你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure 密钥保管库为 Azure 负载测试配置客户管理的密钥

Azure 负载测试使用 Microsoft 提供的密钥（服务管理的密钥）自动加密存储在负载测试资源中的所有数据。 或者，还可以通过提供自己的（客户管理的）密钥来添加第二层安全性。 客户管理的密钥在控制访问和使用密钥轮换策略方面可提供更大的灵活性。

将使用 Azure Key Vault 来安全存储你提供的密钥。 可以为使用客户管理的密钥启用的每个 Azure 负载测试资源创建一个单独的密钥。

使用客户管理的加密密钥时，需要指定用户分配的托管标识以从 Azure 密钥保管库检索密钥。

Azure 负载测试使用客户管理的密钥来加密负载测试资源中的以下数据：

• 测试脚本和配置文件
• 机密
• 环境变量

注意

Azure 负载测试不会使用客户管理的密钥来加密测试运行的指标数据，包括你在 JMeter 脚本中指定的 JMeter 指标采样器名称。 Microsoft 有权访问这些指标数据。

先决条件

• 具有活动订阅的 Azure 帐户。 如果没有 Azure 订阅，请在开始之前创建一个免费帐户。

• 现有的用户分配的托管标识。 有关如何创建用户分配的托管标识的详细信息，请参阅管理用户分配的托管标识。

限制

• 客户管理的密钥仅适用于新的 Azure 负载测试资源。 应在资源创建期间配置密钥。

• 在资源上启用客户管理的密钥加密后，便无法禁用。

• Azure 负载测试无法自动轮换客户管理的密钥以使用最新版本的加密密钥。 在 Azure Key Vault 中轮换密钥后，应更新资源中的密钥 URI。

配置 Azure 密钥保管库

若要将客户管理的加密密钥用于 Azure 负载测试，需要将密钥存储在 Azure 密钥保管库中。 可以使用现有的密钥保管库，也可以新建一个。 负载测试资源和密钥保管库可能位于同一租户的不同区域或订阅中。

使用客户管理的加密密钥时，请确保配置以下密钥保管库设置。

配置密钥保管库网络设置

如果限制为通过防火墙或虚拟网络访问 Azure 密钥保管库，则需要为 Azure 负载测试授予访问权限，使其能够检索客户管理的密钥。 按照以下步骤为受信任的 Azure 服务授予访问权限。

重要

目前，“US Gov 弗吉尼亚州”区域不支持从设置了访问限制的专用 Azure 密钥保管库检索客户管理的密钥。

配置软删除和清除保护

必须在密钥保管库上设置“软删除”和“清除保护”属性，才能将客户管理的密钥用于 Azure 负载测试。 创建新密钥保管库时，默认会启用软删除，并且无法禁用。 可以随时启用清除保护。 详细了解 Azure 密钥保管库中的软删除和清除保护。

Azure 门户

按照以下步骤验证是否已启用软删除并在密钥保管库上启用软删除。 创建新的密钥保管库时，默认会启用软删除。

可以在创建新的密钥保管库时，通过选择“启用清除保护”设置来启用清除保护。

若要在现有密钥保管库上启用清除保护，请执行以下步骤：

1. 在 Azure 门户中导航到密钥保管库。
2. 在“设置”下面，选择“属性”。
3. 在“清除保护”部分，选择“启用清除保护” 。

PowerShell

若要使用 PowerShell 创建新密钥保管库，请安装 Az. KeyVault PowerShell 模块的版本 2.0.0 或更高版本。 然后调用 New-AzKeyVault 来创建新密钥保管库。 在 Az.KeyVault 模块的版本 2.0.0 和更高版本中，当创建新密钥保管库时，默认会启用软删除。

以下示例将创建一个启用了软删除和清除保护的新密钥保管库。 请记得将括号中的占位符值替换为你自己的值。

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

若要使用 PowerShell 在现有密钥保管库上启用清除保护，请运行以下命令：

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

若要使用 Azure CLI 创建新的 Key Vault，请调用 az keyvault create。 创建新的密钥保管库时，默认会启用软删除。

以下示例将创建一个启用了软删除和清除保护的新密钥保管库。 请记得将括号中的占位符值替换为你自己的值。

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

若要使用 Azure CLI 在现有密钥保管库上启用清除保护，请运行以下命令：

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

将客户管理的密钥添加到 Azure 密钥保管库

接下来，在密钥保管库中添加密钥。 Azure 负载测试加密支持 RSA 密钥。 有关 Azure 密钥保管库中支持的密钥类型的详细信息，请参阅关于密钥。

Azure 门户

若要了解如何使用 Azure 门户添加密钥，请参阅使用 Azure 门户在 Azure Key Vault 中设置和检索密钥。

PowerShell

若要使用 PowerShell 添加密钥，请调用 Add-AzKeyVaultKey。 请记得将括号中的占位符值替换为自己的值，并使用前面示例中定义的变量。

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

若要使用 Azure CLI 添加密钥，请调用 az keyvault key create。 请记得将括号中的占位符值替换为你自己的值。

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

为密钥保管库添加访问策略

使用客户管理的加密密钥时，必须指定用户分配的托管标识。 用于访问 Azure 密钥保管库中客户管理的密钥的用户分配托管标识必须对密钥保管库拥有适当的访问权限。

1. 在 Azure 门户中，转到你打算用于托管加密密钥的 Azure 密钥保管库实例。

2. 在左侧菜单中选择“访问策略”。

   

3. 选择“+ 添加访问策略”。

4. 在“密钥权限”下拉菜单中，选择“获取”、“解包密钥”和“包装密钥”权限。

   

5. 在“选择主体”中，选择“未选择任何项”。

6. 搜索之前创建的用户分配的托管标识，并从列表中选择它。

7. 选择底部的“选择”。

8. 选择“添加”以添加新的访问策略。

9. 在密钥保管库实例上选择“保存”，以保存所有更改。

将客户管理的密钥用于 Azure 负载测试

只有在创建新的 Azure 负载测试资源时才能配置客户管理的加密密钥。 指定加密密钥详细信息时，还必须选择用户分配的托管标识以从 Azure 密钥保管库检索密钥。

若要为新的负载测试资源配置客户管理的密钥，请执行以下步骤：

Azure 门户

1. 按照这些步骤在 Azure 门户中创建 Azure 负载测试资源，并填写“基本信息”选项卡上的字段。

2. 转到“加密”选项卡，然后在“加密类型”字段中选择“客户管理的密钥(CMK)”。

3. 在“密钥 URI”字段中，粘贴 Azure Key Vault 密钥的 URI/密钥标识符，包括密钥版本。

4. 对于“用户分配的标识”字段，选择现有用户分配的托管标识。

5. 选择“查看 + 创建”以验证并创建新资源。

PowerShell

可以使用 PowerShell 部署 ARM 模板来自动创建 Azure 资源。 通过添加以下属性，可以创建任何已启用客户管理的密钥进行加密的类型为 Microsoft.LoadTestService/loadtests 的资源：

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

以下代码示例演示了一个用于创建启用了客户管理的密钥的负载测试资源的 ARM 模板：

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

使用 New-AzResourceGroupDeployment 将上述模板部署到资源组：

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

可以使用 Azure CLI 部署 ARM 模板来自动创建 Azure 资源。 通过添加以下属性，可以创建任何已启用客户管理的密钥进行加密的类型为 Microsoft.LoadTestService/loadtests 的资源：

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

以下代码示例演示了一个用于创建启用了客户管理的密钥的负载测试资源的 ARM 模板：

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

使用 az deployment group create 将上述模板部署到资源组：

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

更改托管标识以检索加密密钥

可以随时更改现有负载测试资源的客户管理的密钥的托管标识。

1. 在 Azure 门户中，转到你的 Azure 负载测试资源。

2. 在“设置”页上，选择“加密”。

   “加密类型”显示用于创建负载测试资源的加密类型。

3. 如果加密类型是“客户管理的密钥”，请选择用于对密钥保管库进行身份验证的标识类型。 选项包括系统分配（默认）或用户分配 。

   若要详细了解每种类型的托管标识，请参阅托管标识类型。

   • 如果选择“系统分配”，则需要在资源上启用系统分配的托管标识，并授予对 AKV 的访问权限，然后才能更改客户管理的密钥的标识。
   • 如果选择“用户分配”，则必须选择有权访问密钥保管库的现有用户分配标识。 若要了解如何创建用户分配的标识，请参阅将托管标识用于 Azure 负载测试预览版。

4. 保存所做更改。

重要

确保所选的托管标识有权访问 Azure 密钥保管库。

更新客户管理的加密密钥

可以随时更改用于 Azure 负载测试加密的密钥。 若要使用 Azure 门户更改密钥，请执行以下步骤：

1. 在 Azure 门户中，转到你的 Azure 负载测试资源。

2. 在“设置”页上，选择“加密”。 “加密类型”显示在创建资源时为其选择的加密。

3. 如果选择的加密类型是“客户管理的密钥”，则可以使用新的密钥 URI 编辑“密钥 URI”字段。

4. 保存所做更改。

轮换加密密钥

可以根据自己的合规性策略，在 Azure 密钥保管库中轮换客户管理的密钥。 若要轮换密钥，请执行以下操作：

1. 在 Azure 密钥保管库中更新密钥版本或创建新密钥。
2. 更新负载测试资源的客户管理的加密密钥。

常见问题解答

启用客户管理的密钥是否额外收费？

否，启用此功能不收取任何费用。

现有 Azure 负载测试资源是否支持客户管理的密钥？

此功能目前仅适用于新的 Azure 负载测试资源。

如何判断是否在 Azure 负载测试资源上启用了客户管理的密钥？

1. 在 Azure 门户中，转到你的 Azure 负载测试资源。
2. 转到左侧导航栏中的“加密”项。
3. 可以验证资源的“加密类型”。

如何吊销加密密钥？

可以通过在 Azure Key Vault 中禁用密钥的最新版本来撤销密钥。 或者，若要撤消密钥保管库实例中的所有密钥，可以删除授予负载测试资源托管标识的访问策略。

撤销加密密钥时，可能能够运行大约 10 分钟的测试，之后唯一可用的操作是删除资源。 建议轮换密钥而不是撤销密钥以管理资源安全性并保留数据。

相关内容

• 了解如何监视服务器端应用程序指标。
• 了解如何使用机密和环境变量来参数化负载测试。