Azure Key Vault ile Azure Yük Testi için müşteri tarafından yönetilen anahtarları yapılandırma

Azure Yük Testi, yük testi kaynağınızda depolanan tüm verileri Microsoft'un sağladığı anahtarlarla (hizmet tarafından yönetilen anahtarlar) otomatik olarak şifreler. İsteğe bağlı olarak, kendi (müşteri tarafından yönetilen) anahtarlarınızı da sağlayarak ikinci bir güvenlik katmanı ekleyebilirsiniz. Müşteri tarafından yönetilen anahtarlar, erişimi denetlemek ve anahtar döndürme ilkelerini kullanmak için daha fazla esneklik sunar.

Sağladığınız anahtarlar Azure Key Vault kullanılarak güvenli bir şekilde depolanır. Müşteri tarafından yönetilen anahtarlarla etkinleştirdiğiniz her Azure yük testi kaynağı için ayrı bir anahtar oluşturabilirsiniz.

Müşteri tarafından yönetilen şifreleme anahtarlarını kullandığınızda, anahtarları Azure Key Vault'tan almak için kullanıcı tarafından atanan yönetilen kimliği belirtmeniz gerekir.

Azure Load Testing, yük testi kaynağında aşağıdaki verileri şifrelemek için müşteri tarafından yönetilen anahtarı kullanır:

• Betik ve yapılandırma dosyalarını test edin
• Gizli Diziler
• Ortam değişkenleri

Dekont

Azure Yük Testi, JMeter betiğinde belirttiğiniz JMeter ölçüm örnekleyici adları da dahil olmak üzere müşteri tarafından yönetilen anahtarınız ile test çalıştırması için ölçüm verilerini şifrelemez. Microsoft'un bu ölçüm verilerine erişimi vardır.

Ön koşullar

• Etkin aboneliği olan bir Azure hesabı. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• Mevcut kullanıcı tarafından atanan yönetilen kimlik. Kullanıcı tarafından atanan yönetilen kimlik oluşturma hakkında daha fazla bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

Sınırlamalar

• Müşteri tarafından yönetilen anahtarlar yalnızca yeni Azure yük testi kaynakları için kullanılabilir. Anahtarı kaynak oluşturma sırasında yapılandırmanız gerekir.

• Bir kaynakta müşteri tarafından yönetilen anahtar şifrelemesi etkinleştirildikten sonra devre dışı bırakılamaz.

• Azure Yük Testi, şifreleme anahtarının en son sürümünü kullanmak için müşteri tarafından yönetilen anahtarı otomatik olarak döndüremez. Anahtar Azure Key Vault'ta döndürüldükten sonra kaynaktaki anahtar URI'sini güncelleştirmeniz gerekir.

Azure anahtar kasanızı yapılandırma

Müşteri tarafından yönetilen şifreleme anahtarlarını Azure Load Testing ile kullanmak için anahtarı Azure Key Vault'ta depolamanız gerekir. Mevcut bir anahtar kasasından yararlanabilir veya yeni bir kasa oluşturabilirsiniz. Yük testi kaynağı ve anahtar kasası aynı kiracıdaki farklı bölgelerde veya aboneliklerde olabilir.

Müşteri tarafından yönetilen şifreleme anahtarlarını kullanırken aşağıdaki anahtar kasası ayarlarını yapılandırdığınızdan emin olun.

Anahtar kasası ağ ayarlarını yapılandırma

Azure anahtar kasanıza erişimi bir güvenlik duvarı veya sanal ağ ile kısıtladıysanız, müşteri tarafından yönetilen anahtarlarınızı almak için Azure Yük Testi'ne erişim vermeniz gerekir. Güvenilen Azure hizmetlerine erişim vermek için bu adımları izleyin.

Geçici silme ve temizleme korumasını yapılandırma

Azure Load Testing ile müşteri tarafından yönetilen anahtarları kullanmak için anahtar kasanızda Geçici Silme ve Temizleme Koruması özelliklerini ayarlamanız gerekir. Geçici silme, yeni bir anahtar kasası oluşturduğunuzda varsayılan olarak etkinleştirilir ve devre dışı bırakılamaz. Temizleme korumasını istediğiniz zaman etkinleştirebilirsiniz. Azure Key Vault'ta geçici silme ve temizleme koruması hakkında daha fazla bilgi edinin.

Azure portalı

Geçici silmenin etkinleştirilip etkinleştirilmediğini doğrulamak ve bir anahtar kasasında etkinleştirmek için bu adımları izleyin. Geçici silme, yeni bir anahtar kasası oluşturduğunuzda varsayılan olarak mümkündür.

Temizleme korumasını etkinleştir ayarlarını seçerek yeni bir anahtar kasası oluşturduğunuzda temizleme korumasını etkinleştirebilirsiniz.

Mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için şu adımları izleyin:

1. Azure portalında anahtar kasanıza gidin.
2. Ayarlar altında Özellikler'i seçin.
3. Temizleme koruması bölümünde Temizleme korumasını etkinleştir'i seçin.

PowerShell

PowerShell ile yeni bir anahtar kasası oluşturmak için Az.KeyVault PowerShell modülünün 2.0.0 veya sonraki bir sürümünü yükleyin. Ardından, yeni bir anahtar kasası oluşturmak için New-AzKeyVault öğesini çağırın. Az.KeyVault modülünün 2.0.0 ve sonraki sürümleriyle, yeni bir anahtar kasası oluşturduğunuzda geçici silme varsayılan olarak etkinleştirilir.

Aşağıdaki örnek, hem geçici silme hem de temizleme korumasının etkinleştirildiği yeni bir anahtar kasası oluşturur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

PowerShell ile mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Azure CLI kullanarak yeni bir anahtar kasası oluşturmak için az keyvault create çağrısında bulunur. Geçici silme, yeni bir anahtar kasası oluşturduğunuzda varsayılan olarak etkinleştirilir.

Aşağıdaki örnek, hem geçici silme hem de temizleme korumasının etkinleştirildiği yeni bir anahtar kasası oluşturur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Azure CLI ile mevcut bir anahtar kasasında temizleme korumasını etkinleştirmek için:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Azure Key Vault'a müşteri tarafından yönetilen anahtar ekleme

Ardından, anahtar kasasına bir anahtar ekleyin. Azure Yük Testi şifrelemesi RSA anahtarlarını destekler. Azure Key Vault'ta desteklenen anahtar türleri hakkında daha fazla bilgi için bkz . Anahtarlar hakkında.

Azure portalı

Azure portalıyla anahtar eklemeyi öğrenmek için bkz . Azure portalını kullanarak Azure Key Vault'tan anahtar ayarlama ve alma.

PowerShell

PowerShell ile anahtar eklemek için Add-AzKeyVaultKey komutunu çağırın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi ve önceki örneklerde tanımlanan değişkenleri kullanmayı unutmayın.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Azure CLI ile anahtar eklemek için az keyvault key create komutunu çağırarak. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Anahtar kasanıza erişim ilkesi ekleme

Müşteri tarafından yönetilen şifreleme anahtarlarını kullandığınızda, kullanıcı tarafından atanan yönetilen kimliği belirtmeniz gerekir. Azure Key Vault'ta müşteri tarafından yönetilen anahtarlara erişmek için kullanıcı tarafından atanan yönetilen kimliğin anahtar kasasına erişmek için uygun izinlere sahip olması gerekir.

1. Azure portalında, şifreleme anahtarlarınızı barındırmak için kullanmayı planladığınız Azure anahtar kasası örneğine gidin.

2. Soldaki menüden Erişim İlkeleri'ni seçin.

   

3. + Erişim İlkesi Ekle'yi seçin.

4. Anahtar izinleri açılan menüsünde Al, Anahtarı Kaldır ve Anahtar Sarmala izinlerini seçin.

   

5. Sorumlu seç bölümünde Hiçbiri seçili değil'i seçin.

6. Daha önce oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliği arayın ve listeden seçin.

7. En alttaki Seç'i seçin.

8. Yeni erişim ilkesini eklemek için Ekle'yi seçin.

9. Tüm değişiklikleri kaydetmek için anahtar kasası örneğinde Kaydet'i seçin.

Azure Load Testing ile müşteri tarafından yönetilen anahtarları kullanma

Müşteri tarafından yönetilen şifreleme anahtarlarını yalnızca yeni bir Azure yük testi kaynağı oluşturduğunuzda yapılandırabilirsiniz. Şifreleme anahtarı ayrıntılarını belirttiğinizde, anahtarı Azure Key Vault'tan almak için kullanıcı tarafından atanan yönetilen kimliği de seçmeniz gerekir.

Yeni bir yük testi kaynağı için müşteri tarafından yönetilen anahtarları yapılandırmak için şu adımları izleyin:

Azure portalı

1. Azure portalında bir Azure yük testi kaynağı oluşturmak ve Temel Bilgiler sekmesindeki alanları doldurmak için bu adımları izleyin.

2. Şifreleme sekmesine gidin ve Şifreleme türü alanı için Müşteri tarafından yönetilen anahtarlar (CMK) öğesini seçin.

3. Anahtar URI'si alanına, anahtar sürümü de dahil olmak üzere Azure Key Vault anahtarının URI/anahtar tanımlayıcısını yapıştırın.

4. Kullanıcı tarafından atanan kimlik alanı için mevcut kullanıcı tarafından atanan yönetilen kimliği seçin.

5. Yeni kaynağı doğrulamak ve oluşturmak için Gözden geçir + oluştur'u seçin.

PowerShell

Azure kaynaklarınızın oluşturulmasını otomatikleştirmek için PowerShell kullanarak ARM şablonu dağıtabilirsiniz. Aşağıdaki özellikleri ekleyerek müşteri tarafından yönetilen anahtarı şifreleme için etkinleştirilen herhangi Microsoft.LoadTestService/loadtests bir kaynak oluşturabilirsiniz:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Aşağıdaki kod örneğinde, müşteri tarafından yönetilen anahtarların etkinleştirildiği bir yük testi kaynağı oluşturmaya yönelik bir ARM şablonu gösterilmektedir:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

New-AzResourceGroupDeployment komutunu kullanarak yukarıdaki şablonu bir kaynak grubuna dağıtın:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Azure kaynaklarınızın oluşturulmasını otomatikleştirmek için Azure CLI kullanarak arm şablonu dağıtabilirsiniz. Aşağıdaki özellikleri ekleyerek müşteri tarafından yönetilen anahtarı şifreleme için etkinleştirilen herhangi Microsoft.LoadTestService/loadtests bir kaynak oluşturabilirsiniz:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

Aşağıdaki kod örneğinde, müşteri tarafından yönetilen anahtarların etkinleştirildiği bir yük testi kaynağı oluşturmaya yönelik bir ARM şablonu gösterilmektedir:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Yukarıdaki şablonu az deployment group create komutunu kullanarak bir kaynak grubuna dağıtın:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Şifreleme anahtarını almak için yönetilen kimliği değiştirme

Mevcut bir yük testi kaynağı için müşteri tarafından yönetilen anahtarların yönetilen kimliğini istediğiniz zaman değiştirebilirsiniz.

1. Azure portalında Azure yük testi kaynağınıza gidin.

2. Ayarlar sayfasında Şifreleme'yi seçin.

   Şifreleme türü, yük testi kaynağını oluşturmak için kullanılan şifreleme türünü gösterir.

3. Şifreleme türü Müşteri tarafından yönetilen anahtarlar ise, anahtar kasasında kimlik doğrulaması yapmak için kullanılacak kimlik türünü seçin. Seçenekler arasında Sistem tarafından atanan (varsayılan) veya Kullanıcı tarafından atanan bulunur.

   Yönetilen kimlik türleri hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri.

   • Sistem tarafından atanan'ı seçerseniz, sistem tarafından atanan yönetilen kimliğin kaynakta etkinleştirilmesi ve müşteri tarafından yönetilen anahtarların kimliğini değiştirmeden önce AKV'ye erişim verilmesi gerekir.
   • Kullanıcı tarafından atanan'ı seçerseniz, anahtar kasasına erişim izinleri olan mevcut kullanıcı tarafından atanan kimliği seçmeniz gerekir. Kullanıcı tarafından atanan kimlik oluşturmayı öğrenmek için bkz . Azure Load Testing Preview için yönetilen kimlikleri kullanma.

4. Değişikliklerinizi kaydedin.

Önemli

Seçili yönetilen kimliğin Azure Key Vault'a erişimi olduğundan emin olun.

Müşteri tarafından yönetilen şifreleme anahtarını güncelleştirme

Azure Yük Testi şifrelemesi için kullandığınız anahtarı istediğiniz zaman değiştirebilirsiniz. Anahtarı Azure portalıyla değiştirmek için şu adımları izleyin:

1. Azure portalında Azure yük testi kaynağınıza gidin.

2. Ayarlar sayfasında Şifreleme'yi seçin. Şifreleme türü , oluşturma sırasında kaynak için seçilen şifrelemeyi gösterir.

3. Seçilen şifreleme türü Müşteri tarafından yönetilen anahtarlar ise Anahtar URI'sini yeni anahtar URI'siyle düzenleyebilirsiniz.

4. Değişikliklerinizi kaydedin.

Şifreleme anahtarlarını döndürme

Azure Key Vault'ta müşteri tarafından yönetilen bir anahtarı uyumluluk ilkelerinize göre döndürebilirsiniz. Bir anahtarı döndürmek için:

1. Azure Key Vault'ta anahtar sürümünü güncelleştirin veya yeni bir anahtar oluşturun.
2. Yük testi kaynağınız için müşteri tarafından yönetilen şifreleme anahtarını güncelleştirin.

Sık sorulan sorular

Müşteri tarafından yönetilen anahtarları etkinleştirmek için ek ücret alınır mı?

Hayır, bu özelliği etkinleştirmek için ücret alınmaz.

Müşteri tarafından yönetilen anahtarlar mevcut Azure yük testi kaynakları için destekleniyor mu?

Bu özellik şu anda yalnızca yeni Azure yük testi kaynakları için kullanılabilir.

Azure yük testi kaynağımda müşteri tarafından yönetilen anahtarların etkinleştirilip etkinleştirilmediğini nasıl anlayabilirim?

1. Azure portalında Azure yük testi kaynağınıza gidin.
2. Sol gezinti çubuğundaki Şifreleme öğesine gidin.
3. Kaynağınızdaki Şifreleme türünü doğrulayabilirsiniz.

Şifreleme anahtarını iptal Nasıl yaparım??

Azure Key Vault'ta anahtarın en son sürümünü devre dışı bırakarak bir anahtarı iptal edebilirsiniz. Alternatif olarak, bir anahtar kasası örneğindeki tüm anahtarları iptal etmek için yük testi kaynağının yönetilen kimliğine verilen erişim ilkesini silebilirsiniz.

Şifreleme anahtarını iptal ettiğinizde, testleri yaklaşık 10 dakika çalıştırabilirsiniz; bundan sonra tek kullanılabilir işlem kaynak silme işlemidir. Kaynak güvenliğini yönetmek ve verilerinizi korumak için anahtarı iptal etmek yerine döndürmeniz önerilir.

İlgili içerik

• Sunucu tarafı uygulama ölçümlerini izlemeyi öğrenin.
• Gizli diziler ve ortam değişkenleriyle yük testlerini parametreleştirmeyi öğrenin.