Aracılığıyla paylaş


Azure NetApp Files birim şifrelemesi için yönetilen Donanım Güvenlik Modülü ile müşteri tarafından yönetilen anahtarları yapılandırma

Yönetilen Donanım Güvenlik Modülü (HSM) ile müşteri tarafından yönetilen anahtarlarla Azure NetApp Files birim şifrelemesi, Azure NetApp Files birimleri şifreleme özelliği için müşteri tarafından yönetilen anahtarların uzantısıdır. Donanım Güvenlik Modülü (HSM) ile müşteri tarafından yönetilen anahtarlar, şifreleme anahtarlarınızı Azure Key Vault (AKV) tarafından kullanılan FIPS 140-2 Düzey 1 veya Düzey 2 hizmeti yerine daha güvenli bir FIPS 140-2 Düzey 3 HSM'de depolamanıza olanak tanır.

Gereksinimler

  • Yönetilen HSM ile müşteri tarafından yönetilen anahtarlar, 2022.11 veya üzeri API sürümü kullanılarak desteklenir.
  • Yönetilen HSM ile müşteri tarafından yönetilen anahtarlar, yalnızca mevcut şifrelemesi olmayan Azure NetApp Files hesapları için desteklenir.
  • Yönetilen HSM birimiyle müşteri tarafından yönetilen anahtar kullanarak birim oluşturmadan önce aşağıdakilere sahip olmanız gerekir:
    • en az bir anahtar içeren bir Azure Key Vault oluşturmuştur.
      • Anahtar kasasında, geçici silme ve temizleme koruması etkinleştirilmelidir.
      • Anahtar RSA türünde olmalıdır.
    • Microsoft.Netapp/volumes için atanan bir alt ağ ile bir sanal ağ oluşturulmuş olmalıdır.
    • Azure NetApp Files hesabınız için kullanıcı veya sistem tarafından atanan kimlik bulunmalıdır.
    • yönetilen bir HSM'yi sağladı ve etkinleştirdi.

Desteklenen bölgeler

  • Orta Avustralya
  • Orta Avustralya 2
  • Doğu Avustralya
  • Güneydoğu Avustralya
  • Güney Brezilya
  • Güneydoğu Brezilya
  • Orta Kanada
  • Doğu Kanada
  • Orta Hindistan
  • Central US
  • Doğu Asya
  • Doğu ABD
  • Doğu ABD 2
  • Orta Fransa
  • Kuzey Almanya
  • Orta Batı Almanya
  • Orta İsrail
  • Kuzey İtalya
  • Doğu Japonya
  • Batı Japonya
  • Güney Kore - Orta
  • Orta Kuzey ABD
  • Kuzey Avrupa
  • Doğu Norveç
  • Batı Norveç
  • Katar Merkezi
  • Güney Afrika - Kuzey
  • Orta Güney ABD
  • Güney Hindistan
  • Güneydoğu Asya
  • İspanya Orta
  • Orta İsveç
  • Kuzey İsviçre
  • Batı İsviçre
  • BAE Orta
  • Kuzey BAE
  • Güney Birleşik Krallık
  • West Europe
  • Batı ABD
  • Batı ABD 2
  • Batı ABD 3

Özelliği kaydetme

Bu özellik şu anda önizlemededir. Özelliği ilk kez kullanmadan önce kaydetmeniz gerekir. Kayıt sonrasında özellik etkinleştirilir ve arka planda çalışır. Kullanıcı arabirimi denetimi gerekmez.

  1. Özelliği kaydedin:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
    
  2. Özellik kaydının durumunu denetleyin:

    Not

    RegistrationState değerini değiştirmeden önceRegistered 60 dakikaya kadar durumunda olabilirRegistering. Devam etmeden önce durum Kayıtlı olana kadar bekleyin.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
    

Ayrıca Azure CLI komutlarını az feature register az feature show kullanarak özelliği kaydedebilir ve kayıt durumunu görüntüleyebilirsiniz.

Sistem tarafından atanan kimlik için yönetilen HSM ile müşteri tarafından yönetilen anahtarları yapılandırma

Müşteri tarafından yönetilen anahtarları sistem tarafından atanan bir kimlikle yapılandırdığınızda Azure, sistem tarafından atanan bir kimlik ekleyerek NetApp hesabını otomatik olarak yapılandırıyor. Erişim ilkesi Azure Key Vault'unuzda Get, Encrypt ve Decrypt anahtar izinleriyle oluşturulur.

Gereksinimler

Sistem tarafından atanan bir kimliği kullanmak için, Azure Key Vault'un izin modeli olarak Kasa erişim ilkesini kullanacak şekilde yapılandırılması gerekir. Aksi takdirde, kullanıcı tarafından atanan bir kimlik kullanmanız gerekir.

Adımlar

  1. Azure portalında Azure NetApp Files'a gidin ve Şifreleme'yi seçin.

  2. Şifreleme menüsünde aşağıdaki değerleri sağlayın:

    • Şifreleme anahtarı kaynağı için Müşteri Tarafından Yönetilen Anahtar'ı seçin.
    • Anahtar URI'si için Anahtar URI'sini girin'i seçin ve yönetilen HSM için URI'yi sağlayın.
    • NetApp Aboneliği'ni seçin.
    • Kimlik türü için Sistem tarafından atanan'ı seçin.

    Anahtar URI alanını gösteren şifreleme menüsünün ekran görüntüsü.

  3. Kaydet'i seçin.

Kullanıcı tarafından atanan kimlik için yönetilen HSM ile müşteri tarafından yönetilen anahtarları yapılandırma

  1. Azure portalında Azure NetApp Files'a gidin ve Şifreleme'yi seçin.

  2. Şifreleme menüsünde aşağıdaki değerleri sağlayın:

    • Şifreleme anahtarı kaynağı için Müşteri Tarafından Yönetilen Anahtar'ı seçin.
    • Anahtar URI'si için Anahtar URI'sini girin'i seçin ve yönetilen HSM için URI'yi sağlayın.
    • NetApp Aboneliği'ni seçin.
    • Kimlik türü için Kullanıcı tarafından atanan'ı seçin.
  3. Kullanıcı tarafından atanan'ı seçtiğinizde, kimliği seçmek için bir bağlam bölmesi açılır.

    • Azure Key Vault'unuz bir Kasa erişim ilkesi kullanacak şekilde yapılandırılmışsa, Azure NetApp hesabını otomatik olarak yapılandırıp kullanıcı tarafından atanan kimliği NetApp hesabınıza ekler. Erişim ilkesi Azure Key Vault'unuzda Get, Encrypt ve Decrypt anahtar izinleriyle oluşturulur.
    • Azure Key Vault'unuz Azure rol tabanlı erişim denetimini (RBAC) kullanacak şekilde yapılandırılmışsa, seçilen kullanıcı tarafından atanan kimliğin anahtar kasasında veri eylemleri için izinlere sahip bir rol ataması olduğundan emin olun:
      • "Microsoft.KeyVault/vaults/keys/read"
      • "Microsoft.KeyVault/vaults/keys/encrypt/action"
      • "Microsoft.KeyVault/vaults/keys/decrypt/action" Seçtiğiniz kullanıcı tarafından atanan kimlik NetApp hesabınıza eklenir. RBAC'nin özelleştirilebilir olması nedeniyle Azure portalı anahtar kasasına erişimi yapılandırmaz. Daha fazla bilgi için bkz . Key Vault ile Azure RBAC gizli dizisi, anahtarı ve sertifika izinlerini kullanma

    Kullanıcı tarafından atanan alt menünün ekran görüntüsü.

  4. Kaydet'i seçin.

Sonraki adımlar