Share via

Azure HPC Önbelleği için müşteri tarafından yönetilen şifreleme anahtarlarını kullanma

  • Makale

Azure key vault kullanarak Azure HPC Önbelleği verilerinizi şifrelemek için kullanılan anahtarların sahipliğini denetleyebilirsiniz. Bu makalede, önbellek veri şifrelemesi için müşteri tarafından yönetilen anahtarların nasıl kullanılacağı açıklanmaktadır.

Dekont

Önbellek diskleri de dahil olmak üzere Azure'da depolanan tüm veriler varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılarak şifrelenir. Yalnızca verilerinizi şifrelemek için kullanılan anahtarları yönetmek istiyorsanız bu makaledeki adımları izlemeniz gerekir.

Azure HPC Önbelleği ayrıca önbellek diskleri için bir müşteri anahtarı ekleseniz bile önbelleğe alınan verilerinizi barındıran yönetilen disklerde VM ana bilgisayar şifrelemesi ile korunur. Çift şifreleme için müşteri tarafından yönetilen anahtar eklemek, yüksek güvenlik gereksinimleri olan müşteriler için ek bir güvenlik düzeyi sağlar. Ayrıntılar için Azure disk depolamanın sunucu tarafı şifrelemesini okuyun.

Azure HPC Önbelleği için müşteri tarafından yönetilen anahtar şifrelemesini etkinleştirmeye yönelik üç adım vardır:

  1. Anahtarları depolamak için bir Azure Key Vault ayarlayın.

  2. Azure HPC Önbelleği oluştururken müşteri tarafından yönetilen anahtar şifrelemesini seçin ve kullanılacak anahtar kasasını ve anahtarı belirtin. İsteğe bağlı olarak, önbellek için anahtar kasasına erişmek için kullanılacak yönetilen bir kimlik sağlayın.

    Bu adımda yaptığınız seçimlere bağlı olarak, 3. adımı atlayabilirsiniz. Ayrıntılar için Önbellek için yönetilen kimlik seçeneğini belirleme makalesini okuyun.

  3. Sistem tarafından atanan yönetilen kimlik veya anahtar kasası erişimiyle yapılandırılmamış kullanıcı tarafından atanan bir kimlik kullanıyorsanız: Yeni oluşturulan önbelleğe gidin ve anahtar kasasına erişme yetkisi verin.

    Yönetilen kimliğin Azure Key Vault'a erişimi yoksa, şifrelemeniz yeni oluşturulan önbellekten yetkilendirilinceye kadar tam olarak ayarlanmaz (3. adım).

    Sistem tarafından yönetilen bir kimlik kullanırsanız, önbellek oluşturulduğunda kimlik oluşturulur. Önbellek oluşturulduktan sonra yetkili kullanıcı olması için önbelleğin kimliğini anahtar kasasına geçirmeniz gerekir.

    Anahtar kasasına zaten erişimi olan kullanıcı tarafından yönetilen bir kimlik atarsanız bu adımı atlayabilirsiniz.

Önbelleği oluşturduktan sonra, müşteri tarafından yönetilen anahtarlar ile Microsoft tarafından yönetilen anahtarlar arasında değişiklik yapamazsınız. Ancak önbelleğiniz müşteri tarafından yönetilen anahtarlar kullanıyorsa şifreleme anahtarını, anahtar sürümünü ve anahtar kasasını gerektiği gibi değiştirebilirsiniz.

Anahtar kasası ve anahtar gereksinimlerini anlama

Anahtar kasası ve anahtarın Azure HPC Önbelleği ile çalışabilmesi için bu gereksinimleri karşılaması gerekir.

Anahtar kasası özellikleri:

  • Abonelik - Önbellek için kullanılan aboneliği kullanın.
  • Bölge - Anahtar kasasıNın Azure HPC Önbelleği ile aynı bölgede olması gerekir.
  • Fiyatlandırma katmanı - Standart katman, Azure HPC Önbelleği ile kullanmak için yeterlidir.
  • Geçici silme - Azure HPC Önbelleği, anahtar kasasında henüz yapılandırılmamışsa geçici silmeyi etkinleştirir.
  • Temizleme koruması - Temizleme koruması etkinleştirilmelidir.
  • Erişim ilkesi - Varsayılan ayarlar yeterlidir.
  • Ağ bağlantısı - Azure HPC Önbelleği seçtiğiniz uç nokta ayarlarından bağımsız olarak anahtar kasasına erişebilmelidir.

Önemli özellikler:

  • Anahtar türü - RSA
  • RSA anahtar boyutu - 2048
  • Etkin - Evet

Anahtar kasası erişim izinleri:

  • Azure HPC Önbelleği oluşturan kullanıcının Key Vault katkıda bulunan rolüne eşdeğer izinlere sahip olması gerekir. Azure Key Vault'un ayarlanması ve yönetilmesi için aynı izinler gereklidir.

    Daha fazla bilgi için Bkz . Anahtar kasasına güvenli erişim.

Önbellek için yönetilen kimlik seçeneğini belirleme

HPC Önbelleği, anahtar kasasına bağlanmak için yönetilen kimlik kimlik bilgilerini kullanır.

Azure HPC Önbelleği iki tür yönetilen kimlik kullanabilir:

  • Sistem tarafından atanan yönetilen kimlik - Önbelleğiniz için otomatik olarak oluşturulmuş, benzersiz bir kimlik. Bu yönetilen kimlik yalnızca HPC Önbelleği mevcutken bulunur ve doğrudan yönetilebilir veya değiştirilemez.

  • Kullanıcı tarafından atanan yönetilen kimlik - Önbellekten ayrı olarak yönettiğiniz tek başına kimlik kimlik bilgileri. Tam olarak istediğiniz erişime sahip kullanıcı tarafından atanan yönetilen kimliği yapılandırabilir ve bunu birden çok HPC Önbelleği kullanabilirsiniz.

Oluşturduğunuz sırada önbelleğe yönetilen kimlik atamazsanız, Azure önbellek için otomatik olarak sistem tarafından atanan bir yönetilen kimlik oluşturur.

Kullanıcı tarafından atanan yönetilen kimlikle, anahtar kasanıza zaten erişimi olan bir kimlik sağlayabilirsiniz. (Örneğin, bir anahtar kasası erişim ilkesine eklenmiştir veya erişime izin veren bir Azure RBAC rolüne sahiptir.) Sistem tarafından atanan bir kimlik kullanıyorsanız veya erişimi olmayan bir yönetilen kimlik sağlıyorsanız, oluşturma işleminden sonra önbellekten erişim istemeniz gerekir. Bu, aşağıda 3. adımda açıklanan el ile gerçekleştirilen bir adımdır.

1. Azure Key Vault'un kurulumunu yapma

Önbelleği oluşturmadan önce bir anahtar kasası ve anahtarı ayarlayabilir veya önbellek oluşturma işleminin bir parçası olarak yapabilirsiniz. Bu kaynakların yukarıda açıklanan gereksinimleri karşıladığından emin olun.

Önbellek oluşturma zamanında önbelleğin şifrelemesi için kullanılacak bir kasa, anahtar ve anahtar sürümü belirtmeniz gerekir.

Ayrıntılar için Azure Key Vault belgelerini okuyun.

Dekont

Azure Key Vault'un aynı aboneliği kullanması ve Azure HPC Önbelleği ile aynı bölgede olması gerekir. Seçtiğiniz bölgenin her iki ürünü de desteklediğinden emin olun.

2. Müşteri tarafından yönetilen anahtarlar etkinken önbelleği oluşturma

Azure HPC Önbelleği oluştururken şifreleme anahtarı kaynağını belirtmeniz gerekir. Azure HPC Önbelleği oluşturma başlığındaki yönergeleri izleyin ve Disk şifreleme anahtarları sayfasında anahtar kasasını ve anahtarı belirtin. Önbellek oluşturma sırasında yeni bir anahtar kasası ve anahtar oluşturabilirsiniz.

Bahşiş

Disk şifreleme anahtarları sayfası görünmüyorsa, önbelleğinizin desteklenen bölgelerden birinde olduğundan emin olun.

Screenshot of the completed Disk encryption keys screen, part of the cache creation interface in the portal.

Önbelleği oluşturan kullanıcının Key Vault katkıda bulunan rolüne veya daha yüksek ayrıcalıklara sahip olması gerekir.

  1. Özel olarak yönetilen anahtarları etkinleştirmek için düğmeye tıklayın. Bu ayarı değiştirdikten sonra anahtar kasası ayarları görüntülenir.

  2. Anahtar seçimi sayfasını açmak için Anahtar kasası seçin'e tıklayın. Bu önbelleğin disklerindeki verileri şifrelemek için anahtar kasasını ve anahtarı seçin veya oluşturun.

    Azure Key Vault'unuz listede görünmüyorsa şu gereksinimleri denetleyin:

    • Önbellek anahtar kasasıyla aynı abonelikte mi?
    • Önbellek, anahtar kasasıyla aynı bölgede mi?
    • Azure portalı ile anahtar kasası arasında ağ bağlantısı var mı?

  3. Kasayı seçtikten sonra, kullanılabilir seçenekler arasından tek tek anahtarı seçin veya yeni bir anahtar oluşturun. Anahtar bir 2048 bit RSA anahtarı olmalıdır.

  4. Seçili anahtarın sürümünü belirtin. Azure Key Vault belgelerinde sürüm oluşturma hakkında daha fazla bilgi edinin.

Bu ayarlar isteğe bağlıdır:

  • Otomatik anahtar döndürmeyi kullanmak istiyorsanız Her zaman geçerli anahtar sürümünü kullan kutusunu işaretleyin.

  • Bu önbellek için belirli bir yönetilen kimlik kullanmak istiyorsanız, Yönetilen kimlikler bölümünde Kullanıcı tarafından atanan'ı seçin ve kullanılacak kimliği seçin. Yardım için yönetilen kimlikler belgelerini okuyun.

    Bahşiş

    Kullanıcı tarafından atanan yönetilen kimlik, anahtar kasanıza erişmek üzere yapılandırılmış bir kimlik geçirirseniz önbellek oluşturmayı basitleştirebilir. Sistem tarafından atanan yönetilen kimlikle, önbelleğin yeni oluşturulan sistem tarafından atanan kimliğini anahtar kasanızı kullanacak şekilde yetkilendirmek için önbellek oluşturulduktan sonra ek bir adım atmalısınız.

    Dekont

    Önbelleği oluşturduktan sonra atanan kimliği değiştiremezsiniz.

Diğer belirtimlerle devam edin ve Azure HPC Önbelleği oluşturma bölümünde açıklandığı gibi önbelleği oluşturun.

3. Azure Key Vault şifrelemesini önbellekten yetkilendirme (gerekirse)

Dekont

Önbelleği oluştururken anahtar kasası erişimiyle kullanıcı tarafından atanan bir yönetilen kimlik sağladıysanız bu adım gerekli değildir.

Birkaç dakika sonra yeni Azure HPC Önbelleği Azure portalınızda görünür. Azure Key Vault'unuza erişim yetkisi vermek ve müşteri tarafından yönetilen anahtar şifrelemesini etkinleştirmek için Genel Bakış sayfasına gidin.

Bahşiş

Önbellek, "dağıtım devam ediyor" iletileri temizlenmeden önce kaynaklar listesinde görünebilir. Başarılı bildirimini beklemek yerine bir veya iki dakika sonra kaynak listenizi denetleyin.

Önbelleği oluşturduktan sonra 90 dakika içinde şifrelemeyi yetkilendirmeniz gerekir. Bu adımı tamamlamazsanız önbellek zaman aşımına ve başarısız olur. Başarısız önbellek yeniden oluşturulmalıdır, düzeltilemiyor.

Önbellek anahtar bekleniyor durumunu gösterir. Önbelleği belirtilen anahtar kasasına erişme yetkisi vermek için sayfanın üst kısmındaki Şifrelemeyi etkinleştir düğmesine tıklayın.

Screenshot of cache overview page in portal, with highlighting on the Enable encryption button (top row) and Status: Waiting for key.

Şifrelemeyi etkinleştir'e tıklayın ve ardından önbelleği şifreleme anahtarını kullanacak şekilde yetkilendirmek için Evet düğmesine tıklayın. Bu eylem, anahtar kasasında geçici silme ve temizleme korumasını da (henüz etkinleştirilmemişse) etkinleştirir.

Screenshot of cache overview page in portal, with a banner message at the top that asks the user to enable encryption by clicking yes.

Önbellek anahtar kasasına erişim isteğinde bulunduktan sonra, önbelleğe alınmış verileri depolayan diskleri oluşturabilir ve şifreleyebilir.

Şifrelemeyi yetkilendirildikten sonra Azure HPC Önbelleği, şifrelenmiş diskleri ve ilgili altyapıyı oluşturmak için birkaç dakika daha kurulumdan geçer.

Anahtar ayarlarını güncelleştirme

Azure portalından önbelleğinizin anahtar kasasını, anahtarını veya anahtar sürümünü değiştirebilirsiniz. Müşteri anahtarı ayarları sayfasını açmak için önbelleğin Şifreleme ayarları bağlantısına tıklayın.

Müşteri tarafından yönetilen anahtarlar ve sistem tarafından yönetilen anahtarlar arasında bir önbelleği değiştiremezsiniz.

Screenshot of

Anahtar seçiciyi açmak için Anahtarı değiştir bağlantısına ve ardından Anahtar kasasını, anahtarı veya sürümü değiştir'e tıklayın.

Screenshot of

Bu önbellekle aynı abonelikteki ve aynı bölgedeki anahtar kasaları listede gösterilir.

Yeni şifreleme anahtarı değerlerini seçtikten sonra Seç'e tıklayın. Yeni değerlerle birlikte bir onay sayfası görüntülenir. Seçimi sonlandırmak için Kaydet'e tıklayın.

Screenshot of confirmation page with Save button at top left.

Azure'da müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi edinin

Bu makalelerde, Azure'daki verileri şifrelemek için Azure Key Vault ve müşteri tarafından yönetilen anahtarları kullanma hakkında daha fazla bilgi veilmektedir:

Sonraki adımlar

Azure HPC Önbelleği ve Key Vault tabanlı şifrelemeyi yetkilendirdikten sonra, veri kaynaklarınıza erişim vererek önbelleğinizi ayarlamaya devam edin.