Sdílet prostřednictvím


Konfigurace klíčů spravovaných zákazníkem

Azure Data Explorer šifruje všechna neaktivní uložená data v účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete získat další kontrolu nad šifrovacími klíči, můžete zadat klíče spravované zákazníkem, které se použijí k šifrování dat.

Klíče spravované zákazníkem musí být uložené v Key Vault Azure. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete k vygenerování klíčů použít azure Key Vault API. Cluster Azure Data Explorer a trezor klíčů musí být ve stejné oblasti, ale můžou být v různých předplatných. Podrobné vysvětlení klíčů spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pomocí Azure Key Vault.

V tomto článku se dozvíte, jak nakonfigurovat klíče spravované zákazníkem.

Konfigurace Azure Key Vaultu

Pokud chcete nakonfigurovat klíče spravované zákazníkem v Azure Data Explorer, musíte v trezoru klíčů nastavit dvě vlastnosti: obnovitelné odstranění a nevyprázdnit. Tyto vlastnosti nejsou ve výchozím nastavení povolené. Pokud chcete tyto vlastnosti povolit, proveďte povolení obnovitelného odstranění a povolení ochrany před vymazáním v PowerShellu nebo Azure CLI v novém nebo existujícím trezoru klíčů. Podporují se pouze klíče RSA velikosti 2048. Další informace o klíčích najdete v tématu Key Vault klíčů.

Poznámka

Šifrování dat pomocí klíčů spravovaných zákazníkem se nepodporuje v clusterech vedoucích a sledujících.

Přiřazení spravované identity ke clusteru

Pokud chcete pro cluster povolit klíče spravované zákazníkem, nejprve clusteru přiřaďte spravovanou identitu přiřazenou systémem nebo uživatelem. Tuto spravovanou identitu použijete k udělení oprávnění clusteru pro přístup k trezoru klíčů. Informace o konfiguraci spravovaných identit najdete v tématu spravované identity.

Povolení šifrování s využitím klíčů spravovaných zákazníkem

Následující postup vysvětluje, jak povolit šifrování klíčů spravovaných zákazníkem pomocí Azure Portal. Ve výchozím nastavení používá šifrování Azure Data Explorer klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který se má ke clusteru přidružit.

  1. V Azure Portal přejděte k prostředku clusteru Azure Data Explorer.

  2. V levém podokně portálu vyberte Šifrování nastavení>.

  3. V podokně Šifrování vyberte Zapnuto pro nastavení Klíč spravovaný zákazníkem .

  4. Klikněte na Vybrat klíč.

    Konfigurace klíčů spravovaných zákazníkem

  5. V okně Vybrat klíč z Azure Key Vault vyberte z rozevíracího seznamu existující trezor klíčů. Pokud vyberete Vytvořit nový a vytvoříte nový Key Vault, budete přesměrováni na obrazovku Vytvořit Key Vault.

  6. Vyberte Klíč.

  7. Verze:

    • Pokud chcete zajistit, aby tento klíč vždy používal nejnovější verzi klíče, zaškrtněte políčko Vždy používat aktuální verzi klíče .
    • Jinak vyberte Verze.
  8. Klikněte na Vybrat.

    Vyberte klíč z Azure Key Vault.

  9. V části Typ identity vyberte Přiřazeno systémem nebo Přiřazeno uživatelem.

  10. Pokud vyberete Přiřazený uživatel, vyberte identitu přiřazenou uživatelem z rozevíracího seznamu.

    Vyberte typ spravované identity.

  11. V podokně Šifrování , které teď obsahuje váš klíč, vyberte Uložit. Po úspěšném vytvoření klíče CMK se v oznámeních zobrazí zpráva o úspěchu.

    Uložte klíč spravovaný zákazníkem.

Pokud při povolování klíčů spravovaných zákazníkem pro cluster Azure Data Explorer vyberete identitu přiřazenou systémem, vytvoříte identitu přiřazenou systémem pro cluster, pokud neexistuje. Kromě toho poskytnete clusteru Azure Data Explorer na vybraném Key Vault požadovaná oprávnění get, wrapKey a unwrapKey a získáte Key Vault vlastnosti.

Poznámka

Výběrem možnosti Vypnuto odeberete klíč spravovaný zákazníkem po jeho vytvoření.

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, budete muset cluster aktualizovat tak, aby používal novou verzi. Nejprve volejte a Get-AzKeyVaultKey získejte nejnovější verzi klíče. Pak aktualizujte vlastnosti trezoru klíčů clusteru tak, aby používaly novou verzi klíče, jak je znázorněno v tématu Povolení šifrování pomocí klíčů spravovaných zákazníkem.

Další kroky