Yönetilen diskleri kiracılar arası müşteri tarafından yönetilen anahtarlarla şifreleme

Bu makale, yönetilen diskleri farklı bir Microsoft Entra kiracısında depolanan Azure Key Vault'ları kullanarak müşteri tarafından yönetilen anahtarlarla şifreleyebileceğiniz bir çözüm oluşturmayı kapsar. Bu yapılandırma, müşterilerine kendi şifreleme anahtarlarını getirmek isteyen hizmet sağlayıcıları için Azure desteği ve hizmet sağlayıcısının kiracısından gelen kaynakların müşterinin kiracısından alınan anahtarlarla şifrelendiği çeşitli senaryolar için ideal olabilir.

Kiracılar arası CMK iş akışında federasyon kimliğine sahip bir disk şifreleme kümesi, hizmet sağlayıcısına/ISV kiracı kaynaklarına (disk şifreleme kümesi, yönetilen kimlikler ve uygulama kayıtları) ve müşteri kiracı kaynaklarına (kurumsal uygulamalar, kullanıcı rolü atamaları ve anahtar kasası) yayılır. Bu durumda, kaynak Azure kaynağı hizmet sağlayıcısının disk şifreleme kümesidir.

Yönetilen diskleri olan kiracılar arası müşteri tarafından yönetilen anahtarlar hakkında sorularınız varsa e-posta gönderin crosstenantcmkvteam@service.microsoft.com.

Sınırlamalar

• Yönetilen Diskler ve müşterinin Key Vault'unun aynı Azure bölgesinde olması gerekir, ancak farklı aboneliklerde olabilir.
• Bu özellik Ultra Diskleri veya Azure Premium SSD v2 yönetilen diskleri desteklemez.
• Bu özellik, 21Vianet veya Kamu bulutları tarafından sağlanan Microsoft Azure'da kullanılamaz.

Kiracılar arası müşteri tarafından yönetilen anahtarlar hakkında

Azure'da Hizmet Olarak Yazılım (SaaS) teklifleri oluşturan birçok hizmet sağlayıcısı, müşterilerine kendi şifreleme anahtarlarını yönetme seçeneği sunmak istiyor. Müşteri tarafından yönetilen anahtarlar, hizmet sağlayıcısının müşterisi tarafından yönetilen ve hizmet sağlayıcısı tarafından erişilmeyen bir şifreleme anahtarı kullanarak hizmet sağlayıcısının verilerini şifrelemesine olanak sağlar. Azure'da, hizmet sağlayıcısının müşterisi kendi Microsoft Entra kiracısında ve aboneliğinde şifreleme anahtarlarını yönetmek için Azure Key Vault'u kullanabilir.

Hizmet sağlayıcısına ait olan ve hizmet sağlayıcısının kiracısında bulunan Azure platform hizmetleri ve kaynakları, şifreleme/şifre çözme işlemlerini gerçekleştirmek için müşterinin kiracısından anahtara erişim gerektirir.

Aşağıdaki görüntüde, hizmet sağlayıcısını ve müşterisini kapsayan bir kiracılar arası CMK iş akışında federasyon kimliğiyle bekleyen bir veri şifreleme gösterilmektedir.

Yukarıdaki örnekte iki Microsoft Entra kiracısı vardır: bağımsız bir hizmet sağlayıcısının kiracısı (Kiracı 1) ve bir müşterinin kiracısı (Kiracı 2). Kiracı 1 , Azure platform hizmetlerini, Kiracı 2 ise müşterinin anahtar kasasını barındırıyor.

Kiracı 1'de hizmet sağlayıcısı tarafından çok kiracılı bir uygulama kaydı oluşturulur. Bu uygulamada kullanıcı tarafından atanan yönetilen kimlik kullanılarak federasyon kimliği kimlik bilgileri oluşturulur. Ardından, uygulamanın adı ve uygulama kimliği müşteriyle paylaşılır.

Uygun izinlere sahip bir kullanıcı, hizmet sağlayıcısının uygulamasını müşteri kiracısı olan Kiracı 2'ye yükler. Ardından bir kullanıcı, yüklü uygulamayla ilişkili hizmet sorumlusuna müşterinin anahtar kasasına erişim verir. Müşteri ayrıca şifreleme anahtarını veya müşteri tarafından yönetilen anahtarı anahtar kasasında depolar. Müşteri anahtar konumunu (anahtarın URL'si) hizmet sağlayıcısıyla paylaşır.

Hizmet sağlayıcısında artık:

• Müşterinin kiracısında yüklü olan ve müşteri tarafından yönetilen anahtara erişim verilmiş çok kiracılı bir uygulamanın uygulama kimliği.
• Çok kiracılı uygulamada kimlik bilgisi olarak yapılandırılmış yönetilen kimlik.
• Müşterinin anahtar kasasında anahtarın konumu.

Bu üç parametreyle hizmet sağlayıcısı Kiracı 1'de Kiracı 2'de müşteri tarafından yönetilen anahtarla şifrelenebilir Azure kaynakları sağlar.

Yukarıdaki uçtan uca çözümü üç aşamaya ayıralım:

1. Hizmet sağlayıcısı kimlikleri yapılandırıyor.
2. Müşteri, hizmet sağlayıcısının çok kiracılı uygulamasına Azure Key Vault'taki bir şifreleme anahtarına erişim verir.
3. Hizmet sağlayıcısı, CMK kullanarak bir Azure kaynağındaki verileri şifreler.

1. Aşamadaki işlemler, çoğu hizmet sağlayıcısı uygulaması için tek seferlik bir kurulum olacaktır. Aşama 2 ve 3'teki işlemler her müşteri için yineler.

1. Aşama - Hizmet sağlayıcısı bir Microsoft Entra uygulaması yapılandırıyor

Adımlar	Açıklama	Azure RBAC'de en düşük rol	Microsoft Entra RBAC'de en düşük rol
1.	Yeni bir çok kiracılı Microsoft Entra uygulama kaydı oluşturun veya mevcut bir uygulama kaydıyla başlayın. Azure portal, Microsoft Graph API, Azure PowerShell veya Azure CLI kullanarak uygulama kaydının uygulama kimliğini (istemci kimliği) not edin	Hiçbiri	Uygulama Geliştirici
2.	Kullanıcı tarafından atanan bir yönetilen kimlik oluşturun (Federasyon Kimliği Kimlik Bilgileri olarak kullanılacak). Azure portalı / Azure CLI / Azure PowerShell/ Azure Resource Manager Şablonları	Yönetilen kimlik katkıda bulunanı	Hiçbiri
3.	Kullanıcı tarafından atanan yönetilen kimliği, uygulamanın kimliğine bürünebilmesi için uygulamada federasyon kimliği kimlik bilgileri olarak yapılandırın. Graph API başvurusu/ Azure portalı/ Azure CLI/ Azure PowerShell	Hiçbiri	Uygulamanın sahibi
4.	Uygulamayı yükleyip yetkilendirilebilmesi için uygulama adını ve uygulama kimliğini müşteriyle paylaşın.	Hiçbiri	Hiçbiri

Hizmet sağlayıcıları için dikkat edilmesi gerekenler

• Microsoft Entra uygulamaları oluşturmak için Azure Resource Manager (ARM) şablonları önerilmez.
• Kiracı 2, Kiracı 3, Kiracı 4 vb. gibi herhangi bir sayıda kiracıdaki anahtarlara erişmek için aynı çok kiracılı uygulama kullanılabilir. Her kiracıda, aynı uygulama kimliğine ancak farklı bir nesne kimliğine sahip bağımsız bir uygulama örneği oluşturulur. Bu nedenle bu uygulamanın her örneği bağımsız olarak yetkilendirilmiştir. Bu özellik için kullanılan uygulama nesnesinin uygulamanızı tüm müşteriler arasında bölümlendirmek için nasıl kullanıldığını düşünün.
  • Uygulama en fazla 20 federasyon kimliği kimlik bilgilerine sahip olabilir ve bu da hizmet sağlayıcısının federasyon kimliklerini müşterileri arasında paylaşmasını gerektirir. Federasyon kimlikleri tasarım konuları ve kısıtlamaları hakkında daha fazla bilgi için bkz . Uygulamayı dış kimlik sağlayıcısına güvenecek şekilde yapılandırma
• Nadir senaryolarda, bir hizmet sağlayıcısı müşteri başına tek bir Application nesnesi kullanabilir, ancak bu, tüm müşteriler genelinde uygulamaları büyük ölçekte yönetmek için önemli bakım maliyetleri gerektirir.
• Hizmet sağlayıcısı kiracısında Yayımcı Doğrulamasını otomatikleştirmek mümkün değildir.

2. Aşama - Müşteri anahtar kasasına erişim yetkisi alır

Adımlar	Açıklama	En az ayrıcalıklı Azure RBAC rolleri	En az ayrıcalıklı Microsoft Entra rolleri
1.	Önerilen: Kullanıcıyı uygulamanızda oturum açması için gönderin. Kullanıcı oturum açabiliyorsa, kiracısında uygulamanız için bir hizmet sorumlusu vardır. Hizmet sorumlusunu oluşturmak için Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell veya Azure CLI kullanın. Yönetici onayı URL'si oluşturun ve uygulama kimliğini kullanarak hizmet sorumlusunu oluşturmak için kiracı genelinde onay verin.	Hiçbiri	Uygulama yükleme izinleri olan kullanıcılar
2.	Azure Key Vault ve müşteri tarafından yönetilen anahtar olarak kullanılan bir anahtar oluşturun.	Anahtar kasasını oluşturmak için kullanıcıya Key Vault Katkıda Bulunanı rolü atanmalıdır Anahtar kasasına anahtar eklemek için kullanıcıya Key Vault Şifreleme Yetkilisi rolü atanmalıdır	Hiçbiri
3.	Anahtar Kasası Şifreleme Hizmeti Şifreleme Kullanıcısı rolünü atayarak azure anahtar kasasına onaylanan uygulama kimliği erişimi verme	Uygulamaya Key Vault Şifreleme Hizmeti Şifreleme Kullanıcı rolünü atamak için size Kullanıcı Erişimi Yöneticisi rolü atanmış olmalıdır.	Hiçbiri
4.	Anahtar kasası URL'sini ve anahtar adını SaaS teklifinin müşteri tarafından yönetilen anahtar yapılandırmasına kopyalayın.	Hiçbiri	Hiçbiri

Not

CMK kullanarak şifreleme için Yönetilen HSM'ye erişimi yetkilendirmek için buradaki Depolama Hesabı örneğine bakın. Yönetilen HSM ile anahtarları yönetme hakkında daha fazla bilgi için bkz . Azure CLI kullanarak Yönetilen HSM'yi yönetme

Hizmet sağlayıcılarının müşterileri için dikkat edilmesi gerekenler

• Kiracı 2 olan müşteri kiracısında yönetici, yönetici olmayan kullanıcıların uygulama yüklemesini engelleyecek ilkeler ayarlayabilir. Bu ilkeler, yönetici olmayan kullanıcıların hizmet sorumluları oluşturmasını engelleyebilir. Böyle bir ilke yapılandırıldıysa, hizmet sorumluları oluşturma izinleri olan kullanıcıların dahil edilmesi gerekir.
• Azure Key Vault'a erişim, Azure RBAC veya erişim ilkeleri kullanılarak yetkilendirilebilir. Anahtar kasasına erişim izni verirken, anahtar kasanız için etkin mekanizmayı kullandığınızdan emin olun.
• Microsoft Entra uygulama kaydında uygulama kimliği (istemci kimliği) vardır. Uygulama kiracınıza yüklendiğinde bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, uygulama kaydıyla aynı uygulama kimliğini paylaşır, ancak kendi nesne kimliğini oluşturur. Uygulamaya kaynaklara erişim izni verdiğinizde, hizmet sorumlusunu Name veya ObjectID özelliğini kullanmanız gerekebilir.

3. Aşama - Hizmet sağlayıcısı, müşteri tarafından yönetilen anahtarı kullanarak bir Azure kaynağındaki verileri şifreler

1. ve 2. aşamalar tamamlandıktan sonra, hizmet sağlayıcısı Müşterinin kiracısında anahtar ve anahtar kasası ile ISV'nin kiracısında Azure kaynağı ile Azure kaynağında şifrelemeyi yapılandırabilir. Hizmet sağlayıcısı, kiracılar arası müşteri tarafından yönetilen anahtarları, bu Azure kaynağı tarafından desteklenen istemci araçlarıyla, bir ARM şablonuyla veya REST API ile yapılandırabilir.

Kiracılar arası müşteri tarafından yönetilen anahtarları yapılandırma

Bu bölümde, kiracılar arası müşteri tarafından yönetilen anahtar (CMK) yapılandırma ve müşteri verilerini şifreleme işlemleri açıklanmaktadır. Kiracı1'deki bir kaynaktaki müşteri verilerini, Tenant2'deki bir anahtar kasasında depolanan bir CMK kullanarak nasıl şifreleyeceğinizi öğrenirsiniz. Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanabilirsiniz.

Portal

Azure portalında oturum açın ve şu adımları izleyin.

Hizmet sağlayıcısı kimlikleri yapılandırıyor

Aşağıdaki adımlar hizmet sağlayıcısının Kiracı1 kiracısında hizmet sağlayıcısı tarafından gerçekleştirilir.

Hizmet sağlayıcısı yeni bir çok kiracılı uygulama kaydı oluşturur

Yeni bir çok kiracılı Microsoft Entra uygulama kaydı oluşturabilir veya mevcut çok kiracılı uygulama kaydıyla başlayabilirsiniz. Mevcut bir uygulama kaydıyla başlıyorsanız, uygulamanın uygulama kimliğini (istemci kimliği) not edin.

Yeni kayıt oluşturmak için:

1. Arama kutusunda Microsoft Entra Id için arama yapın. Microsoft Entra ID uzantısını bulun ve seçin.

2. Sol bölmeden Uygulama kayıtları yönet'i > seçin.

3. + Yeni kayıt'ı seçin.

4. Uygulama kaydının adını belirtin ve herhangi bir kuruluş dizininde (Herhangi bir Microsoft Entra dizini – Çok Kiracılı) Hesap'ı seçin.

5. Kaydet'i seçin.

6. Uygulamanın ApplicationId/ClientId değerini not edin.

   

Hizmet sağlayıcısı kullanıcı tarafından atanan bir yönetilen kimlik oluşturur

Federasyon kimliği kimlik bilgileri olarak kullanılacak kullanıcı tarafından atanan bir yönetilen kimlik oluşturun.

1. Arama kutusunda Yönetilen Kimlikler'i arayın. Yönetilen Kimlikler uzantısını bulun ve seçin.

2. +Oluştur'u seçin.

3. Yönetilen kimlik için kaynak grubunu, bölgeyi ve adını belirtin.

4. Gözden geçir ve oluştur’u seçin.

5. Başarılı bir dağıtımda, Özellikler altında bulunan kullanıcı tarafından atanan yönetilen kimliğin Azure ResourceId değerini not edin. Örneğin:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Hizmet sağlayıcısı, kullanıcı tarafından atanan yönetilen kimliği uygulamada federasyon kimlik bilgisi olarak yapılandırıyor

Kullanıcı tarafından atanan yönetilen kimliği, uygulamanın kimliğine bürünebilmesi için uygulamada federasyon kimliği kimlik bilgileri olarak yapılandırın.

1. Uygulamanızı Uygulama kayıtları > Microsoft Entra Id'ye > gidin.

2. Sertifikalar ve gizli diziler'i seçin.

3. Federasyon kimlik bilgileri'ne tıklayın.

   

4. + Kimlik bilgisi ekle'yi seçin.

5. Federasyon kimlik bilgisi senaryosu altında Müşteri Tarafından Yönetilen Anahtarlar'ı seçin.

6. Yönetilen kimlik seçin'e tıklayın. Bölmeden aboneliği seçin. Yönetilen kimlik'in altında Kullanıcı tarafından atanan yönetilen kimlik'i seçin. Seç kutusunda, daha önce oluşturduğunuz yönetilen kimliği arayın ve bölmenin alt kısmındaki Seç'e tıklayın.

   

7. Kimlik bilgisi ayrıntıları'nın altında, kimlik bilgisi için bir ad ve isteğe bağlı bir açıklama sağlayın ve Ekle'yi seçin.

   

PowerShell

AZURE PowerShell'i kullanarak ISV'nin kiracısını yapılandırmak için en son Az modülünü yükleyin. PowerShell'i yükleme hakkında daha fazla bilgi için bkz . PowerShellGet ile Windows'a Azure PowerShell yükleme.

• Azure PowerShell'i yerel olarak kullanmayı seçerseniz:
  • Az PowerShell modülünün en son sürümünü yükleyin.
  • Connect-AzAccount cmdlet'ini kullanarak Azure hesabınıza bağlanın.
• Azure Cloud Shell'i kullanmayı seçerseniz:
  • Daha fazla bilgi için bkz . Azure Cloud Shell'e genel bakış.

Hizmet sağlayıcısı kimlikleri yapılandırıyor

Aşağıdaki adımlar hizmet sağlayıcısının Kiracı1 kiracısında hizmet sağlayıcısı (ISV) tarafından gerçekleştirilir.

Hizmet sağlayıcısı Azure'da oturum açar

Azure PowerShell'de ISV'nin kiracısında oturum açın ve etkin aboneliği ISV'nin aboneliğine ayarlayın.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Hizmet sağlayıcısı yeni bir çok kiracılı uygulama kaydı oluşturur

Kiracı1'de çok kiracılı kayıtlı uygulamanız için bir ad seçin ve Azure portalında çok kiracılı uygulamayı oluşturun.

Çok kiracılı uygulama için sağladığınız ad, kiracı2'de uygulamayı tanımlamak için müşteri tarafından kullanılır. Uygulamanın nesne kimliğini ve uygulama kimliğini not edin. Sonraki adımlarda bu değerlere ihtiyacınız olacaktır.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Hizmet sağlayıcısı kullanıcı tarafından atanan bir yönetilen kimlik oluşturur

ISV'nin kiracısında oturum açın ve ardından federasyon kimliği kimlik bilgileri olarak kullanılacak kullanıcı tarafından atanan yönetilen kimliği oluşturun. Kullanıcı tarafından atanan yeni bir yönetilen kimlik oluşturmak için Size Microsoft.ManagedIdentity/userAssignedIdentities/write eylemini içeren bir rol atanmalıdır.

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Hizmet sağlayıcısı, kullanıcı tarafından atanan yönetilen kimliği uygulamada federasyon kimlik bilgisi olarak yapılandırıyor

Kullanıcı tarafından atanan yönetilen kimliği, uygulamanın kimliğine bürünebilmesi için uygulamada federasyon kimliği kimlik bilgileri olarak yapılandırın.

PowerShell'den federasyon kimliği kimlik bilgilerini yapılandırmak için önce Az.Resources modülünün 6.3.0 veya sonraki bir sürümünü yükleyin.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Hizmet sağlayıcısı kimlikleri yapılandırıyor

Aşağıdaki adımlar hizmet sağlayıcısının Kiracı1 kiracısında hizmet sağlayıcısı tarafından gerçekleştirilir.

Hizmet sağlayıcısı Azure'da oturum açar

Azure CLI'yi kullanmak için Azure'da oturum açın.

az login

Hizmet sağlayıcısı yeni bir çok kiracılı uygulama kaydı oluşturur

Kiracı1'de çok kiracılı uygulamanız için bir ad seçin ve Azure portalında çok kiracılı uygulamayı oluşturun.

Çok kiracılı uygulama için sağladığınız ad, kiracı2'de uygulamayı tanımlamak için müşteri tarafından kullanılır. Uygulamanın uygulama kimliğini (veya istemci kimliğini), uygulamanın nesne kimliğini ve ayrıca uygulamanın kiracı kimliğini kopyalayın. Aşağıdaki adımlarda bu değerlere ihtiyacınız olacaktır.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Hizmet sağlayıcısı kullanıcı tarafından atanan bir yönetilen kimlik oluşturur

ISV'nin kiracısında oturum açın ve ardından federasyon kimliği kimlik bilgileri olarak kullanılacak kullanıcı tarafından atanan yönetilen kimliği oluşturun. Kullanıcı tarafından atanan yeni bir yönetilen kimlik oluşturmak için Size Microsoft.ManagedIdentity/userAssignedIdentities/write eylemini içeren bir rol atanmalıdır.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Hizmet sağlayıcısı, kullanıcı tarafından atanan yönetilen kimliği uygulamada federasyon kimlik bilgisi olarak yapılandırıyor

Bir uygulamada federasyon kimliği kimlik bilgilerini yapılandırmak ve bir dış kimlik sağlayıcısıyla güven ilişkisi oluşturmak için az ad app federated-credential create yöntemini çalıştırın.

Federasyon kimliği kimlik bilgilerindeki değer olarak audience kullanınapi://AzureADTokenExchange. Daha fazla ayrıntı için API başvurusuna bakın.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Hizmet sağlayıcısı uygulama kimliğini müşteriyle paylaşır

Çok kiracılı uygulamanın uygulama kimliğini (istemci kimliği) bulun ve müşteriyle paylaşın.

Müşteri, hizmet sağlayıcısının uygulama erişimine anahtar kasasındaki anahtara erişim verir

Aşağıdaki adımlar müşterinin Kiracı2 kiracısında müşteri tarafından gerçekleştirilir. Müşteri Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanabilir.

Adımları yürüten kullanıcının Uygulama Yöneticisi, Bulut Uygulaması Yöneticisi veya Genel Yönetici gibi ayrıcalıklı bir role sahip bir yönetici olması gerekir.

Portal

Azure portalında oturum açın ve şu adımları izleyin.

Müşteri, hizmet sağlayıcısı uygulamasını müşteri kiracısında yükler

Hizmet sağlayıcısının kayıtlı uygulamasını müşterinin kiracısına yüklemek için kayıtlı uygulamadan uygulama kimliğiyle bir hizmet sorumlusu oluşturursunuz. Hizmet sorumlusunu aşağıdaki yollardan biriyle oluşturabilirsiniz:

• Hizmet sorumlusunu el ile oluşturmak için Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell veya Azure CLI kullanın.
• Yönetici onayı URL'si oluşturun ve hizmet sorumlusunu oluşturmak için kiracı genelinde onay verin. Onlara AppId'nizi sağlamanız gerekir.

Müşteri bir anahtar kasası oluşturur

Anahtar kasasını oluşturmak için kullanıcının hesabına Key Vault Katılımcısı rolü veya anahtar kasası oluşturulmasına izin veren başka bir rol atanmalıdır.

1. Azure portalı menüsünden veya Giriş sayfasında + Kaynak oluştur'u seçin. Arama kutusuna Anahtar kasaları yazın. Sonuç listesinden Anahtar kasaları'nı seçin. Anahtar kasaları sayfasında Oluştur'u seçin.

2. Temel Bilgiler sekmesinde bir abonelik seçin. Kaynak grubu'nun altında Yeni oluştur'u seçin ve bir kaynak grubu adı girin.

3. Anahtar kasası için benzersiz bir ad girin.

4. Bir bölge ve fiyatlandırma katmanı seçin.

5. Yeni anahtar kasası için temizleme korumasını etkinleştirin.

6. Erişim ilkesi sekmesinde İzin modeli için Azure rol tabanlı erişim denetimi'ni seçin.

7. Gözden Geçir + oluştur'u ve ardından Oluştur'u seçin.

   

Anahtar kasası adını ve URI'yi not alın Anahtar kasanıza erişen uygulamaların bu URI'yi kullanması gerekir.

Daha fazla bilgi için bkz . Hızlı Başlangıç - Azure portal ile Azure Key Vault oluşturma.

Müşteri bir kullanıcı hesabına Key Vault Şifreleme Yetkilisi rolü atar

Bu adım, şifreleme anahtarları oluşturabilmenizi sağlar.

1. Anahtar kasanıza gidin ve sol bölmeden Erişim Denetimi (IAM) öğesini seçin.
2. Bu kaynağa erişim ver'in altında Rol ataması ekle'yi seçin.
3. Key Vault Crypto Officer'ı arayın ve seçin.
4. Üyeler'in altında Kullanıcı, grup veya hizmet sorumlusu'nun seçin.
5. Üyeler'i seçin ve kullanıcı hesabınızı arayın.
6. Gözden geçir + Ata'yı seçin.

Müşteri bir şifreleme anahtarı oluşturur

Şifreleme anahtarını oluşturmak için kullanıcının hesabına Anahtar Kasası Şifreleme Yetkilisi rolü veya anahtar oluşturulmasına izin veren başka bir rol atanmalıdır.

1. Key Vault özellikleri sayfasında Anahtarlar'ı seçin.
2. Oluştur/İçeri Aktar'ı seçin.
3. Anahtar oluştur ekranında anahtar için bir ad belirtin. Diğer değerleri varsayılan değerlerinde bırakın.
4. Oluştur'u belirleyin.
5. Anahtar URI'sini kopyalayın.

Müşteri, hizmet sağlayıcısı uygulamasına anahtar kasasına erişim verir

Anahtar kasasına erişebilmesi için Hizmet sağlayıcısının kayıtlı uygulamasına Azure RBAC rolü Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısını atayın.

1. Anahtar kasanıza gidin ve sol bölmeden Erişim Denetimi (IAM) öğesini seçin.
2. Bu kaynağa erişim ver'in altında Rol ataması ekle'yi seçin.
3. Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısını arayın ve seçin.
4. Üyeler'in altında Kullanıcı, grup veya hizmet sorumlusu'nun seçin.
5. Üyeler'i seçin ve hizmet sağlayıcısından yüklediğiniz uygulamanın uygulama adını arayın.
6. Gözden geçir + Ata'yı seçin.

Artık anahtar kasası URI'siyle ve anahtarıyla müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

PowerShell

İstemcinin kiracısını yapılandırmak üzere Azure PowerShell'i kullanmak için en son Az modülünü yükleyin. PowerShell'i yükleme hakkında daha fazla bilgi için bkz . PowerShellGet ile Windows'a Azure PowerShell yükleme.

• Azure PowerShell'i yerel olarak kullanmayı seçerseniz:
  • Az PowerShell modülünün en son sürümünü yükleyin.
  • Connect-AzAccount cmdlet'ini kullanarak Azure hesabınıza bağlanın.
• Azure Cloud Shell'i kullanmayı seçerseniz:
  • Daha fazla bilgi için bkz . Azure Cloud Shell'e genel bakış.

Müşteri Azure'da oturum açar

Azure PowerShell'de müşterinin kiracısında oturum açın ve etkin aboneliği müşterinin aboneliğine ayarlayın.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Müşteri, hizmet sağlayıcısı uygulamasını müşteri kiracısında yükler

Hizmet sağlayıcısının çok kiracılı uygulamasının uygulama kimliğini aldıktan sonra, bir hizmet sorumlusu oluşturarak uygulamayı Kiracı2 kiracınıza yükleyin.

Anahtar kasasını oluşturmayı planladığınız kiracıda aşağıdaki komutları yürütebilirsiniz.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Müşteri bir anahtar kasası oluşturur

Anahtar kasasını oluşturmak için müşterinin hesabına Key Vault Katılımcısı rolü veya anahtar kasası oluşturulmasına izin veren başka bir rol atanmalıdır.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Müşteri bir kullanıcı hesabına Key Vault Şifreleme Yetkilisi rolü atar

Key Vault Şifreleme Yetkilisi rolünü bir kullanıcı hesabına atayın. Bu adım, kullanıcının anahtar kasasını ve şifreleme anahtarlarını oluşturmasını sağlar. Aşağıdaki örnek, rolü geçerli oturum açmış kullanıcıya atar.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Müşteri bir şifreleme anahtarı oluşturur

Şifreleme anahtarını oluşturmak için kullanıcının hesabına Anahtar Kasası Şifreleme Yetkilisi rolü veya anahtar oluşturulmasına izin veren başka bir rol atanmalıdır.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Müşteri, hizmet sağlayıcısı uygulamasına anahtar kasasına erişim verir

Anahtar kasasına erişebilmesi için daha önce oluşturduğunuz hizmet sorumlusu aracılığıyla Azure RBAC rolü Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısını hizmet sağlayıcısının kayıtlı uygulamasına atayın.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Artık anahtar kasası URI'siyle ve anahtarıyla müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

Azure CLI

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Müşteri Azure'da oturum açar

Azure CLI'yi kullanmak için Azure'da oturum açın.

az login

Müşteri, hizmet sağlayıcısı uygulamasını müşteri kiracısında yükler

Hizmet sağlayıcısının çok kiracılı uygulamasının uygulama kimliğini aldıktan sonra, aşağıdaki komutu kullanarak uygulamayı Kiracı2 kiracınıza yükleyin. Uygulamayı yüklemek kiracınızda bir hizmet sorumlusu oluşturur.

Anahtar kasasını oluşturmayı planladığınız kiracıda aşağıdaki komutları yürütebilirsiniz.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Müşteri bir anahtar kasası oluşturur

Anahtar kasasını oluşturmak için müşterinin hesabına Key Vault Katılımcısı rolü veya anahtar kasası oluşturulmasına izin veren başka bir rol atanmalıdır.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Müşteri bir kullanıcı hesabına Key Vault Şifreleme Yetkilisi rolü atar

Bu adım, anahtar kasasını ve şifreleme anahtarlarını oluşturabilmenizi sağlar.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Müşteri bir şifreleme anahtarı oluşturur

Şifreleme anahtarını oluşturmak için kullanıcının hesabına Anahtar Kasası Şifreleme Yetkilisi rolü veya anahtar oluşturulmasına izin veren başka bir rol atanmalıdır.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Müşteri, hizmet sağlayıcısı uygulamasına anahtar kasasına erişim verir

Azure RBAC rolü Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısını daha önce oluşturduğunuz hizmet sorumlusu aracılığıyla hizmet sağlayıcısının kayıtlı uygulamasına atayın; böylece kayıtlı uygulama anahtar kasasına erişebilir.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Artık anahtar kasası URI'siyle ve anahtarıyla müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz.

Disk şifreleme kümesi oluşturma

Azure Key Vault'unuzu oluşturduğunuza ve gerekli Microsoft Entra yapılandırmalarını gerçekleştirdiğinize göre, kiracılar arasında çalışacak şekilde yapılandırılmış bir disk şifreleme kümesi dağıtın ve bunu anahtar kasasındaki bir anahtarla ilişkilendirin. Bunu Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak yapabilirsiniz. Arm şablonu veya REST API de kullanabilirsiniz.

Portal

Azure portalını kullanmak için portalda oturum açın ve şu adımları izleyin.

1. + Kaynak oluştur'u seçin, Disk şifreleme kümesini arayın ve Disk şifreleme kümesi oluştur'u > seçin.

2. Proje ayrıntıları altında, disk şifreleme kümesinin oluşturulacağı aboneliği ve kaynak grubunu seçin.

3. Örnek ayrıntıları'nın altında disk şifreleme kümesi için bir ad belirtin.

   

4. Disk şifreleme kümesinin oluşturulacağı Bölgeyi seçin.

5. Şifreleme türü için Müşteri tarafından yönetilen bir anahtarla bekleyen şifreleme'yi seçin.

6. Şifreleme anahtarı'nın altında URI radyodan anahtarı girin düğmesini seçin ve müşterinin kiracısında oluşturulan anahtarın Anahtar URI'sini girin.

7. Kullanıcı tarafından atanan kimlik'in altında Kimlik seçin'i seçin.

8. ISV'nin kiracısında daha önce oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından Ekle'yi seçin.

9. Çok kiracılı uygulama'nın altında Bir uygulama seçin'i seçin.

10. ISV'nin kiracısında daha önce oluşturduğunuz çok kiracılı kayıtlı uygulamayı seçin ve Seç'e tıklayın.

11. Gözden geçir ve oluştur’u seçin.

PowerShell

Azure PowerShell'i kullanmak için en son Az modülünü veya Az.Storage modülünü yükleyin. PowerShell'i yükleme hakkında daha fazla bilgi için bkz . PowerShellGet ile Windows'a Azure PowerShell yükleme.

• Azure PowerShell'i yerel olarak kullanmayı seçerseniz:
  • Az PowerShell modülünün en son sürümünü yükleyin.
  • Connect-AzAccount cmdlet'ini kullanarak Azure hesabınıza bağlanın.
• Azure Cloud Shell'i kullanmayı seçerseniz:
  • Daha fazla bilgi için bkz . Azure Cloud Shell'e genel bakış.

Aşağıdaki betikte, -FederatedClientId çok kiracılı uygulamanın uygulama kimliği (istemci kimliği) olmalıdır. Ayrıca abonelik kimliğini, kaynak grubu adını ve kimlik adını da sağlamanız gerekir.

$userAssignedIdentities = @{"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/identityName" = @{}};

$config = New-AzDiskEncryptionSetConfig `
   -Location 'westcentralus' `
   -KeyUrl "https://vault1.vault.azure.net:443/keys/key1/mykey" `
   -IdentityType 'UserAssigned' `
   -RotationToLatestKeyVersionEnabled $True `
   -UserAssignedIdentity $userAssignedIdentities `
   -FederatedClientId "00000000-0000-0000-0000-000000000000" `
   $config `
   | New-AzDiskEncryptionSet -ResourceGroupName 'rg1' -Name 'enc1'

Azure CLI

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Aşağıdaki komutta, myAssignedId daha önce oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliğin kaynak kimliği ve myFederatedClientId çok kiracılı uygulamanın uygulama kimliği (istemci kimliği) olmalıdır.

az disk-encryption-set create --resource-group MyResourceGroup --name MyDiskEncryptionSet --key-url MyKey --mi-user-assigned myAssignedId --federated-client-id myFederatedClientId --location westcentralus

ARM şablonu kullanma

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "desname": {
      "defaultValue": "<Enter ISV disk encryption set name>",
      "type": "String"
    },
    "region": {
      "defaultValue": "WestCentralUS",
      "type": "String"
    },
    "userassignedmicmk": {
      "defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
      "type": "String"
    },
    "cmkfederatedclientId": {
      "defaultValue": "<Enter ISV Multi-Tenant App Id>",
      "type": "String"
    },
    "keyVaultURL": {
      "defaultValue": "<Enter Client Key URL>",
      "type": "String"
    },
    "encryptionType": {
      "defaultValue": "EncryptionAtRestWithCustomerKey",
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Compute/diskEncryptionSets",
      "apiVersion": "2021-12-01",
      "name": "[parameters('desname')]",
      "location": "[parameters('region')]",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('userassignedmicmk')]": {}
        }
      },
      "properties": {
        "activeKey": {
          "keyUrl": "[parameters('keyVaultURL')]"
        },
        "federatedClientId": "[parameters('cmkfederatedclientId')]",
        "encryptionType": "[parameters('encryptionType')]"
      }
    }
  ]
}

REST API’yi kullanma

Taşıyıcı belirtecini yetkilendirme üst bilgisi olarak ve uygulama/JSON'ı BODY'da içerik türü olarak kullanın. (Ağ sekmesi, portalda herhangi bir ARM isteği gerçekleştirirken management.azure'a filtre uygulayın.)

PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
Authorization: Bearer ...
Content-Type: application/json

{
  "name": "<Enter ISV disk encryption set name>",
  "id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
  "type": "Microsoft.Compute/diskEncryptionSets",
  "location": "westcentralus",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
"/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
": {}
    }
  },
  "properties": {
    "activeKey": {
      "keyUrl": "<Enter Client Key URL>"
    },
    "encryptionType": "EncryptionAtRestWithCustomerKey",
    "federatedClientId": "<Enter ISV Multi-Tenant App Id>"
  }
}

Sonraki adımlar

Ayrıca bkz:

• Azure DevTest Labs'de müşteri tarafından yönetilen anahtarları kullanarak diskleri şifreleme
• Yönetilen diskler için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi etkinleştirmek için Azure portalını kullanma