Door klant beheerde sleutels configureren

Azure Data Explorer versleutelt alle gegevens in een opslagaccount at rest. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor gebruik voor gegevensversleuteling.

Door de klant beheerde sleutels moeten worden opgeslagen in een Azure-Key Vault. U kunt uw eigen sleutels maken en opslaan in een sleutelkluis, of u kunt een Azure Key Vault-API gebruiken om sleutels te genereren. Het Azure Data Explorer-cluster en de sleutelkluis moeten zich in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie door de klant beheerde sleutels met Azure Key Vault voor een gedetailleerde uitleg over door de klant beheerde sleutels.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels configureert.

Zie het gearchiveerde artikel voor codevoorbeelden op basis van eerdere SDK-versies.

Azure Key Vault configureren

Als u door de klant beheerde sleutels wilt configureren met Azure Data Explorer, moet u twee eigenschappen instellen voor de sleutelkluis: Voorlopig verwijderen en Niet opschonen. Deze eigenschappen zijn niet standaard ingeschakeld. Als u deze eigenschappen wilt inschakelen, voert u Voorlopig verwijderen inschakelen en Beveiliging tegen opschonen in PowerShell of Azure CLI in op een nieuwe of bestaande sleutelkluis. Alleen RSA-sleutels van grootte 2048 worden ondersteund. Zie Key Vault sleutels voor meer informatie over sleutels.

Notitie

Zie Beperkingen voor meer informatie over de beperkingen van het gebruik van door de klant beheerde sleutels op leader- en volgerclusters.

Een beheerde identiteit toewijzen aan het cluster

Als u door de klant beheerde sleutels voor uw cluster wilt inschakelen, wijst u eerst een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit toe aan het cluster. U gebruikt deze beheerde identiteit om het cluster machtigingen te verlenen voor toegang tot de sleutelkluis. Zie Beheerde identiteiten als u beheerde identiteiten wilt configureren.

Versleuteling inschakelen met door de klant beheerde sleutels

Portal

In de volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van de Azure Portal. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Ga in de Azure Portal naar uw Azure Data Explorer-clusterresource.

2. Selecteer Instellingen>Versleuteling in het linkerdeelvenster van de portal.

3. Selecteer in het deelvenster Versleuteling de optie Aan voor de instelling Door de klant beheerde sleutel .

4. Selecteer Sleutel selecteren.

   

5. Selecteer in het venster Sleutel selecteren in Azure Key Vault een bestaande sleutelkluis in de vervolgkeuzelijst. Als u Nieuwe maken selecteert om een nieuwe Key Vault te maken, wordt u doorgestuurd naar het scherm Key Vault maken.

6. Selecteer Sleutel.

7. Versie:

   • Schakel het selectievakje Altijd huidige sleutelversie gebruiken in om ervoor te zorgen dat deze sleutel altijd de nieuwste sleutelversie gebruikt.
   • Selecteer anders Versie.

8. Kies Selecteren.

   

9. Selecteer onder Identiteitstypede optie Door het systeem toegewezen of Door de gebruiker toegewezen.

10. Als u Door gebruiker toegewezen selecteert, kiest u een door de gebruiker toegewezen identiteit in de vervolgkeuzelijst.

    

11. Selecteer opslaan in het deelvenster Versleuteling dat nu uw sleutel bevat. Wanneer het maken van de CMK is voltooid, ziet u een bericht dat is geslaagd in Meldingen.

    

Als u door het systeem toegewezen identiteit selecteert bij het inschakelen van door de klant beheerde sleutels voor uw Azure Data Explorer-cluster, maakt u een door het systeem toegewezen identiteit voor het cluster als deze niet bestaat. Daarnaast geeft u de vereiste get-, wrapKey- en unwrapKey-machtigingen op voor uw Azure Data Explorer-cluster op de geselecteerde Key Vault en krijgt u de Key Vault eigenschappen.

Notitie

Selecteer Uit om de door de klant beheerde sleutel te verwijderen nadat deze is gemaakt.

C#

In de volgende secties wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels configureert met behulp van de Azure Data Explorer C#-client.

Pakketten installeren

• Installeer het Azure Data Explorer (Kusto) NuGet-pakket.
• Installeer het NuGet-pakket Azure.Identity voor verificatie met Microsoft Entra-id.

Verificatie

Als u de voorbeelden in dit artikel wilt uitvoeren, maakt u een Microsoft Entra toepassing en service-principal die toegang hebben tot resources. U kunt roltoewijzing toevoegen aan het abonnementsbereik en de vereiste Microsoft Entra Directory (tenant) ID, Application IDen Application Secretophalen.

Het volgende codefragment laat zien hoe u de Microsoft Authentication Library (MSAL) gebruikt om een Microsoft Entra toepassingstoken te verkrijgen voor toegang tot uw cluster. Om de stroom te laten slagen, moet de toepassing zijn geregistreerd met Microsoft Entra-id en moet u over de referenties voor toepassingsverificatie beschikken, zoals een door een Microsoft Entra id uitgegeven toepassingssleutel of een Microsoft Entra geregistreerd X.509v2-certificaat.

Door de klant beheerde sleutels configureren

Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Werk uw cluster bij met behulp van de volgende code:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. Voer de volgende opdracht uit om te controleren of uw cluster is bijgewerkt:

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   Als het resultaat met de Succeeded waarde bevatProvisioningState, is uw cluster bijgewerkt.

Azure-CLI

In de volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van de Azure CLI-client. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Voer de volgende opdracht uit om u aan te melden bij Azure:

   az login
   

2. Stel het abonnement in waar uw cluster is geregistreerd. Vervang MyAzureSub door de naam van het Azure-abonnement dat u wilt gebruiken.

   az account set --subscription MyAzureSub
   

3. Voer de volgende opdracht uit om de nieuwe sleutel in te stellen met de door het systeem toegewezen identiteit van het cluster

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   U kunt de nieuwe sleutel ook instellen met een door de gebruiker toegewezen identiteit.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Voer de volgende opdracht uit en controleer de eigenschap 'keyVaultProperties' om te controleren of het cluster is bijgewerkt.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

PowerShell

In de volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van PowerShell. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

1. Voer de volgende opdracht uit om u aan te melden bij Azure:

   Connect-AzAccount
   

2. Stel het abonnement in waar uw cluster is geregistreerd.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Voer de volgende opdracht uit om de nieuwe sleutel in te stellen met behulp van een door het systeem toegewezen identiteit.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   U kunt ook de nieuwe sleutel instellen met behulp van een door de gebruiker toegewezen identiteit.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Voer de volgende opdracht uit en controleer de 'KeyVaultProperty...' eigenschappen om te controleren of het cluster is bijgewerkt.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

ARM-sjabloon

In de volgende stappen wordt uitgelegd hoe u door de klant beheerde sleutels configureert met behulp van Azure Resource Manager-sjablonen. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. In deze stap configureert u uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geeft u de sleutel op die aan het cluster moet worden gekoppeld.

Als u een door het systeem toegewezen identiteit wilt gebruiken voor toegang tot de sleutelkluis, laat u userIdentity leeg. Stel anders de resource-id van de identiteit in.

U kunt de Azure Resource Manager-sjabloon implementeren met behulp van de Azure Portal of met behulp van PowerShell.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

De sleutelversie bijwerken

Wanneer u een nieuwe versie van een sleutel maakt, moet u het cluster bijwerken om de nieuwe versie te gebruiken. Roep Get-AzKeyVaultKey eerst aan om de nieuwste versie van de sleutel op te halen. Werk vervolgens de sleutelkluiseigenschappen van het cluster bij om de nieuwe versie van de sleutel te gebruiken, zoals wordt weergegeven in Versleuteling inschakelen met door de klant beheerde sleutels.

Gerelateerde inhoud

• Azure Data Explorer-clusters beveiligen in Azure
• Beheerde identiteiten configureren voor uw Azure Data Explorer-cluster
• Uw cluster beveiligen met schijfversleuteling in Azure Data Explorer