設定客戶自控金鑰

Azure Data Explorer會加密待用儲存體帳戶中的所有資料。 根據預設，資料是以使用 Microsoft 管理的金鑰加密。 如需對加密金鑰的額外控制，您可以提供客戶管理的金鑰來用於資料加密。

客戶管理的金鑰必須儲存在Azure 金鑰保存庫中。 您可以建立自己的金鑰，並將其儲存在金鑰保存庫中，或使用 Azure 金鑰保存庫 API 來產生金鑰。 Azure Data Explorer叢集和金鑰保存庫必須位於相同的區域中，但它們可以位於不同的訂用帳戶中。 如需客戶自控金鑰的詳細說明，請參閱使用 Azure 金鑰保存庫客戶管理的金鑰。

本文說明如何設定客戶管理的金鑰。

如需以舊版 SDK 為基礎的程式碼範例，請參閱 封存文章。

設定 Azure Key Vault

若要使用 Azure Data Explorer設定客戶管理的金鑰，您必須在金鑰保存庫上設定兩個屬性：虛刪除和不要清除。 預設不會啟用這些屬性。 若要啟用這些屬性，請在新的或現有的金鑰保存庫上，于PowerShell或Azure CLI中執行啟用虛刪除和啟用清除保護。 僅支援大小為 2048 的 RSA 金鑰。 如需金鑰的詳細資訊，請參閱金鑰保存庫金鑰。

注意

如需在領導者和追蹤者叢集上使用客戶管理金鑰限制的相關資訊，請參閱 限制。

將受控識別指派給叢集

若要為您的叢集啟用客戶管理的金鑰，請先將系統指派或使用者指派的受控識別指派給叢集。 您將使用此受控識別來授與叢集存取金鑰保存庫的許可權。 若要設定受控識別，請參閱 受控識別。

使用客戶管理的金鑰來啟用加密

入口網站

下列步驟說明如何使用 Azure 入口網站啟用客戶管理的金鑰加密。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 設定您的 Azure Data Explorer叢集以使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 在Azure 入口網站中，移至您的 Azure Data Explorer叢集資源。

2. 選取入口網站左窗格中的 [設定>加密]。

3. 在 [加密]窗格中，針對[客戶管理的金鑰] 設定選取 [開啟]。

4. 選取 [選取金鑰]。

   

5. 在 [從 Azure 選取金鑰] 金鑰保存庫視窗中，從下拉式清單中選取現有的金鑰保存庫。 如果您選取 [新建] 以建立新的金鑰保存庫，系統會將您路由傳送至 [建立金鑰保存庫] 畫面。

6. 選取 [金鑰]。

7. 版本：

   • 若要確保此金鑰一律使用最新的金鑰版本，請選取 [ 一律使用目前的金鑰版本 ] 核取方塊。
   • 否則，請選取 [ 版本]。

8. 選取 [選取]。

   

9. 在 [身分識別類型] 底下，選取 [系統指派 ] 或 [ 使用者指派]。

10. 如果您選取 [ 使用者指派]，請從下拉式清單中挑選使用者指派的身分識別。

    

11. 在現在包含金鑰的 [加密 ] 窗格中，選取 [ 儲存]。 當 CMK 建立成功時，您會在 [通知] 中看到成功訊息。

    

如果您在為 Azure Data Explorer叢集啟用客戶管理的金鑰時選取系統指派的身分識別，如果叢集不存在，您將會為叢集建立系統指派的身分識別。 此外，您會在選取的金鑰保存庫上，將必要的 get、wrapKey 和 unwrapKey 許可權提供給 Azure Data Explorer 叢集，並取得金鑰保存庫屬性。

注意

選取 [關閉 ] 以在建立客戶管理的金鑰之後移除。

C#

下列各節說明如何使用 Azure Data Explorer C# 用戶端來設定客戶管理的金鑰加密。

安裝套件

• 安裝Azure Data Explorer (Kusto) NuGet 套件。
• 安裝Azure.Identity NuGet 套件，以使用Microsoft Entra識別碼進行驗證。

驗證

若要執行本文中的範例，請建立可存取資源的Microsoft Entra應用程式和服務主體。 您可以在訂用帳戶範圍新增角色指派，並取得必要的 Microsoft Entra Directory (tenant) ID 、 Application ID 和 Application Secret 。

下列程式碼片段示範如何使用Microsoft 驗證程式庫 (MSAL) 來取得Microsoft Entra應用程式權杖來存取叢集。 若要讓流程成功，應用程式必須註冊Microsoft Entra識別碼，而且您必須具有應用程式驗證的認證，例如Microsoft Entra識別碼簽發的應用程式金鑰或Microsoft Entra註冊的 X.509v2 憑證。

設定客戶管理的金鑰

根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 設定您的 Azure Data Explorer叢集以使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 使用下列程式碼更新叢集：

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. 執行下列命令來檢查叢集是否已成功更新：

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   如果結果包含 ProvisioningState 值 Succeeded ，則您的叢集已成功更新。

Azure CLI

下列步驟說明如何使用 Azure CLI 用戶端啟用客戶管理的金鑰加密。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 設定您的 Azure Data Explorer叢集以使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 執行下列命令以登入 Azure：

   az login
   

2. 設定叢集註冊所在的訂用帳戶。 將 MyAzureSub 取代為您要使用的 Azure 訂用帳戶名稱。

   az account set --subscription MyAzureSub
   

3. 執行下列命令，以使用叢集系統指派的身分識別來設定新的金鑰

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   或者，使用使用者指派的身分識別來設定新的金鑰。

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. 執行下列命令並檢查 'keyVaultProperties' 屬性，以確認叢集已成功更新。

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

PowerShell

下列步驟說明如何使用 PowerShell 啟用客戶管理的金鑰加密。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 設定您的 Azure Data Explorer叢集以使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 執行下列命令以登入 Azure：

   Connect-AzAccount
   

2. 設定叢集註冊所在的訂用帳戶。

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. 執行下列命令，以使用系統指派的身分識別來設定新的金鑰。

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   或者，使用使用者指派的身分識別來設定新的金鑰。

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. 執行下列命令並檢查 'KeyVaultProperty...'屬性，以確認叢集已成功更新。

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

ARM 範本

下列步驟說明如何使用 Azure Resource Manager範本來設定客戶管理的金鑰。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 在此步驟中，將您的 Azure Data Explorer叢集設定為使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

如果您想要使用系統指派的身分識別來存取金鑰保存庫，請保留 userIdentity 空白。 否則，請設定身分識別的資源識別碼。

您可以使用 Azure 入口網站 或使用 PowerShell 來部署 Azure Resource Manager範本。

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

更新金鑰版本

當您建立新版本的金鑰時，您必須更新叢集以使用新版本。 首先，呼叫 Get-AzKeyVaultKey 以取得最新版的金鑰。 然後更新叢集的金鑰保存庫屬性，以使用新版本的金鑰，如 使用客戶管理的金鑰啟用加密中所示。

相關內容

• 保護 Azure 中的 Azure Data Explorer叢集
• 為您的 Azure 資料總管叢集設定受控識別
• 在 Azure Data Explorer中使用磁片加密保護您的叢集