將客戶自控加密金鑰用於 Azure HPC Cache
您可以使用 Azure Key Vault,對用來加密 Azure HPC Cache 中所含資料的金鑰進行所有權控制。 本文說明如何使用客戶自控金鑰進行快取資料加密。
注意
儲存在 Azure 中的所有資料 (包括快取磁碟上的資料) 依預設都會使用 Microsoft 管理的金鑰進行待用加密。 只有在需要管理用來加密資料的金鑰時,才需要執行本文中的步驟。
在保存快取資料的受控磁碟上,Azure HPC Cache 也會受到 VM 主機加密的保護,即使您為快取磁碟新增了客戶金鑰亦然。 新增客戶自控金鑰以進行雙重加密,可為安全需求較高的客戶提供多一層的安全防護。 如需詳細資訊,請參閱 Azure 磁碟儲存體的伺服器端加密。
為 Azure HPC Cache 啟用客戶自控金鑰加密,需執行三個步驟:
設定 Azure Key Vault 以儲存金鑰。
建立 Azure HPC Cache 時,請選擇客戶自控金鑰加密,並指定要使用的金鑰保存庫和金鑰。 您可以選擇性地為快取提供受控識別,用以存取金鑰保存庫。
根據您在此步驟中所做的選擇,您或許可略過步驟 3。 如需詳細資訊,請參閱選擇快取的受控識別選項。
如果使用系統指派的受控識別或未設定金鑰保存庫存取權的使用者指派身分識別:請移至新建立的快取,並為其授與金鑰保存庫的存取權。
如果受控識別還沒有 Azure Key Vault 的存取權,則您必須從新建立的快取為其授權 (步驟 3),加密才會完成設定。
如果您使用系統管理的身分識別,身分識別將會在快取建立時建立。 您必須將快取的身分識別傳至金鑰保存庫,使其在快取建立後成為授權使用者。
如果您指派已有金鑰保存庫存取權的使用者受控識別,則可以略過此步驟。
建立快取後,您無法在客戶自控金鑰與 Microsoft 管理的金鑰之間變更。 不過,如果您的快取使用客戶自控金鑰,您可以視需要變更加密金鑰、金鑰版本和金鑰保存庫。
了解金鑰保存庫和金鑰需求
金鑰保存庫和金鑰必須符合下列需求,才能與 Azure HPC Cache 搭配運作。
金鑰保存庫屬性:
- 訂用帳戶 - 使用快取所使用的相同訂用帳戶。
- 區域 - 金鑰保存庫必須與 Azure HPC Cache 位於相同的區域中。
- 定價層 - 標準層足以供 Azure HPC Cache 使用。
- 虛刪除 - 如果金鑰保存庫上尚未設定虛刪除,Azure HPC Cache 就會加以啟用。
- 清除保護 - 必須啟用清除保護。
- 存取原則 - 預設設定即已足夠。
- 網路連線 - 無論您選擇的端點設定為何,Azure HPC Cache 都必須能夠存取金鑰保存庫。
金鑰屬性:
- 金鑰類型 - RSA
- RSA 金鑰大小 - 2048
- 已啟用 - 是
金鑰保存庫存取權限:
建立 Azure HPC Cache 的使用者必須具有相當於金鑰保存庫參與者角色的權限。 設定和管理 Azure Key Vault 也需要相同的權限。
如需詳細資訊,請參閱針對金鑰保存庫的存取進行保護。
選擇快取的受控識別選項
您的 HPC Cache 會使用其受控識別認證連線至金鑰保存庫。
Azure HPC Cache 可以使用兩種受控識別:
系統指派的受控識別 - 自動為您的快取建立的唯一身分識別。 只有在 HPC Cache 存在時,此受控識別才會存在,且無法直接管理或修改。
使用者指派的受控識別 - 與快取分開管理的獨立身分識別認證。 您可以設定使用者指派的受控識別,使其具有您想要的存取權,並在多個 HPC Cache 中加以使用。
如果您在建立快取時未為其指派受控識別,Azure 將會自動為快取建立系統指派的受控識別。
透過使用者指派的受控識別,您可以提供已具有金鑰保存庫存取權的身分識別。 (例如,其已新增至金鑰保存庫存取原則,或具有允許存取的 Azure RBAC 角色。)如果您使用系統指派的身分識別,或提供無存取權的受控識別,則必須在建立後向快取要求存取權。 這是一個手動步驟,如下方的步驟 3 所述。
深入了解受控識別
1.設定 Azure Key Vault
您可以在建立快取之前設定金鑰保存庫和金鑰,或在建立快取的過程中執行此動作。 請確定這些資源符合上述需求。
在快取建立期間,您必須指定要用於快取加密的保存庫、金鑰和金鑰版本。
如需詳細資訊,請參閱 Azure Key Vault 文件。
注意
Azure Key Vault 必須使用與 Azure HPC Cache 相同的訂用帳戶,且位於相同區域中。 請確定您選擇的區域支援這兩項產品。
2.建立已啟用客戶自控金鑰的快取
您必須在建立 Azure HPC Cache 時指定加密金鑰來源。 依照建立 Azure HPC Cache 中的指示操作,並且在 [磁碟加密金鑰] 頁面中指定金鑰保存庫和金鑰。 您可以在快取建立期間建立新的金鑰保存庫和金鑰。
提示
如果 [磁碟加密金鑰] 頁面未出現,請確定您的快取位於其中一個支援的區域中。
建立快取的使用者必須具有相當於金鑰保存庫參與者角色的權限或更高權限。
按一下按鈕以啟用私人管理的金鑰。 變更此設定之後,金鑰保存庫設定隨即出現。
按一下 [選取金鑰保存庫],以開啟金鑰選取頁面。 選擇或建立金鑰保存庫和金鑰,以在此快取的磁碟上進行資料加密。
如果您的 Azure Key Vault 未出現在清單中,請檢查下列需求:
- 快取是否位於與金鑰保存庫相同的訂用帳戶中?
- 快取是否位於與金鑰保存庫相同的區域中?
- Azure 入口網站與金鑰保存庫之間是否有網路連線?
在選取保存庫後,從可用的選項中選取個別金鑰,或建立新的金鑰。 金鑰必須是 2048 位元 RSA 金鑰。
指定所選金鑰的版本。 在 Azure Key Vault 文件中深入了解版本設定。
這些設定是選擇性的:
如果您想要使用自動金鑰輪替,請核取 [一律使用目前的金鑰版本] 方塊。
如果您想要為此快取使用特定的受控識別,請選取 [受控識別] 區段中的 [使用者指派],然後選取要使用的身分識別。 如需協助,請參閱受控識別文件。
提示
如果您傳遞已設定為可存取金鑰保存庫的身分識別,則使用者指派的受控識別將可簡化快取的建立。 使用系統指派的受控識別時,您必須在快取建立後執行額外的步驟,以授權給快取新建立的系統指派身分識別使用您的金鑰保存庫。
注意
建立快取後,即無法變更指派的身分識別。
繼續進行其餘指定,並依照建立 Azure HPC Cache 中的說明建立快取。
3.從快取授權 Azure Key Vault 加密 (如有需要)
注意
如果您在建立快取時提供了具有金鑰保存庫存取權的使用者指派受控識別,則無須執行此步驟。
幾分鐘後,新的 Azure HPC Cache 就會出現在您的 Azure 入口網站中。 移至 [概觀] 頁面,為其授與您 Azure Key Vault 的存取權,並啟用客戶自控金鑰加密。
提示
可能會先在資源清單中顯示快取,才會清除「部署進行中」訊息。 請在一或兩分鐘後查看您的資源清單,而不要等候成功通知。
建立快取後,您必須在 90 分鐘內授權加密。 若未完成此步驟,快取將會逾時並失敗。 失敗的快取必須重新建立,無法修正。
快取會顯示 [正在等候金鑰] 狀態。 按一下頁面頂端的 [啟用加密] 按鈕,以授權給快取存取指定的金鑰保存庫。
按一下 [啟用加密],然後按一下 [是] 按鈕,授權給快取使用加密金鑰。 此動作也會啟用金鑰保存庫上的虛刪除和清除保護 (如果尚未啟用)。
快取要求存取金鑰保存庫後,可以建立用來儲存快取資料的磁碟,並予以加密。
在您授權加密後,Azure HPC Cache 會經過數分鐘的設定,以建立加密的磁碟和相關基礎結構。
更新金鑰設定
您可以從 Azure 入口網站變更快取的金鑰保存庫、金鑰或金鑰版本。 按一下快取的 [加密] 設定連結,以開啟 [客戶金鑰設定] 頁面。
您無法在客戶自控金鑰與系統管理的金鑰之間變更快取。
按一下 [變更金鑰] 連結,然後按一下 [變更金鑰保存庫、金鑰或版本],以開啟金鑰選取器。
與此快取位於相同訂用帳戶和相同區域中的金鑰保存庫,會顯示在清單中。
在選擇新的加密金鑰值之後,按一下 [選取]。 確認頁面會顯示新值。 按一下 [儲存] 以完成選取。
深入了解 Azure 中客戶自控金鑰
這些文章會詳細說明如何使用 Azure Key Vault 和客戶自控金鑰來加密 Azure 中的資料:
- Azure 儲存體加密概觀
- 使用客戶自控金鑰進行磁碟加密 - 關於搭配使用 Azure Key Vault 與受控磁碟的文件,其情境與 Azure HPC Cache 類似
下一步
建立 Azure HPC Cache 並授權以金鑰保存庫為基礎的加密之後,請繼續設定快取,為其授與資料來源的存取權。