Sdílet prostřednictvím

Konfigurace šifrování disků pro instance Azure Managed Redis (Preview) pomocí klíčů spravovaných zákazníkem

  • Článek

Data na serveru Redis jsou ve výchozím nastavení uložená v paměti. Tato data nejsou šifrovaná. Před zápisem do mezipaměti můžete implementovat vlastní šifrování dat. V některých případech se data můžou nacházet na disku, a to buď kvůli operacím operačního systému, nebo kvůli úmyslným akcím k zachování dat pomocí exportu nebo trvalosti dat.

Azure Managed Redis (Preview) nabízí klíče spravované platformou (PMK), které se také označují jako klíče spravované Microsoftem (MMK), které ve výchozím nastavení šifrují data na disku ve všech úrovních. Azure Managed Redis navíc nabízí možnost šifrovat disky s operačním systémem a trvalost dat pomocí klíče spravovaného zákazníkem (CMK). Klíče spravované zákazníkem je možné použít k zabalení sad MMK k řízení přístupu k těmto klíčům. Tím se klíč CMK změní na šifrovací klíč nebo klíč KEK. Další informace najdete v tématu Správa klíčů v Azure.

Rozsah dostupnosti pro šifrování disků CMK

Úroveň Optimalizováno pro paměť, vyvážení, optimalizované výpočty Optimalizované pro flash
Spravované klíče Microsoftu (MMK) Ano Yes
Klíče spravované zákazníkem (CMK) Ano Yes

Pokrytí šifrováním

Ve službě Azure Managed Redis se šifrování disků používá k šifrování disku trvalosti, dočasných souborů a disku s operačním systémem:

  • trvalý disk: Uchovává trvalé soubory RDB nebo AOF jako součást trvalosti dat.
  • dočasné soubory použité při exportu: Dočasná data použitá k exportu jsou šifrovaná. Při exportu dat se šifrování konečných exportovaných dat řídí nastavením v účtu úložiště.
  • disk s operačním systémem

Nástroj MMK se ve výchozím nastavení používá k šifrování těchto disků, ale cmk se dá použít také.

Ve vrstvě Optimalizované pro Flash jsou klíče a hodnoty také částečně uložené na disku pomocí nevolatilového paměťového úložiště NVMe (Flash Storage). Tento disk ale není stejný jako ten, který se používá pro trvalá data. Místo toho je dočasný a data se neuchovávají po zastavení, uvolnění nebo restartování mezipaměti. MmK je podporován pouze na tomto disku, protože tato data jsou přechodná a dočasná.

Uložená data Disk Možnosti šifrování
Soubory trvalosti Disk trvalosti MMK nebo CMK
Soubory RDB čekající na export Disk s operačním systémem a disk trvalosti MMK nebo CMK
Klíče a hodnoty (pouze úroveň Optimalizovaná pro Flash) Přechodný disk NVMe MMK

Předpoklady a omezení

Obecné požadavky a omezení

  • Připojení ke službě Azure Key Vault se podporuje jenom spravovaná identita přiřazená uživatelem. Spravovaná identita přiřazená systémem není podporována.
  • Při změně mezi nástroji MMK a CMK v existující instanci mezipaměti se aktivuje dlouhotrvající operace údržby. Nedoporučujeme to pro produkční použití, protože dojde k přerušení služby.

Požadavky a omezení služby Azure Key Vault

  • Prostředek služby Azure Key Vault obsahující klíč spravovaný zákazníkem musí být ve stejné oblasti jako prostředek mezipaměti.
  • V instanci služby Azure Key Vault musí být povolená ochrana před vymazáním a obnovitelné odstranění . Ochrana před vymazáním není ve výchozím nastavení povolená.
  • Pokud ve službě Azure Key Vault používáte pravidla brány firewall, musí být instance služby Key Vault nakonfigurovaná tak, aby povolovala důvěryhodné služby.
  • Podporují se jenom klíče RSA.
  • Spravovaná identita přiřazená uživatelem musí mít udělená oprávnění Get, Unwrap Key a Wrap Key v zásadách přístupu ke službě Key Vault nebo ekvivalentní oprávnění v rámci řízení přístupu na základě role Azure. Doporučená předdefinovaná definice role s nejnižšími oprávněními potřebnými pro tento scénář se nazývá Uživatel šifrování kryptografických služeb KeyVault.

Konfigurace šifrování CMK ve službě Azure Managed Redis

Vytvoření nové mezipaměti s povoleným klíčem CMK pomocí portálu

  1. Přihlaste se k webu Azure Portal a spusťte úvodní příručku k vytvoření instance Azure Managed Redis.

  2. Na stránce Upřesnit přejděte do části s názvem Šifrování neaktivních uložených klíčů spravovaných zákazníkem a povolte možnost Použít klíč spravovaný zákazníkem.

    Snímek obrazovky s pokročilým nastavením se zaškrtnutým šifrováním klíčů spravovaným zákazníkem a červeným rámečkem

  3. Výběrem možnosti Přidat přiřadíte spravované identitě přiřazené uživatelem k prostředku. Tato spravovaná identita se používá k připojení k instanci služby Azure Key Vault , která obsahuje klíč spravovaný zákazníkem.

    Snímek obrazovky znázorňující identitu spravovanou uživatelem v pracovním podokně

  4. Vyberte zvolenou spravovanou identitu přiřazenou uživatelem a pak zvolte metodu zadávání klíčů, kterou chcete použít.

  5. Pokud používáte výběr trezoru klíčů Azure a metody zadávání klíčů , zvolte instanci služby Key Vault, která obsahuje klíč spravovaný zákazníkem. Tato instance musí být ve stejné oblasti jako vaše mezipaměť.

    Poznámka:

    Pokyny k nastavení instance služby Azure Key Vault najdete v průvodci rychlým zprovozněním služby Azure Key Vault. Můžete také vybrat odkaz Vytvořit trezor klíčů pod výběrem služby Key Vault a vytvořit novou instanci služby Key Vault. Nezapomeňte, že v instanci služby Key Vault musí být povolená ochrana před vymazáním i obnovitelné odstranění.

  6. Zvolte konkrétní klíč a verzi pomocí rozevíracích nabídek spravovaných zákazníkem (RSA) a Verze .

    Snímek obrazovky zobrazující vyplněná pole pro výběr identity a klíče

  7. Pokud používáte metodu zadávání identifikátoru URI, zadejte identifikátor URI klíče pro vybraný klíč ze služby Azure Key Vault.

  8. Po zadání všech informací pro mezipaměť vyberte Zkontrolovat a vytvořit.

Přidání šifrování CMK do existující instance Azure Managed Redis

  1. V nabídce Prostředek instance mezipaměti přejděte na šifrování . Pokud je sada CMK už nastavená, zobrazí se klíčové informace.

  2. Pokud jste nastavení CMK nenastavili nebo pokud chcete změnit nastavení cmk, vyberte Změnit nastavení šifrování.Snímek obrazovky s vybraným šifrováním v nabídce Prostředek pro mezipaměť podnikové vrstvy

  3. Pokud chcete zobrazit možnosti konfigurace, vyberte Použít klíč spravovaný zákazníkem.

  4. Výběrem možnosti Přidat přiřadíte spravované identitě přiřazené uživatelem k prostředku. Tato spravovaná identita se používá k připojení k instanci služby Azure Key Vault , která obsahuje klíč spravovaný zákazníkem.

  5. Vyberte vybranou spravovanou identitu přiřazenou uživatelem a pak zvolte, kterou metodu zadávání klíčů chcete použít.

  6. Pokud používáte výběr trezoru klíčů Azure a metody zadávání klíčů , zvolte instanci služby Key Vault, která obsahuje klíč spravovaný zákazníkem. Tato instance musí být ve stejné oblasti jako vaše mezipaměť.

    Poznámka:

    Pokyny k nastavení instance služby Azure Key Vault najdete v průvodci rychlým zprovozněním služby Azure Key Vault. Můžete také vybrat odkaz Vytvořit trezor klíčů pod výběrem služby Key Vault a vytvořit novou instanci služby Key Vault.

  7. Zvolte konkrétní klíč pomocí rozevíracího seznamu Klíč spravovaný zákazníkem (RSA ). Pokud existuje více verzí klíče, ze které si můžete vybrat, použijte rozevírací seznam Verze . Snímek obrazovky znázorňující vyplněná pole vybrat identitu a klíč pro šifrování

  8. Pokud používáte metodu zadávání identifikátoru URI, zadejte identifikátor URI klíče pro vybraný klíč ze služby Azure Key Vault.

  9. Zvolte Uložit.

Další kroky