Konfigurace klíčů spravovaných zákazníkem pro zátěžové testování Azure pomocí služby Azure Key Vault
Azure Load Testing automaticky šifruje všechna data uložená v prostředku zátěžového testování pomocí klíčů, které Microsoft poskytuje (klíče spravované službou). Volitelně můžete přidat druhou vrstvu zabezpečení tím, že také zadáte vlastní klíče (spravované zákazníkem). Klíče spravované zákazníkem nabízejí větší flexibilitu pro řízení přístupu a používání zásad obměně klíčů.
Zadané klíče se bezpečně ukládají pomocí služby Azure Key Vault. Pro každý prostředek zátěžového testování Azure, který povolíte pomocí klíčů spravovaných zákazníkem, můžete vytvořit samostatný klíč.
Při použití šifrovacích klíčů spravovaných zákazníkem je potřeba zadat spravovanou identitu přiřazenou uživatelem, abyste mohli klíče načíst ze služby Azure Key Vault.
Azure Load Testing používá klíč spravovaný zákazníkem k šifrování následujících dat v prostředku zátěžového testování:
- Testovací skript a konfigurační soubory
- Tajné kódy
- Proměnné prostředí
Poznámka:
Azure Load Testing nešifruje data metrik pro testovací běh pomocí klíče spravovaného zákazníkem, včetně názvů vzorkovníků metrik JMeter, které zadáte ve skriptu JMeter. Microsoft má přístup k datům těchto metrik.
Požadavky
Účet Azure s aktivním předplatným. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Existující spravovaná identita přiřazená uživatelem. Další informace o vytvoření spravované identity přiřazené uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.
Omezení
Klíče spravované zákazníkem jsou k dispozici pouze pro nové prostředky zátěžového testování Azure. Klíč byste měli nakonfigurovat během vytváření prostředků.
Jakmile je u prostředku povolené šifrování klíče spravovaného zákazníkem, není možné ho zakázat.
Azure Load Testing nemůže automaticky otočit klíč spravovaný zákazníkem, aby používal nejnovější verzi šifrovacího klíče. Po obměně klíče ve službě Azure Key Vault byste měli v prostředku aktualizovat identifikátor URI klíče.
Konfigurace trezoru klíčů Azure
Pokud chcete používat šifrovací klíče spravované zákazníkem se službou Azure Load Testing, musíte klíč uložit do služby Azure Key Vault. Můžete použít existující trezor klíčů nebo vytvořit nový. Prostředek zátěžového testování a trezor klíčů můžou být v různých oblastech nebo předplatných ve stejném tenantovi.
Při použití šifrovacích klíčů spravovaných zákazníkem nezapomeňte nakonfigurovat následující nastavení trezoru klíčů.
Konfigurace nastavení sítě trezoru klíčů
Pokud jste omezili přístup k trezoru klíčů Azure bránou firewall nebo virtuálními sítěmi, musíte udělit přístup k azure Load Testing pro načtení klíčů spravovaných zákazníkem. Pomocí těchto kroků udělte přístup k důvěryhodným službám Azure.
Důležité
Načítání klíčů spravovaných zákazníkem z privátního trezoru klíčů Azure, který má omezení přístupu, se v současné době nepodporuje v oblasti US Gov Virginia .
Konfigurace obnovitelného odstranění a ochrany před vymazáním
Vlastnosti obnovitelného odstranění a vyprázdnění v trezoru klíčů musíte nastavit tak, aby používaly klíče spravované zákazníkem se službou Azure Load Testing. Obnovitelné odstranění je ve výchozím nastavení povolené při vytváření nového trezoru klíčů a nedá se zakázat. Ochranu před vyprázdněním můžete kdykoli povolit. Přečtěte si další informace o obnovitelném odstranění a ochraně před vymazáním ve službě Azure Key Vault.
Podle těchto kroků ověřte, jestli je povolené obnovitelné odstranění, a povolte ho v trezoru klíčů. Obnovitelné odstranění je ve výchozím nastavení možné při vytváření nového trezoru klíčů.
Ochranu před vymazáním můžete povolit při vytváření nového trezoru klíčů výběrem nastavení Povolit ochranu před vymazáním.
Pokud chcete u existujícího trezoru klíčů povolit ochranu před vymazáním, postupujte takto:
- Na webu Azure Portal přejděte ke svému trezoru klíčů.
- V části Nastavení zvolte Vlastnosti.
- V části Ochrana před vyprázdněním zvolte Povolit ochranu před vymazáním.
Přidání klíče spravovaného zákazníkem do služby Azure Key Vault
Dále přidejte klíč do trezoru klíčů. Šifrování zátěžového testování Azure podporuje klíče RSA. Další informace o podporovaných typech klíčů ve službě Azure Key Vault najdete v tématu Informace o klíčích.
Informace o přidání klíče pomocí webu Azure Portal najdete v tématu Nastavení a načtení klíče ze služby Azure Key Vault pomocí webu Azure Portal.
Přidání zásad přístupu do trezoru klíčů
Pokud používáte šifrovací klíče spravované zákazníkem, musíte zadat spravovanou identitu přiřazenou uživatelem. Spravovaná identita přiřazená uživatelem pro přístup ke klíčům spravovaným zákazníkem ve službě Azure Key Vault musí mít příslušná oprávnění pro přístup k trezoru klíčů.
Na webu Azure Portal přejděte do instance služby Azure Key Vault, kterou chcete použít k hostování šifrovacích klíčů.
V nabídce vlevo vyberte Zásady přístupu.
Vyberte + Přidat zásady přístupu.
V rozevírací nabídce Oprávnění ke klíči vyberte oprávnění Získat, Rozbalit klíč a Zalamovat klíč.
V části Vybrat objekt zabezpečení vyberte Možnost Žádný.
Vyhledejte spravovanou identitu přiřazenou uživatelem, kterou jste vytvořili dříve, a vyberte ji ze seznamu.
Zvolte Vybrat v dolní části.
Pokud chcete přidat novou zásadu přístupu, vyberte Přidat .
Výběrem možnosti Uložit v instanci trezoru klíčů uložte všechny změny.
Použití klíčů spravovaných zákazníkem se službou Azure Load Testing
Šifrovací klíče spravované zákazníkem můžete nakonfigurovat pouze při vytváření nového prostředku zátěžového testování Azure. Když zadáte podrobnosti o šifrovacím klíči, musíte také vybrat spravovanou identitu přiřazenou uživatelem a načíst klíč ze služby Azure Key Vault.
Pokud chcete nakonfigurovat klíče spravované zákazníkem pro nový prostředek zátěžového testování, postupujte takto:
Pomocí těchto kroků vytvořte prostředek zátěžového testování Azure na webu Azure Portal a vyplňte pole na kartě Základy .
Přejděte na kartu Šifrování a pak jako pole Typ šifrování vyberte klíče spravované zákazníkem (CMK).
Do pole Identifikátor URI klíče vložte identifikátor URI/klíč klíče služby Azure Key Vault včetně verze klíče.
V poli Identita přiřazená uživatelem vyberte existující spravovanou identitu přiřazenou uživatelem.
Vyberte Zkontrolovat a vytvořit , abyste ověřili a vytvořili nový prostředek.
Změna spravované identity pro načtení šifrovacího klíče
Spravovanou identitu pro klíče spravované zákazníkem pro existující prostředek zátěžového testování můžete kdykoli změnit.
Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.
Na stránce Nastavení vyberte Šifrování.
Typ šifrování zobrazuje typ šifrování, který se použil k vytvoření prostředku zátěžového testování.
Pokud je typ šifrování klíče spravovaný zákazníkem, vyberte typ identity, který se má použít k ověření v trezoru klíčů. Mezi možnosti patří systémově přiřazený (výchozí) nebo přiřazený uživatelem.
Další informace o jednotlivých typech spravované identity najdete v tématu Typy spravovaných identit.
- Pokud vyberete systémově přiřazenou spravovanou identitu, musí být u prostředku povolená spravovaná identita přiřazená systémem a před změnou identity klíčů spravovaných zákazníkem musí být udělen přístup ke službě AKV.
- Pokud vyberete Uživatelem přiřazenou, musíte vybrat existující identitu přiřazenou uživatelem, která má oprávnění pro přístup k trezoru klíčů. Informace o vytvoření identity přiřazené uživatelem najdete v tématu Použití spravovaných identit pro Azure Load Testing Preview.
Uložte provedené změny.
Důležité
Ujistěte se, že vybraná spravovaná identita má přístup ke službě Azure Key Vault.
Aktualizace šifrovacího klíče spravovaného zákazníkem
Klíč, který používáte pro šifrování služby Azure Load Testing, můžete kdykoli změnit. Pokud chcete změnit klíč pomocí webu Azure Portal, postupujte takto:
Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.
Na stránce Nastavení vyberte Šifrování. Typ šifrování zobrazuje šifrování vybrané pro prostředek při vytváření.
Pokud je vybraným typem šifrování klíče spravované zákazníkem, můžete upravit pole Identifikátor URI klíče pomocí nového identifikátoru URI klíče.
Uložte provedené změny.
Obměna šifrovacích klíčů
Klíč spravovaný zákazníkem můžete ve službě Azure Key Vault otočit podle zásad dodržování předpisů. Otočení klíče:
- Ve službě Azure Key Vault aktualizujte verzi klíče nebo vytvořte nový klíč.
- Aktualizujte šifrovací klíč spravovaný zákazníkem pro prostředek zátěžového testování.
Nejčastější dotazy
Účtují se za povolení klíčů spravovaných zákazníkem další poplatky?
Ne, za tuto funkci se neúčtují žádné poplatky.
Podporují se klíče spravované zákazníkem pro stávající prostředky zátěžového testování Azure?
Tato funkce je aktuálně dostupná jenom pro nové prostředky zátěžového testování Azure.
Jak zjistím, jestli jsou u prostředku zátěžového testování Azure povolené klíče spravované zákazníkem?
- Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.
- V levém navigačním panelu přejděte na položku Šifrování .
- U prostředku můžete ověřit typ šifrování.
Návody odvolat šifrovací klíč?
Klíč můžete odvolat zakázáním nejnovější verze klíče ve službě Azure Key Vault. Pokud chcete také odvolat všechny klíče z instance trezoru klíčů, můžete odstranit zásady přístupu udělené spravované identitě prostředku zátěžového testování.
Když odvoláte šifrovací klíč, možná budete moct spouštět testy přibližně 10 minut, po jejichž odstranění prostředku je jedinou dostupnou operací. Místo odvolání klíče se doporučuje klíč otočit a spravovat zabezpečení prostředků a uchovávat vaše data.
Související obsah
- Zjistěte, jak monitorovat metriky aplikací na straně serveru.
- Zjistěte, jak parametrizovat zátěžový test pomocí tajných kódů a proměnných prostředí.