Configuración de claves administradas por el cliente

Azure Data Explorer cifra todos los datos en una cuenta de almacenamiento en reposo. De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para un control adicional sobre las claves de cifrado, puede proporcionar claves administradas por el cliente para usarlas para el cifrado de datos.

Las claves administradas por el cliente se deben almacenar en una instancia de Azure Key Vault. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar una API de Azure Key Vault para generarlas. El clúster de Azure Data Explorer y el almacén de claves deben estar en la misma región, pero pueden estar en distintas suscripciones. Para obtener una explicación detallada sobre las claves administradas por el cliente, consulte Claves administradas por el cliente con Azure Key Vault

En este artículo se muestra cómo configurar las claves administradas por el cliente.

Para obtener ejemplos de código basados en versiones anteriores del SDK, consulte el artículo archivado.

Configuración de Azure Key Vault

Para configurar las claves administradas por el cliente con Azure Data Explorer, debe establecer dos propiedades en el almacén de claves: Eliminación temporal y No purgar. Estas propiedades no están habilitadas de forma predeterminada. Para habilitar estas propiedades, realice Enabling soft-delete (Habilitación de la eliminación temporal) y Enabling Purge Protection (Habilitación de la protección de purgas) en PowerShell o la CLI de Azure en un almacén de claves nuevo o existente. Solo se admiten claves RSA de tamaño de 2048. Para obtener más información sobre las claves, consulte Claves en Key Vault.

Nota

Para obtener información sobre las limitaciones del uso de claves administradas por el cliente en clústeres de líder y seguidor, consulte Limitaciones.

Asignación de una identidad administrada al clúster

Para habilitar claves administradas por el cliente para el clúster, primero asigne una identidad administrada asignada por el sistema o por el usuario al clúster. Usará esta identidad administrada para conceder los permisos del clúster para obtener acceso al almacén de claves. Para configurar identidades administradas, consulte Identidades administradas.

Habilitación del cifrado con claves administradas por el cliente

Portal

En los pasos siguientes se explica cómo habilitar el cifrado de claves administradas por el cliente mediante el Azure Portal. De forma predeterminada, el cifrado de Azure Data Explorer usa claves que administra Microsoft. Configure la cuenta de Azure Data Explorer para usar las claves administradas por el cliente y especifique la clave para la asociación al clúster.

1. En Azure Portal, vaya al recurso de clúster de Azure Data Explorer.

2. Seleccione Configuración>Cifrado en el panel izquierdo del portal.

3. En el panel Cifrado, seleccione Activar para la opción Clave administrada por el cliente.

4. Seleccione Seleccionar clave.

   

5. En la ventana Seleccione clave de Azure Key Vault, seleccione un almacén de claves existente en la lista desplegable. Si selecciona Crear nuevo para crear un nuevo almacén de claves, se le redirigirá a la pantalla Crear almacén de claves.

6. Seleccione Clave.

7. Versión:

   • Para asegurarse de que esta clave siempre usa la última versión de la clave, active la casilla Always use current key version (Usar siempre la versión actual de la clave).
   • En caso contrario, seleccione la versión.

8. Elija Seleccionar.

   

9. En Tipo de identidad, seleccione Asignada por el sistema o Asignada por el usuario.

10. Si selecciona Asignada por el usuario, seleccione una identidad asignada por el usuario en la lista desplegable.

    

11. En el panel Cifrado que ahora contiene la clave, seleccione Guardar. Cuando se complete la creación de CMK, se mostrará un mensaje que lo indique en Notificaciones.

    

Si selecciona identidades asignadas por el sistema, al habilitar las claves administradas por el cliente para el clúster de Azure Data Explorer, creará una identidad asignada por el sistema para el clúster, si no existe ninguna. Además, proporcionará los permisos get, wrapKey y unwrapKey necesarios para el clúster de Azure Data Explorer en la instancia de Key Vault seleccionada y obtendrá las propiedades de Key Vault.

Nota

Seleccione Desactivar para quitar la clave administrada por el cliente después de crearla.

C#

En las secciones siguientes se explica cómo configurar el cifrado de claves administradas por el cliente mediante el cliente de C# de Azure Data Explorer.

Instalar paquetes

• Instale el paquete NuGet de Azure Data Explorer (Kusto).
• Instale el paquete NuGet Azure.Identity para la autenticación con Microsoft Entra id.

Autenticación

Para ejecutar los ejemplos de este artículo, cree una aplicación Microsoft Entra y una entidad de servicio que puedan acceder a los recursos. Puede agregar una asignación de roles en el ámbito de la suscripción y obtener los objetos Microsoft Entra Directory (tenant) ID, Application ID y Application Secretnecesarios.

En el fragmento de código siguiente se muestra cómo usar la Biblioteca de autenticación de Microsoft (MSAL) para adquirir un token de aplicación de Microsoft Entra para acceder al clúster. Para que el flujo se realice correctamente, la aplicación debe registrarse con Microsoft Entra id. y debe tener las credenciales para la autenticación de la aplicación, como una clave de aplicación emitida por el identificador de Microsoft Entra o un certificado X.509v2 registrado Microsoft Entra.

Configuración de claves administradas por el cliente

De forma predeterminada, el cifrado de Azure Data Explorer usa claves que administra Microsoft. Configure la cuenta de Azure Data Explorer para usar las claves administradas por el cliente y especifique la clave para la asociación al clúster.

1. Actualice el clúster mediante el siguiente código:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. Ejecute el siguiente comando para comprobar si el clúster se actualizó correctamente:

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, significa que el clúster se ha actualizado correctamente.

CLI de Azure

En los pasos siguientes se explica cómo habilitar el cifrado de claves administradas por el cliente mediante el cliente de la CLI de Azure. De forma predeterminada, el cifrado de Azure Data Explorer usa claves que administra Microsoft. Configure la cuenta de Azure Data Explorer para usar las claves administradas por el cliente y especifique la clave para la asociación al clúster.

1. Ejecute el siguiente comandos para iniciar sesión en Azure:

   az login
   

2. Establezca la suscripción en el que está registrado el clúster. Reemplace MyAzureSub por el nombre de la suscripción de Azure que quiere usar.

   az account set --subscription MyAzureSub
   

3. Ejecute el siguiente comando para establecer la nueva clave con la identidad asignada por el sistema del clúster.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Como alternativa, establezca la nueva clave con una identidad asignada por el usuario.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Ejecute el siguiente comando y compruebe la propiedad "keyVaultProperties" para comprobar que el clúster se ha actualizado correctamente.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

PowerShell

En los pasos siguientes se explica cómo habilitar el cifrado de claves administradas por el cliente mediante PowerShell. De forma predeterminada, el cifrado de Azure Data Explorer usa claves que administra Microsoft. Configure la cuenta de Azure Data Explorer para usar las claves administradas por el cliente y especifique la clave para la asociación al clúster.

1. Ejecute el siguiente comandos para iniciar sesión en Azure:

   Connect-AzAccount
   

2. Establezca la suscripción en el que está registrado el clúster.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Ejecute el siguiente comando para establecer la nueva clave mediante una identidad asignada por el sistema.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Como alternativa, establezca la nueva clave mediante una identidad asignada por el usuario.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Ejecute el siguiente comando y compruebe las propiedades "KeyVaultProperty..." para comprobar que el clúster se ha actualizado correctamente.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

Plantilla ARM

En los pasos siguientes se explica cómo configurar claves administradas por el cliente mediante plantillas de Azure Resource Manager. De forma predeterminada, el cifrado de Azure Data Explorer usa claves que administra Microsoft. En este paso, configure la cuenta de Azure Data Explorer para usar las claves administradas por el cliente y especifique la clave para la asociación al clúster.

Si desea usar una identidad asignada por el sistema para acceder al almacén de claves, deje userIdentity vacío. De lo contrario, establezca el identificador de recurso de la identidad.

Puede implementar la plantilla de Azure Resource Manager mediante Azure Portal o PowerShell.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

Actualización de la versión de la clave

Al crear una nueva versión de una clave, tendrá que actualizar el clúster para que utilice la versión nueva. En primer lugar, llame a Get-AzKeyVaultKey para obtener la versión más reciente de la clave. A continuación, actualice las propiedades del almacén de claves del clúster para usar la nueva versión de la clave, como se muestra en Habilitación del cifrado con claves administradas por el cliente.

Contenido relacionado

• Protección de clústeres de Azure Data Explorer en Azure
• Configuración de identidades administradas para el clúster de Azure Data Explorer
• Protección del clúster mediante Disk Encryption en Azure Data Explorer