Müşteri tarafından yönetilen anahtarları kullanarak Azure Yönetilen Redis örnekleri için disk şifrelemesini yapılandırma

  • Şunlara uygulanır: ✅ Azure Managed Redis

Redis sunucusundaki veriler varsayılan olarak bellekte depolanır. Bu veriler şifrelenmemiş. Önbelleğe yazmadan önce veriler üzerinde kendi şifrelemenizi uygulayabilirsiniz. Bazı durumlarda veriler, işletim sisteminin işlemleri veya dışarı aktarma veya veri kalıcılığı kullanarak verileri kalıcı hale getirmek için kasıtlı eylemler nedeniyle diskte bulunabilir.

Azure Yönetilen Redis, tüm katmanlardaki diskteki verileri şifrelemek için varsayılan olarak Microsoft tarafından yönetilen anahtarlar (MMK) olarak da bilen platform tarafından yönetilen anahtarlar (PMK) sunar. Azure Yönetilen Redis ayrıca işletim sistemi ve veri kalıcılığı disklerini müşteri tarafından yönetilen bir anahtarla (CMK) şifreleme olanağı sunar. Müşteri tarafından yönetilen anahtarlar, bu anahtarlara erişimi denetlemek için MMK'leri sarmak için kullanılabilir. Bu, CMK'yi anahtar şifreleme anahtarı veya KEK yapar. Daha fazla bilgi için bkz . Azure'da anahtar yönetimi.

CMK disk şifrelemesi için kullanılabilirlik kapsamı

Katman Bellek için İyileştirilmiş, Dengeli, İşlem için İyileştirilmiş Flash İçin Optimize Edilmiş
Microsoft tarafından yönetilen anahtarlar (MMK) Evet Evet
Müşteri tarafından yönetilen anahtarlar (CMK) Evet Evet

Şifreleme kapsamı

Azure Yönetilen Redis'te, kalıcılık diskini, geçici dosyaları ve işletim sistemi diskini şifrelemek için disk şifrelemesi kullanılır:

  • kalıcılık diski: Kalıcı RDB veya AOF dosyalarını veri kalıcılığının bir parçası olarak tutar
  • dışarı aktarmada kullanılan geçici dosyalar: dışarı aktarılan geçici veriler şifrelenir. Verileri dışarı aktardığınızda, dışarı aktarılan son verilerin şifresi depolama hesabındaki ayarlar tarafından denetlener.
  • işletim sistemi diski

MMK, bu diskleri varsayılan olarak şifrelemek için kullanılır, ancak CMK de kullanılabilir.

Flash için İyileştirilmiş katmanında anahtarlar ve değerler de geçici olmayan bellek express (NVMe) flash depolama alanı kullanılarak kısmen diskte depolanır. Ancak, bu disk kalıcı veriler için kullanılan diskle aynı değildir. Bunun yerine kısa ömürlüdür ve önbellek durdurulduktan, serbest bırakıldıktan veya yeniden başlatıldıktan sonra veriler kalıcı olmaz. MmK yalnızca bu diskte desteklenir çünkü bu veriler geçici ve kısa ömürlüdür.

Depolanan veriler Disket Şifreleme Seçenekleri
Kalıcılık dosyaları Kalıcılık diski MMK veya CMK
Dışarı aktarılmayı bekleyen RDB dosyaları İşletim sistemi diski ve Kalıcılık diski MMK veya CMK
Anahtarlar ve değerler (yalnızca Flash için İyileştirilmiş katman) Geçici NVMe diski MMK

Önkoşullar ve sınırlamalar

Genel önkoşullar ve sınırlamalar

  • Azure Key Vault'a bağlanmak için yalnızca kullanıcı tarafından atanan yönetilen kimlik desteklenir. Sistem tarafından atanan yönetilen kimlik desteklenmiyor.
  • Mevcut bir önbellek örneğinde MMK ile CMK arasında değişiklik, uzun süre çalışan bir bakım işlemini tetikler. Bir hizmet kesintisi oluştuğundan üretim kullanımı için bunu önermiyoruz.

Azure Key Vault önkoşulları ve sınırlamaları

  • Müşteri tarafından yönetilen anahtarı içeren Azure Key Vault kaynağı önbellek kaynağıyla aynı bölgede olmalıdır.
  • Azure Key Vault örneğinde temizleme koruması ve geçici silme etkinleştirilmelidir. Temizleme koruması varsayılan olarak etkin değildir.
  • Azure Key Vault'ta güvenlik duvarı kurallarını kullandığınızda, Key Vault örneğinin güvenilen hizmetlere izin verecek şekilde yapılandırılması gerekir.
  • Yalnızca RSA anahtarları desteklenir
  • Kullanıcı tarafından atanan yönetilen kimliğe Anahtar Kasası erişim ilkelerinde Alma, Anahtarı Kaldırma ve Sarmalama izinleri veya Azure Rol Tabanlı Erişim Denetimi'ndeki eşdeğer izinler verilmelidir. Bu senaryo için en az ayrıcalıklara sahip önerilen yerleşik rol tanımı KeyVault Şifreleme Hizmeti Şifreleme Kullanıcısı olarak adlandırılır.

Azure Yönetilen Redis'te CMK şifrelemesini yapılandırma

CMK etkinleştirilmiş yeni bir önbellek oluşturmak için portalı kullanma

  1. Azure portalında oturum açın ve Azure Yönetilen Redis örneği oluşturma hızlı başlangıç kılavuzunu başlatın.

  2. Gelişmiş sayfasında Bekleyen müşteri tarafından yönetilen anahtar şifrelemesi başlıklı bölüme gidin ve Müşteri tarafından yönetilen anahtar kullan seçeneğini etkinleştirin.

    Müşteri tarafından yönetilen anahtar şifrelemesi işaretli ve kırmızı kutulu gelişmiş ayarların ekran görüntüsü.

  3. Kullanıcıya atanan yönetilen kimliği kaynağa atamak için Ekle'yi seçin. Bu yönetilen kimlik, müşteri tarafından yönetilen anahtarı barındıran Azure Key Vault örneğine bağlanmak için kullanılır.

    Çalışma bölmesinde kullanıcı tarafından yönetilen kimliği gösteren ekran görüntüsü.

  4. Seçtiğiniz kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından kullanılacak anahtar giriş yöntemini seçin.

  5. Azure Key Vault'u seçin ve anahtar girişi yöntemini kullanıyorsanız müşteri tarafından yönetilen anahtarınızı barındıran Key Vault örneğini seçin. Bu örnek, önbelleğinizle aynı bölgede olmalıdır.

    Uyarı

    Azure Key Vault örneği ayarlama yönergeleri için bkz . Azure Key Vault hızlı başlangıç kılavuzu. Yeni bir Key Vault örneği oluşturmak için Key Vault seçiminin altındaki Anahtar kasası oluştur bağlantısını da seçebilirsiniz. Key Vault örneğinizde hem temizleme korumasının hem de geçici silmenin etkinleştirilmesi gerektiğini unutmayın.

  6. Müşteri tarafından yönetilen anahtar (RSA) ve Sürüm açılan listelerini kullanarak belirli anahtarı ve sürümü seçin.

    Tamamlanan kimlik ve anahtar alanlarını seçmeyi gösteren ekran görüntüsü.

  7. URI giriş yöntemini kullanıyorsanız, Azure Key Vault'tan seçtiğiniz anahtar için Anahtar Tanımlayıcı URI'sini girin.

  8. Önbelleğiniz için tüm bilgileri girdiğinizde Gözden geçir ve oluştur'u seçin.

Mevcut Azure Yönetilen Redis örneğine CMK şifrelemesi ekleme

  1. Önbellek örneğinizin Kaynak menüsünde Şifreleme'ye gidin. CMK zaten ayarlanmışsa, anahtar bilgilerini görürsünüz.

  2. Ayarlamadıysanız veya CMK ayarlarını değiştirmek istiyorsanız Şifreleme ayarlarını değiştir'i seçin Kurumsal katman önbelleği için Kaynak menüsünde seçilen şifrelemenin ekran görüntüsü.

  3. Yapılandırma seçeneklerinizi görmek için Müşteri tarafından yönetilen anahtar kullan'ı seçin.

  4. Kullanıcıya atanan yönetilen kimliği kaynağa atamak için Ekle'yi seçin. Bu yönetilen kimlik, müşteri tarafından yönetilen anahtarı barındıran Azure Key Vault örneğine bağlanmak için kullanılır.

  5. Seçtiğiniz kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından kullanılacak anahtar giriş yöntemini seçin.

  6. Azure Key Vault'u seçin ve anahtar girişi yöntemini kullanıyorsanız müşteri tarafından yönetilen anahtarınızı barındıran Key Vault örneğini seçin. Bu örnek, önbelleğinizle aynı bölgede olmalıdır.

    Uyarı

    Azure Key Vault örneği ayarlama yönergeleri için bkz . Azure Key Vault hızlı başlangıç kılavuzu. Yeni bir Key Vault örneği oluşturmak için Key Vault seçiminin altındaki Anahtar kasası oluştur bağlantısını da seçebilirsiniz.

  7. Müşteri tarafından yönetilen anahtar (RSA) açılan listesini kullanarak belirli bir anahtarı seçin. Anahtarın aralarından seçim yapabileceğiniz birden çok sürümü varsa Sürüm açılan listesini kullanın. Şifreleme için tamamlanan kimlik ve anahtar alanlarını seçmeyi gösteren ekran görüntüsü.

  8. URI giriş yöntemini kullanıyorsanız, Azure Key Vault'tan seçtiğiniz anahtar için Anahtar Tanımlayıcı URI'sini girin.

  9. Kaydet'i seçin.

Sonraki Adımlar

  • Last updated on