使用 Azure 金鑰保存庫設定 Azure 負載測試的客戶自控金鑰

Azure 負載測試會使用 Microsoft 提供的金鑰，自動加密儲存在負載測試資源中的所有資料（服務管理的金鑰）。 或者，您也可以提供您自己的（客戶自控）金鑰，來新增第二層安全性。 客戶管理的金鑰可提供更大的彈性，以控制存取和使用金鑰輪替原則。

您提供的金鑰會使用 Azure 金鑰保存庫 安全地儲存。 您可以為每個使用客戶自控金鑰啟用的 Azure 負載測試資源建立個別金鑰。

當您使用客戶管理的加密金鑰時，您必須指定使用者指派的受控識別，以從 Azure 金鑰保存庫擷取金鑰。

Azure 負載測試會使用客戶管理的金鑰來加密負載測試資源中的下列資料：

• 測試腳本和組態檔
• 密碼
• 環境變數

注意

Azure 負載測試不會使用客戶管理的金鑰來加密測試回合的計量資料，包括您在 JMeter 腳本中指定的 JMeter 計量取樣器名稱。 Microsoft 可以存取此計量資料。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 如尚未擁有 Azure 訂用帳戶，請在開始之前先建立免費帳戶。

• 現有的使用者指派受控識別。 如需建立使用者指派受控識別的詳細資訊，請參閱 管理使用者指派的受控識別 。

限制

• 客戶管理的金鑰僅適用于新的 Azure 負載測試資源。 您應該在資源建立期間設定金鑰。

• 在資源上啟用客戶管理的金鑰加密之後，就無法停用。

• Azure 負載測試無法自動輪替客戶管理的金鑰，以使用最新版本的加密金鑰。 在 Azure 金鑰保存庫輪替金鑰之後，您應該更新資源中的金鑰 URI。

設定 Azure 金鑰保存庫

若要搭配 Azure 負載測試使用客戶管理的加密金鑰，您必須將金鑰儲存在 Azure 金鑰保存庫。 您可以使用現有的金鑰保存庫，或建立新的金鑰保存庫。 負載測試資源和金鑰保存庫可能位於相同租使用者的不同區域或訂用帳戶中。

當您使用客戶管理的加密金鑰時，請務必設定下列金鑰保存庫設定。

設定金鑰保存庫網路設定

如果您透過防火牆或虛擬網路限制對 Azure 金鑰保存庫的存取，您必須授與 Azure Load Testing 的存取權，以擷取客戶管理的金鑰。 請遵循下列步驟來 授與受信任 Azure 服務的 存取權。

設定虛刪除和清除保護

您必須在金鑰保存庫上設定 虛刪除 和 清除保護 屬性，以搭配 Azure 負載測試使用客戶管理的金鑰。 當您建立新的金鑰保存庫且無法停用時，預設會啟用虛刪除。 您可以隨時啟用清除保護。 深入瞭解 Azure 金鑰保存庫 中的虛刪除和清除保護。

Azure 入口網站

請遵循下列步驟來 確認是否已啟用虛刪除，並在金鑰保存庫 上加以啟用。 當您建立新的金鑰保存庫時，預設可以進行虛刪除。

選取 [啟用清除保護設定]，即可在建立新的金鑰保存庫 時 啟用清除保護 。

若要在現有的金鑰保存庫上啟用清除保護，請遵循下列步驟：

1. 流覽至Azure 入口網站中的金鑰保存庫。
2. 在 [設定] 下 ，選擇 [ 屬性 ]。
3. 在 [ 清除保護] 區段中，選擇 [ 啟用清除保護 ]。

PowerShell

若要使用 PowerShell 建立新的金鑰保存庫，請安裝 Az.KeyVault PowerShell 模組的 2.0.0 版或更新版本。 然後呼叫 New-AzKeyVault 來建立新的金鑰保存庫。 使用 Az.KeyVault 模組 2.0.0 版和更新版本時，預設會在您建立新的金鑰保存庫時啟用虛刪除。

下列範例會建立已啟用虛刪除和清除保護的新金鑰保存庫。 請記得將括弧中的預留位置值取代為您自己的值。

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

若要使用 PowerShell 在現有金鑰保存庫上啟用清除保護：

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

若要使用 Azure CLI 建立新的金鑰保存庫，請呼叫 az keyvault create 。 當您建立新的金鑰保存庫時，預設會啟用虛刪除。

下列範例會建立已啟用虛刪除和清除保護的新金鑰保存庫。 請記得將括弧中的預留位置值取代為您自己的值。

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

若要使用 Azure CLI 在現有金鑰保存庫上啟用清除保護：

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

將客戶管理的金鑰新增至 Azure 金鑰保存庫

接下來，將金鑰新增至金鑰保存庫。 Azure 負載測試加密支援 RSA 金鑰。 如需 Azure 金鑰保存庫中支援的金鑰類型詳細資訊，請參閱 關於金鑰 。

Azure 入口網站

若要瞭解如何使用Azure 入口網站新增金鑰，請參閱 使用 Azure 入口網站 從 Azure 金鑰保存庫設定和擷取 金鑰。

PowerShell

若要使用 PowerShell 新增金鑰，請呼叫 Add-AzKeyVaultKey 。 請記得將括弧中的預留位置值取代為您自己的值，並使用先前範例中定義的變數。

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

若要使用 Azure CLI 新增金鑰，請呼叫 az keyvault key create 。 請記得將括弧中的預留位置值取代為您自己的值。

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

將存取原則新增至金鑰保存庫

當您使用客戶管理的加密金鑰時，您必須指定使用者指派的受控識別。 使用者指派的受控識別，用來存取 Azure 金鑰保存庫中客戶管理的金鑰，必須具有適當的許可權才能存取金鑰保存庫。

1. 在 Azure 入口網站 中，移至您打算用來裝載加密金鑰的 Azure 金鑰保存庫實例。

2. 從左側功能表中選取 [存取原則 ]。

   

3. 選取+ 新增存取原則。

4. 在 [ 金鑰許可權] 下拉式功能表中，選取 [取得 ]、 [解除包裝金鑰 ] 和 [ 包裝金鑰 ] 許可權。

   

5. 在 [ 選取主體 ] 中，選取 [ 無]。

6. 搜尋您稍早建立的使用者指派受控識別，然後從清單中選取它。

7. 選擇底部的 [ 選取 ]。

8. 選取 [新增 ] 以新增存取原則。

9. 選取 金鑰保存庫實例上的 [儲存 ] 以儲存所有變更。

搭配 Azure 負載測試使用客戶管理的金鑰

您只能在建立新的 Azure 負載測試資源時設定客戶管理的加密金鑰。 當您指定加密金鑰詳細資料時，也必須選取使用者指派的受控識別，以從 Azure 金鑰保存庫擷取金鑰。

若要為新的負載測試資源設定客戶管理的金鑰，請遵循下列步驟：

Azure 入口網站

1. 請遵循下列步驟， 在Azure 入口網站 中建立 Azure 負載測試資源，並在 [基本] 索引 標籤上 填寫欄位。

2. 移至 [ 加密] 索引標籤，然後選取 [加密類型 ] 欄位的客戶 自控金鑰 （CMK）。

3. 在 [ 金鑰 URI] 欄位中，貼上 Azure 金鑰保存庫金鑰的 URI/金鑰識別碼，包括金鑰版本。

4. 針對 [ 使用者指派的身 分識別] 欄位，選取現有的使用者指派受控識別。

5. 選取 [ 檢閱 + 建立 ] 以驗證並建立新的資源。

PowerShell

您可以使用 PowerShell 部署 ARM 範本，以自動建立 Azure 資源。 您可以藉由新增下列屬性，建立類型 Microsoft.LoadTestService/loadtests 為的任何資源，並啟用客戶管理的金鑰進行加密：

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

下列程式碼範例示範使用已啟用客戶管理的金鑰來建立負載測試資源的 ARM 範本：

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

使用 New-AzResourceGroupDeployment 將上述範本部署至資源群組：

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

您可以使用 Azure CLI 部署 ARM 範本，以自動建立 Azure 資源。 您可以藉由新增下列屬性，建立類型 Microsoft.LoadTestService/loadtests 為的任何資源，並啟用客戶管理的金鑰進行加密：

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

下列程式碼範例示範使用已啟用客戶管理的金鑰來建立負載測試資源的 ARM 範本：

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

使用 az deployment group create 將上述範本部署至資源群組：

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

變更用來擷取加密金鑰的受控識別

您可以隨時變更現有負載測試資源客戶自控金鑰的受控識別。

1. 在 Azure 入口網站 中，移至您的 Azure 負載測試資源。

2. 在 [設定] 頁面上，選取 [ 加密 ]。

   加密 類型 會顯示用於建立負載測試資源的加密類型。

3. 如果加密類型為 客戶管理的金鑰 ，請選取要用來向金鑰保存庫進行驗證的身分識別類型。 選項包括 [系統指派 ] 或 [使用者指派]。

   若要深入瞭解每種受控識別類型，請參閱 受控識別類型 。

   • 如果您選取 [ 系統指派]，系統指派 的受控識別必須在資源上啟用，並授與 AKV 的存取權，才能變更客戶自控金鑰的身分識別。
   • 如果您選取 [ 使用者指派 ]，您必須選取具有存取金鑰保存庫許可權的現有使用者指派身分識別。 若要瞭解如何建立使用者指派的身分識別，請參閱 使用 Azure Load Testing Preview 的受控識別。

4. 儲存您的變更。

重要

請確定選取 的受控識別可以存取 Azure 金鑰保存庫 。

更新客戶管理的加密金鑰

您可以隨時變更您用於 Azure 負載測試加密的金鑰。 若要使用 Azure 入口網站 變更金鑰，請遵循下列步驟：

1. 在 Azure 入口網站 中，移至您的 Azure 負載測試資源。

2. 在 [設定] 頁面上，選取 [加密]。 [ 加密類型 ] 會顯示在建立時為資源選取的加密。

3. 如果選擇的加密類型是 客戶管理的金鑰，您可以使用新的金鑰 URI 來編輯 [金鑰 URI ] 字段。

4. 儲存您的變更。

輪換加密金鑰

您可以根據您的合規性政策，在 Azure 金鑰保存庫 中輪替客戶管理的金鑰。 若要輪替金鑰：

1. 在 Azure 金鑰保存庫 中，更新金鑰版本或建立新的密鑰。
2. 為您的負載測試資源更新客戶管理的加密金鑰 。

常見問題集

啟用客戶管理的金鑰是否有額外費用？

否，不需付費才能啟用這項功能。

現有 Azure 負載測試資源是否支援客戶管理的金鑰？

這項功能目前僅適用於新的 Azure 負載測試資源。

如何判斷 Azure 負載測試資源上是否已啟用客戶管理的密鑰？

1. 在 Azure 入口網站 中，移至您的 Azure 負載測試資源。
2. 移至 左側導覽列中的 [加密 ] 專案。
3. 您可以在資源上驗證 加密類型 。

如何? 撤銷加密金鑰？

您可以在 Azure 金鑰保存庫 中停用最新版本的金鑰，以撤銷金鑰。 或者，若要從金鑰保存庫實例撤銷所有金鑰，您可以刪除授與負載測試資源受控識別的存取原則。

當您撤銷加密金鑰時，可能會執行測試約 10 分鐘，之後唯一可用的作業就是刪除資源。 建議您輪替金鑰，而不是撤銷金鑰來管理資源安全性並保留您的數據。

相關內容

• 瞭解如何 監視伺服器端應用程式計量。
• 瞭解如何 使用秘密和環境變數將負載測試參數化。