Configuración de claves administradas por el cliente con el Módulo de seguridad de hardware administrado para el cifrado de volúmenes de Azure NetApp Files
El cifrado de volúmenes de Azure NetApp Files con claves administradas por el cliente con el Módulo de seguridad de hardware (HSM) administrado es una extensión de las claves administradas por el cliente para la característica de cifrado de volúmenes de Azure NetApp Files. Las claves administradas por el cliente con HSM le permiten almacenar sus claves de cifrado en un HSM FIPS 140-2 de nivel 3 más seguro en lugar del servicio FIPS 140-2 de nivel 1 o 2 que utiliza Azure Key Vault (AKV).
Requisitos
- Las claves administradas por el cliente con HSM administrado son compatibles usando la versión 2022.11 o posterior de la API.
- Las claves administradas por el cliente con HSM administrado solo son compatibles con las cuentas de Azure NetApp Files que no tengan cifrado existente.
- Antes de crear un volumen usando una clave administrada por el cliente con un volumen de HSM administrado, debe:
- haber creado una instancia de Azure Key Vault, que contenga al menos una clave.
- El almacén de claves debe tener la eliminación temporal y la protección contra purgas habilitadas.
- La clave debe ser de tipo RSA.
- haber creado una red VNet con una subred delegada a Microsoft.Netapp/volumes.
- tener una identidad asignada por el usuario o por el sistema para la cuenta de Azure NetApp Files.
- haber aprovisionado y activado un HSM administrado.
- haber creado una instancia de Azure Key Vault, que contenga al menos una clave.
Regiones admitidas
- Centro de Australia
- Centro de Australia 2
- Este de Australia
- Sudeste de Australia
- Sur de Brasil
- Sur de Brasil
- Centro de Canadá
- Este de Canadá
- Centro de la India
- Centro de EE. UU.
- Este de Asia
- Este de EE. UU.
- Este de EE. UU. 2
- Centro de Francia
- Norte de Alemania
- Centro-oeste de Alemania
- Centro de Israel
- Norte de Italia
- Japón Oriental
- Japón Occidental
- Centro de Corea del Sur
- Centro-Norte de EE. UU
- Norte de Europa
- Este de Noruega
- Oeste de Noruega
- Centro de Catar
- Norte de Sudáfrica
- Centro-sur de EE. UU.
- Sur de la India
- Sudeste de Asia
- Centro de España
- Centro de Suecia
- Norte de Suiza
- Oeste de Suiza
- Centro de Emiratos Árabes Unidos
- Norte de Emiratos Árabes Unidos
- Sur de Reino Unido
- Oeste de Europa
- Oeste de EE. UU.
- Oeste de EE. UU. 2
- Oeste de EE. UU. 3
Registrar la característica
Esta funcionalidad actualmente está en su versión preliminar. Antes de usar esta característica por primera vez, debe registrarla. Después del registro, la característica está habilitada y funciona en segundo plano. No se requiere ningún control de la interfaz de usuario.
Registre la característica:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryptionCompruebe el estado del registro de la característica:
Nota:
RegistrationState puede estar en el estado
Registeringhasta 60 minutos antes de cambiar aRegistered. Espere hasta que el estado sea Registrado antes de continuar.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
También puede usar los comandos de la CLI de Azure az feature register y az feature show para registrar la característica y mostrar el estado del registro.
Configuración de claves administradas por el cliente con HSM administrado para la identidad asignada por el sistema
Al configurar claves administradas por el cliente con una identidad asignada por el sistema, Azure configura automáticamente la cuenta de NetApp agregando una identidad asignada por el sistema. La directiva de acceso se crea en su instancia de Azure Key Vault con permisos de claves de Obtener, Cifrar y Descifrar.
Requisitos
Para usar una identidad asignada por el sistema, la instancia de Azure Key Vault debe configurarse para usar la directiva de acceso al almacén como modelo de permiso. De lo contrario, deberá usar una identidad administrada por el usuario.
Pasos
En Azure Portal, vaya a Azure NetApp Files y seleccione Cifrado.
En el menú Cifrado, proporcione los siguientes valores:
- Para Origen de clave de cifrado, seleccione Clave administrada por el cliente.
- Para URI de clave, seleccione URI de clave y después escriba el URI del HSM administrado.
- Seleccione la Suscripción de NetApp.
- Para Tipo de identidad, seleccione Asignada por el sistema.
Seleccione Guardar.
Configuración de claves administradas por el cliente con HSM administrado para la identidad asignada por el usuario
En Azure Portal, vaya a Azure NetApp Files y seleccione Cifrado.
En el menú Cifrado, proporcione los siguientes valores:
- Para Origen de clave de cifrado, seleccione Clave administrada por el cliente.
- Para URI de clave, seleccione URI de clave y después escriba el URI del HSM administrado.
- Seleccione la Suscripción de NetApp.
- Para Tipo de identidad, seleccione Asignada por el usuario.
Al seleccionar Asignada por el usuario, se abre un panel contextual para seleccionar la identidad.
- Si su instancia de Azure Key Vault está configurada para usar una directiva de acceso de almacén, Azure configura la cuenta de NetApp automáticamente y agrega la identidad administrada por el usuario a su cuenta de NetApp. La directiva de acceso se crea en su instancia de Azure Key Vault con permisos de claves de Obtener, Cifrar y Descifrar.
- Si su instancia de Azure Key Vault está configurada para utilizar el control de acceso basado en roles (RBAC) de Azure, asegúrese de que la identidad administrada por el usuario seleccionada tiene una asignación de roles en el almacén de claves con permisos para acciones de datos:
- "Microsoft.KeyVault/vaults/keys/read"
- "Microsoft.KeyVault/vaults/keys/encrypt/action"
- "Microsoft.KeyVault/vaults/keys/decrypt/action" La identidad administrada por el usuario que seleccione se agregará a su cuenta de NetApp. Debido a que RBAC es personalizable, Azure Portal no configura el acceso al almacén de claves. Para más información, consulte Uso de los permisos de secretos, claves y certificados de Azure RBAC con Key Vault
Seleccione Guardar.
