共用方式為


使用 Azure Key Vault 設定 Azure 負載測試的客戶自控金鑰

Azure 負載測試會使用 Microsoft 提供的金鑰 (服務管理金鑰的金鑰) 來自動加密所有儲存在負載測試資源中的資料。 您也可以選擇提供您自己的 (客戶自控) 金鑰來增加第二層防護。 客戶自控金鑰提供更大的彈性來控制存取權和使用金鑰輪替原則。

您提供的金鑰會使用 Azure Key Vault 安全地儲存。 您可以為每個用客戶自控金鑰啟用的 Azure 負載測試資源建立個別的金鑰。

使用客戶自控加密金鑰時,您必須指定使用者指派的受控識別以從 Azure Key Vault 擷取金鑰。

Azure 負載測試會使用客戶自控金鑰來加密負載測試資源中的下列資料:

  • 測試指令碼和設定檔
  • 密碼
  • 環境變數

注意

Azure 負載測試不會使用您的客戶自控金鑰來加密測試回合的計量資料,包括您在 JMeter 指令碼中指定的 JMeter 計量取樣器名稱。 Microsoft 可以存取此計量資料。

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

  • 現有使用者指派的受控識別。 如需建立使用者指派的受控識別的相關資訊,請參閱管理使用者指派的受控識別

限制

  • 客戶自控金鑰僅適用於新的 Azure 負載測試資源。 您應該在資源建立期間設定金鑰。

  • 在資源上啟用客戶自控金鑰加密之後,即無法停用。

  • Azure 負載測試無法自動輪替客戶自控金鑰以使用最新版本的加密金鑰。 Azure Key Vault 輪替金鑰之後,您應該更新資源中的金鑰 URI。

設定您的 Azure Key Vault

若要使用客戶自控加密金鑰搭配 Azure 負載測試,您必須將金鑰儲存在 Azure Key Vault 中。 您可以使用現有的金鑰保存庫,或建立新的金鑰保存庫。 負載測試資源和金鑰保存庫可能位於相同租用戶的不同區域或訂用帳戶中。

當您使用客戶自控加密金鑰時,請務必設定下列金鑰保存庫設定。

設定金鑰保存庫網路設定

如果您透過防火牆或虛擬網路限制對 Azure 金鑰保存庫的存取,您必須授與 Azure 負載測試存取權,以擷取您的客戶自控金鑰。 請遵循下列步驟來授與受信任 Azure 服務的存取權

重要

US Gov 維吉尼亞地區目前不支援從具有存取限制的私人 Azure 金鑰保存庫擷取客戶自控金鑰。

設定虛刪除和清除保護

您必須在金鑰保存庫執行個體上設定虛刪除清除保護屬性,以使用客戶自控金鑰搭配 Azure 負載測試。 依預設會在您建立新金鑰保存庫時啟用虛刪除,且無法停用。 您可以隨時啟用清除保護。 深入了解 Azure Key Vault 中的虛刪除和清除保護

請遵循下列步驟來驗證是否已啟用虛刪除並在金鑰保存庫上啟用它。 建立新的金鑰保存庫時,預設會啟用虛刪除。

選取 [啟用清除保護設定]建立新的金鑰保存庫時,即可啟用清除保護。

螢幕擷取畫面:顯示如何在 Azure 入口網站中建立新金鑰保存庫時啟用清除保護。

若要在現有的金鑰保存庫上啟用清除保護,請遵循下列步驟:

  1. 在 Azure 入口網站中瀏覽至您的金鑰保存庫。
  2. 在 [設定] 之下選擇 [屬性]
  3. 在 [清除保護] 區段中,選擇 [啟用清除保護]

將客戶自控金鑰新增至 Azure Key Vault

接著,將金鑰新增至金鑰保存庫。 Azure 負載測試加密支援 RSA 金鑰。 如需 Azure Key Vault 中支援的金鑰類型的詳細資訊,請參閱關於金鑰

若要了解如何使用 Azure 入口網站來新增金鑰,請參閱使用 Azure 入口網站從 Azure Key Vault 設定及擷取金鑰

將存取原則新增至您的金鑰保存庫

使用客戶自控加密金鑰時,您必須指定使用者指派的受控識別。 用於在 Azure Key Vault 中存取客戶自控金鑰的使用者指派受控識別,必須具有適當的權限,才能存取金鑰保存庫。

  1. Azure 入口網站中,移至您打算用來裝載加密金鑰的 Azure Key Vault 執行個體。

  2. 從左側功能表選取 [存取原則]

    螢幕擷取畫面:顯示 Azure 入口網站中金鑰保存庫的存取原則選項。

  3. 選取+ 新增存取原則

  4. 在 [金鑰權限] 下拉式功能表中,選取 [取得]、[將金鑰解除包裝] 和 [包裝金鑰] 權限。

    螢幕擷取畫面:顯示 Azure Key Vault 權限。

  5. 在 [選取主體] 中,選取 [未選取任何項目]

  6. 搜尋您稍早建立的使用者指派受控識別,然後從清單中選取它。

  7. 選擇底部的 [選取]。

  8. 選取 [新增] 以新增存取原則。

  9. 選取金鑰保存庫執行個體上的 [儲存],以儲存所有變更。

使用客戶自控金鑰搭配 Azure 負載測試

您只能在建立新的 Azure 負載測試資源時設定客戶自控加密金鑰。 指定加密金鑰詳細資料時,也必須選取使用者指派的受控識別,以從 Azure Key Vault 擷取金鑰。

若要為新負載測試資源設定客戶自控金鑰,請遵循下列步驟:

  1. 請遵循下列步驟,在 Azure 入口網站中建立 Azure 負載測試資源,並在 [基本資料] 索引標籤上填寫欄位。

  2. 移至 [加密] 索引標籤,然後針對 [加密類型] 欄位選取 [客戶自控金鑰 (CMK)]

  3. 在 [金鑰 URI] 欄位中,貼上 Azure Key Vault 金鑰的 URI/金鑰識別碼 (包括金鑰版本)。

  4. 在 [使用者指派的身分識別] 欄位中,選取使用者指派的現有受控識別。

  5. 選取 [檢閱 + 建立] 以驗證並建立新的資源。

螢幕擷取畫面:顯示如何在建立 Azure 負載測試資源時啟用客戶自控金鑰加密。

變更用來擷取加密金鑰的受控識別

您可以隨時變更現有負載測試資源的客戶自控金鑰受控識別。

  1. Azure 入口網站中,移至您的 Azure 負載測試資源。

  2. 在 [設定] 頁面上選取 [加密]

    [加密類型] 會顯示用於建立負載測試資源的加密類型。

  3. 如果加密類型是 [客戶自控金鑰],請選取要用來向金鑰保存庫進行驗證的身分識別類型。 這些選項包括 [系統指派的] (預設值) 或 [使用者指派的]

    若要深入了解每種類型的受控識別,請參閱受控識別類型

    • 如果您選取 [系統指派],則必須在資源上啟用系統指派的受控識別,並授與其 AKV 的存取權,才能變更客戶自控金鑰的身分識別。
    • 如果您選取 [使用者指派],您必須選取由使用者指派、且有權存取金鑰保存庫的現有身分識別。 若要了解如何建立使用者指派的身分識別,請參閱使用適用於 Azure 負載測試 (預覽) 的受控識別
  4. 儲存您的變更。

螢幕擷取畫面:顯示如何變更現有 Azure 負載測試資源上客戶自控金鑰的受控識別。

重要

確定選取的受控識別可以存取 Azure Key Vault

更新客戶自控加密金鑰

您可以隨時變更 Azure 負載測試加密所使用的金鑰。 若要使用 Azure 入口網站來變更金鑰,請遵循下列步驟:

  1. Azure 入口網站中,移至您的 Azure 負載測試資源。

  2. 在 [設定] 頁面上選取 [加密]。 [加密類型] 會顯示您在資源建立時選取的加密。

  3. 如果所選的加密類型是 [客戶自控金鑰],您可以使用新的金鑰 URI 來編輯 [金鑰 URI] 欄位。

  4. 儲存您的變更。

輪換加密金鑰

您可以根據您的合規性原則,在 Azure Key Vault 中輪替客戶管理的金鑰。 若要輪替金鑰:

  1. Azure Key Vault 中,更新金鑰版本或建立新的金鑰。
  2. 為您的負載測試資源更新客戶自控加密金鑰

常見問題集

啟用客戶自控金鑰是否會產生額外的費用?

否,啟用這項功能不需要任何費用。

現有的 Azure 負載測試資源是否支援客戶自控金鑰?

此功能目前僅適用新的 Azure 負載測試資源。

如何判斷我的 Azure 負載測試資源是否已啟用客戶自控金鑰?

  1. Azure 入口網站中,移至您的 Azure 負載測試資源。
  2. 移至左側瀏覽列中的 [加密] 項目。
  3. 您可以在資源上驗證加密類型

如何撤銷加密金鑰?

您可以在 Azure Key Vault 中停用最新版本的金鑰來撤銷金鑰。 或者,若要撤銷來自金鑰保存庫執行個體的所有金鑰,您可以刪除授與負載測試資源受控識別的存取原則。

當您撤銷加密金鑰時,您可能可以執行大約 10 分鐘的測試,之後,您唯一可以進行的作業只有資源刪除。 建議您輪替金鑰 (而非撤銷金鑰) 以管理資源安全性並保留您的資料。