Sdílet prostřednictvím

Konfigurace klíčů spravovaných zákazníkem pomocí spravovaného modulu hardwarového zabezpečení pro šifrování svazků Azure NetApp Files

  • Článek

Šifrování svazků Azure NetApp Files pomocí klíčů spravovaných zákazníkem se spravovaným modulem hardwarového zabezpečení (HSM) je rozšířením klíčů spravovaných zákazníkem pro funkci šifrování svazků Azure NetApp Files. Klíče spravované zákazníkem pomocí HSM umožňují ukládat šifrovací klíče do bezpečnějšího HSM 140–2 FIPS úrovně 3 místo služby FIPS 140-2 úrovně 1 nebo 2, kterou používá Azure Key Vault (AKV).

Požadavky

  • Klíče spravované zákazníkem se spravovaným HSM se podporují pomocí verze rozhraní API 2022.11 nebo novější.
  • Klíče spravované zákazníkem se spravovaným HSM se podporují jenom pro účty Azure NetApp Files, které nemají stávající šifrování.
  • Před vytvořením svazku pomocí klíče spravovaného zákazníkem se spravovaným svazkem HSM musíte mít:
    • vytvořili službu Azure Key Vault obsahující alespoň jeden klíč.
      • Trezor klíčů musí mít povolené obnovitelné odstranění a ochranu proti vymazání.
      • Klíč musí být typu RSA.
    • vytvořenou virtuální síť s podsítí delegovanou na Microsoft.Netapp/svazky.
    • identitu přiřazenou uživatelem nebo systémem pro váš účet Azure NetApp Files.
    • zřízený a aktivovaný spravovaný HSM.

Podporované oblasti

  • Austrálie – střed
  • Austrálie – střed 2
  • Austrálie – východ
  • Austrálie – jihovýchod
  • Brazílie – jih
  • Brazílie – jihovýchod
  • Střední Kanada
  • Kanada – východ
  • Indie – střed
  • USA – střed
  • Východní Asie
  • East US
  • USA – východ 2
  • Francie – střed
  • Německo – sever
  • Německo – středozápad
  • Izrael - střed
  • Itálie - sever
  • Japonsko – východ
  • Japonsko – západ
  • Jižní Korea – střed
  • Korea Jih
  • USA – středosever
  • Severní Evropa
  • Norsko – východ
  • Norsko – západ
  • Střední Katar
  • Jižní Afrika – sever
  • Středojižní USA
  • Indie – jih
  • Southeast Asia
  • Španělsko – střed
  • Švédsko – střed
  • Švýcarsko – sever
  • Švýcarsko – západ
  • Spojené arabské emiráty – střed
  • Spojené arabské emiráty – sever
  • Velká Británie – jih
  • Západní Evropa
  • USA – západ
  • Západní USA 2
  • USA – západ 3

Registrace funkce

Tato funkce je aktuálně dostupná jako ukázková verze. Před prvním použitím je potřeba tuto funkci zaregistrovat. Po registraci je funkce povolená a funguje na pozadí. Nevyžaduje se žádný ovládací prvek uživatelského rozhraní.

  1. Zaregistrujte funkci:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption

  2. Zkontrolujte stav registrace funkce:

    Poznámka:

    Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Než budete pokračovat, počkejte, až se stav Zaregistruje .

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption

Můžete také použít příkazy az feature register Azure CLI a az feature show zaregistrovat funkci a zobrazit stav registrace.

Konfigurace klíčů spravovaných zákazníkem pomocí spravovaného HSM pro identitu přiřazenou systémem

Když nakonfigurujete klíče spravované zákazníkem s identitou přiřazenou systémem, Azure účet NetApp nakonfiguruje automaticky přidáním identity přiřazené systémem. Zásady přístupu se vytvoří ve službě Azure Key Vault s oprávněními klíče Get, Encrypt a Decrypt.

Požadavky

Pokud chcete použít identitu přiřazenou systémem, musí být služba Azure Key Vault nakonfigurovaná tak, aby jako model oprávnění používala zásady přístupu k trezoru. Jinak musíte použít identitu přiřazenou uživatelem.

Kroky

  1. Na webu Azure Portal přejděte do služby Azure NetApp Files a pak vyberte Šifrování.

  2. V nabídce Šifrování zadejte následující hodnoty:

    • Jako zdroj šifrovacího klíče vyberte klíč spravovaný zákazníkem.
    • Jako identifikátor URI klíče vyberte Enter Key URI a pak zadejte identifikátor URI pro spravovaný HSM.
    • Vyberte předplatné NetApp.
    • Jako typ identity vyberte Systém přiřazený.

    Snímek obrazovky s nabídkou šifrování zobrazující pole identifikátoru URI klíče

  3. Zvolte Uložit.

Konfigurace klíčů spravovaných zákazníkem pomocí spravovaného HSM pro identitu přiřazenou uživatelem

  1. Na webu Azure Portal přejděte do služby Azure NetApp Files a pak vyberte Šifrování.

  2. V nabídce Šifrování zadejte následující hodnoty:

    • Jako zdroj šifrovacího klíče vyberte klíč spravovaný zákazníkem.
    • Jako identifikátor URI klíče vyberte Enter Key URI a pak zadejte identifikátor URI pro spravovaný HSM.
    • Vyberte předplatné NetApp.
    • Jako typ identity vyberte Uživatelem přiřazené.

  3. Když vyberete Uživatelem přiřazené, otevře se podokno kontextu, ve které se vybere identita.

    • Pokud je služba Azure Key Vault nakonfigurovaná tak, aby používala zásady přístupu k trezoru, Azure nakonfiguruje účet NetApp automaticky a přidá identitu přiřazenou uživatelem k vašemu účtu NetApp. Zásady přístupu se vytvoří ve službě Azure Key Vault s oprávněními klíče Get, Encrypt a Decrypt.
    • Pokud je služba Azure Key Vault nakonfigurovaná tak, aby používala řízení přístupu na základě role Azure (RBAC), ujistěte se, že vybraná identita přiřazená uživatelem má v trezoru klíčů přiřazení role s oprávněními pro akce dat:
      • Microsoft.KeyVault/vaults/keys/read
      • Microsoft.KeyVault/vaults/keys/encrypt/action
      • Microsoft.KeyVault/vaults/keys/decrypt/action" Identita přiřazená uživatelem, kterou vyberete, se přidá do vašeho účtu NetApp. Kvůli přizpůsobení RBAC se na webu Azure Portal nekonfiguruje přístup k trezoru klíčů. Další informace najdete v tématu Použití tajného klíče, klíče a certifikátu Azure RBAC se službou Key Vault.

    Snímek obrazovky s podnabídky přiřazenou uživatelem

  4. Vyberte Uložit.

Další kroky