ve kullanılacak anahtar kasasını, anahtarı ve yönetilen kimliği belirtin.
Bu makalede bu adımlar daha ayrıntılı olarak açıklanmaktadır.
Dosya sistemini oluşturduktan sonra, müşteri tarafından yönetilen anahtarlar ile Microsoft tarafından yönetilen anahtarlar arasında geçiş yapamazsınız.
Önkoşullar
Önceden var olan bir anahtar kasasını ve anahtarı kullanabilir veya Azure Yönetilen Lustre ile kullanmak üzere yeni anahtarlar oluşturabilirsiniz. Düzgün yapılandırılmış bir anahtar kasasına ve anahtara sahip olduğunuzdan emin olmak için aşağıdaki gerekli ayarlara bakın.
Anahtar kasası ve anahtar oluşturma
Şifreleme anahtarlarınızı depolamak için bir Azure anahtar kasası ayarlayın. Anahtar kasası ve anahtar, Azure Yönetilen Lustre ile çalışmak için bu gereksinimleri karşılamalıdır.
Anahtar kasası özellikleri
Azure Yönetilen Lustre ile kullanmak için aşağıdaki ayarlar gereklidir. Gerektiği gibi listelenmeyen seçenekleri yapılandırabilirsiniz.
Temel:
- Abonelik - Azure Yönetilen Lustre kümesi için kullanılan aboneliği kullanın.
- Region - Anahtar kasasıNın Azure Yönetilen Lustre kümesiyle aynı bölgede olması gerekir.
- Fiyatlandırma katmanı - Standart katman, Azure Yönetilen Lustre ile kullanmak için yeterlidir.
- Geçici silme - Azure Yönetilen Lustre, anahtar kasasında önceden yapılandırılmamışsa geçici silmeyi etkinleştirir.
- Temizleme koruması - Temizleme korumasını etkinleştirin.
Erişim ilkesi:
- Erişim Yapılandırması - Azure rol tabanlı erişim denetimi olarak ayarlayın.
Ağ:
Genel Erişim - Etkinleştirilmesi gerekir.
Erişime İzin Ver - Tüm ağlar'ı seçin veya erişimi kısıtlamanız gerekiyorsa Seçili ağlar'ı seçin
- Seçili ağlar seçilirse, aşağıdaki Özel Durum bölümünde Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver seçeneğini etkinleştirmeniz gerekir.
Not
Mevcut bir anahtar kasası kullanıyorsanız, Ağ ayarları bölümünü gözden geçirerek Erişime izin ver seçeneğinin Tüm ağlardan genel erişime izin ver olarak ayarlandığını onaylayabilir veya gerekirse değişiklik yapabilirsiniz.
Temel özellikler
- Anahtar türü - RSA
- RSA anahtar boyutu - 2048
- Etkin - Evet
Anahtar kasası erişim izinleri:
Azure Yönetilen Lustre sistemini oluşturan kullanıcının Key Vault katkıda bulunan rolüne eşdeğer izinlere sahip olması gerekir. Azure Key Vault ayarlamak ve yönetmek için aynı izinler gereklidir.
Daha fazla bilgi için bkz . Anahtar kasasına güvenli erişim.
Azure Key Vault temel bilgileri hakkında daha fazla bilgi edinin.
Kullanıcı tarafından atanan yönetilen kimlik oluşturma
Azure Yönetilen Lustre dosya sisteminin anahtar kasasına erişmek için kullanıcı tarafından atanan bir yönetilen kimliğe ihtiyacı vardır.
Yönetilen kimlikler, Microsoft Entra ID aracılığıyla Azure hizmetlerine erişirken kullanıcı kimliklerinin yerini alan tek başına kimlik kimlik bilgileridir. Diğer kullanıcılar gibi bu kullanıcılara da roller ve izinler atanabilir. Yönetilen kimlikler hakkında daha fazla bilgi edinin.
Dosya sistemini oluşturmadan önce bu kimliği oluşturun ve anahtar kasasına erişim verin.
Not
Anahtar kasasına erişemeyecek bir yönetilen kimlik sağlarsanız dosya sistemini oluşturamazsınız.
Daha fazla bilgi için yönetilen kimlikler belgelerine bakın:
Müşteri tarafından yönetilen şifreleme anahtarlarıyla Azure Yönetilen Lustre dosya sistemini oluşturma
Azure Yönetilen Lustre dosya sisteminizi oluştururken Disk şifreleme anahtarları sekmesini kullanarak Disk şifreleme anahtarı türü ayarında Müşteri tarafından yönetilen'i seçin. Müşteri Anahtarı ayarları ve Yönetilen kimlikler için diğer bölümler görüntülenir.
Müşteri tarafından yönetilen anahtarları yalnızca oluşturma zamanında ayarlayabildiğinizi unutmayın. Mevcut Azure Yönetilen Lustre dosya sistemi için kullanılan şifreleme anahtarlarının türünü değiştiremezsiniz.
Müşteri Anahtarı ayarları
Anahtar kasası, anahtar ve sürüm ayarlarını seçmek için Müşteri Anahtarı ayarları'ndaki bağlantıyı seçin. Ayrıca bu sayfadan yeni bir Azure Key Vault oluşturabilirsiniz. Yeni bir anahtar kasası oluşturursanız yönetilen kimliğinize bu kasaya erişim vermeyi unutmayın.
Azure Key Vault listede görünmüyorsa şu gereksinimleri denetleyin:
- Dosya sistemi anahtar kasasıyla aynı abonelikte mi?
- Dosya sistemi anahtar kasasıyla aynı bölgede mi?
- Azure portal ile anahtar kasası arasında ağ bağlantısı var mı?
Kasayı seçtikten sonra, kullanılabilir seçeneklerden tek tek anahtarı seçin veya yeni bir anahtar oluşturun. Anahtar bir 2048 bit RSA anahtarı olmalıdır.
Seçili anahtarın sürümünü belirtin. Sürüm oluşturma hakkında daha fazla bilgi için Bkz. Azure Key Vault belgeleri.
Yönetilen kimlik ayarları
Yönetilen kimlikler'deki bağlantıyı seçin ve Azure Yönetilen Lustre dosya sisteminin anahtar kasası erişimi için kullandığı kimliği seçin.
Bu şifreleme anahtarı ayarlarını yapılandırdıktan sonra Gözden geçir ve oluştur sekmesine geçin ve dosya sistemini her zamanki gibi oluşturmayı tamamlayın.
Sonraki adımlar
Bu makalelerde, Azure'da verileri şifrelemek için Azure Key Vault ve müşteri tarafından yönetilen anahtarları kullanma hakkında daha fazla bilgi ve bulabilirsiniz:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin