Door de klant beheerde sleutels configureren voor een elastisch Azure SAN

Alle gegevens die naar een elastisch SAN-volume worden geschreven, worden automatisch versleuteld in rust met een DEK (Data Encryption Key). Azure gebruikt envelopversleuteling om de DEK te versleutelen met behulp van een KEK (Key Encryption Key). De KEK wordt standaard door het platform beheerd (beheerd door Microsoft), maar u kunt uw eigen maken en beheren.

In dit artikel wordt beschreven hoe u versleuteling van een elastische SAN-volumegroep configureert met door de klant beheerde sleutels die zijn opgeslagen in een Azure Key Vault.

Beperkingen

De volgende lijst bevat de regio's waarin Elastic SAN momenteel beschikbaar is en in welke regio's zowel zone-redundante opslag (ZRS) als lokaal redundante opslag (LRS) of alleen LRS ondersteunen:

• Australië - oost - LRS
• Brazilië - zuid - LRS
• Canada - centraal - LRS
• VS - centraal - LRS
• Azië - oost - LRS
• VS - oost - LRS
• VS - oost 2 - LRS
• Frankrijk - centraal - LRS & ZRS
• Duitsland - west-centraal - LRS
• India - centraal - LRS
• Japan - oost - LRS
• Korea - centraal - LRS
• Europa - noord - LRS & ZRS
• Noorwegen - oost - LRS
• Zuid-Afrika - Noord - LRS
• VS - zuid-centraal - LRS
• Azië - zuidoost - LRS
• Zweden - centraal - LRS
• Zwitserland - noord - LRS
• UAE - noord - LRS
• VK - zuid - LRS
• Europa - west - LRS & ZRS
• VS - west 2 - LRS & ZRS
• VS - west 3 - LRS

Elastisch SAN is ook beschikbaar in de volgende regio's, maar zonder ondersteuning voor beschikbaarheidszones:

• Canada - oost - LRS
• Japan West - LRS
• VS - noord-centraal - LRS

Als u deze regio's wilt inschakelen, voert u de volgende opdracht uit om de benodigde functievlag te registreren:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Vereisten

Als u de bewerkingen wilt uitvoeren die in dit artikel worden beschreven, moet u uw Azure-account en de beheerhulpprogramma's voorbereiden die u wilt gebruiken. Voorbereiding omvat het installeren van de benodigde modules, het aanmelden bij uw account en het instellen van variabelen voor PowerShell en de Azure CLI. In dit artikel worden dezelfde set variabelen gebruikt, dus als u deze instelt, kunt u in alle voorbeelden dezelfde variabelen gebruiken.

PowerShell

Ga als volgt te werk om de bewerkingen uit te voeren die in dit artikel worden beschreven met behulp van PowerShell:

1. Installeer de meest recente versie van Azure PowerShell als u dat nog niet hebt gedaan.

2. Nadat Azure PowerShell is geïnstalleerd, installeert u versie 0.1.2 of hoger van de Elastic SAN-extensie met Install-Module -Name Az.ElasticSan -Repository PSGallery.

3. Meld u aan bij Azure.

   Connect-AzAccount
   

Variabelen maken die moeten worden gebruikt in de PowerShell-voorbeelden in dit artikel

Kopieer de voorbeeldcode en vervang alle tijdelijke tekst door uw eigen waarden. Gebruik dezelfde variabelen in alle voorbeelden in dit artikel:

# Define some variables
# The name of the resource group where the resources will be deployed.
$RgName          = "ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
$EsanName        = "ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
$EsanVgName      = "ElasticSanVolumeGroupName"

# The region where the new resources will be created.
$Location        = "Location"

# The name of the Azure Key Vault that will contain the KEK.
$KvName          = "KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
$KeyName         = "KeyName"

# The name of the user-assigned managed identity, if applicable.
$ManagedUserName = "ManagedUserName"

Azure-CLI

De Azure CLI gebruiken om Elastische SAN-versleuteling te configureren:

1. Installeer de nieuwste versie.
2. Installeer versie 1.0.0b2 of hoger van de Azure Elastic SAN CLI-extensie.
   1. Als u de extensie niet hebt geïnstalleerd, gebruikt az extension add -n elastic-san u deze om de extensie voor Elastic SAN te installeren.
   2. (Optioneel) als u de extensie al hebt geïnstalleerd, voert u uit az extension update -n elastic-san om de meest recente te installeren.

Variabelen maken die moeten worden gebruikt in de CLI-voorbeelden in dit artikel

Kopieer de voorbeeldcode en vervang alle tijdelijke tekst door uw eigen waarden. Gebruik dezelfde variabelen in alle voorbeelden in dit artikel:

# The name of the resource group where the resources will be deployed.
RgName="ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
EsanName="ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
EsanVgName="ElasticSanVolumeGroupName"

# The name of the Elastic SAN volume to be created
volume_name="ElasticSanVolumeName"

# The region where the new resources will be created.
Location="Location"

# The name of the Azure Key Vault that will contain the KEK.
KvName="KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
KeyName="KeyName"

# The name of the user-assigned managed identity, if applicable.
ManagedUserName="ManagedUserName"

De sleutelkluis configureren

U kunt een nieuwe of bestaande sleutelkluis gebruiken om door de klant beheerde sleutels op te slaan. De versleutelde resource en de sleutelkluis kunnen zich in verschillende regio's of abonnementen in dezelfde Microsoft Entra ID-tenant bevinden. Zie Overzicht van Azure Key Vault en wat is Azure Key Vault? voor meer informatie over Azure Key Vault.

Voor het gebruik van door de klant beheerde sleutels met versleuteling is vereist dat zowel voorlopig verwijderen als opschonen zijn ingeschakeld voor de sleutelkluis. Voorlopig verwijderen is standaard ingeschakeld wanneer u een nieuwe sleutelkluis maakt en niet kan worden uitgeschakeld. U kunt beveiliging tegen opschonen inschakelen wanneer u de sleutelkluis maakt of nadat deze is gemaakt. Azure Elastic SAN-versleuteling ondersteunt RSA-sleutels van grootte 2048, 3072 en 4096.

Azure Key Vault ondersteunt autorisatie met Azure RBAC via een Azure RBAC-machtigingsmodel. Microsoft raadt aan het Azure RBAC-machtigingsmodel te gebruiken via toegangsbeleid voor key vault. Zie Machtigingen verlenen aan toepassingen voor toegang tot een Azure-sleutelkluis met behulp van Azure RBAC voor meer informatie.

Er zijn twee stappen betrokken bij het voorbereiden van een sleutelkluis als een archief voor uw volumegroep-KEK's:

• Maak een nieuwe sleutelkluis waarvoor voorlopig verwijderen en opschonen is ingeschakeld, of schakel beveiliging tegen opschonen in voor een bestaande sleutelkluis.
• Maak of wijs een Azure RBAC-rol toe waarvoor de back-up is gemaakt, de importbewerkingsmachtigingen voor het bijwerken van de lijst ophalen.

PowerShell

Het volgende voorbeeld:

• Hiermee maakt u een nieuwe sleutelkluis waarvoor voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld.
• Hiermee haalt u de UPN van uw gebruikersaccount op.
• Wijst de sleutelkluis crypto officer-rol voor de nieuwe sleutelkluis toe aan uw account.

Gebruik dezelfde variabelen die u eerder in dit artikel hebt gedefinieerd.

# Setup the parameters to create the key vault.
$NewKvArguments = @{
    Name                    = $KvName
    ResourceGroupName       = $RgName
    Location                = $Location
    EnablePurgeProtection   = $true
    EnableRbacAuthorization = $true
}

# Create the key vault.
$KeyVault = New-AzKeyVault @NewKvArguments

# Get the UPN of the currently loggged in user.
$MyAccountUpn = (Get-AzADUser -SignedIn).UserPrincipalName

# Setup the parameters to create the role assignment.
$CrptoOfficerRoleArguments = @{
    SignInName         = $MyAccountUpn
    RoleDefinitionName = "Key Vault Crypto Officer"
    Scope              = $KeyVault.ResourceId
}

# Assign the Cypto Officer role to your account for the key vault.
New-AzRoleAssignment @CrptoOfficerRoleArguments

Zie het overzicht van herstel van Azure Key Vault voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met PowerShell.

Zie Azure-rollen toewijzen met behulp van Azure PowerShell voor meer informatie over het toewijzen van een RBAC-rol met PowerShell.

Azure-CLI

Als u een nieuwe sleutelkluis wilt maken met behulp van Azure CLI, roept u az keyvault create aan. In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt waarvoor voorlopig verwijderen en beveiliging tegen opschonen is ingeschakeld. Het machtigingsmodel van de sleutelkluis is ingesteld op het gebruik van Azure RBAC. Vergeet niet om de tijdelijke aanduidingen tussen vierkante haken te vervangen door uw eigen waarden.

az keyvault create --name $KvName --resource-group $RgName --location $Location --enable-purge-protection --retention-days 7

Zie het overzicht van herstel van Azure Key Vault voor meer informatie over het inschakelen van beveiliging tegen opschonen van een bestaande sleutelkluis met Azure CLI.

Een sleutel toevoegen

Voeg vervolgens een sleutel toe aan de sleutelkluis. Voordat u de sleutel toevoegt, moet u ervoor zorgen dat u de rol Key Vault Crypto Officer aan uzelf hebt toegewezen.

Azure Storage en Elastic SAN-versleuteling ondersteunen RSA-sleutels van grootte 2048, 3072 en 4096. Zie Over sleutels voor meer informatie over ondersteunde sleuteltypen.

PowerShell

Gebruik deze voorbeeldopdrachten om een sleutel toe te voegen aan de sleutelkluis met PowerShell. Gebruik dezelfde variabelen die u eerder in dit artikel hebt gedefinieerd.

# Get the key vault where the key is to be added.
$KeyVault = Get-AzKeyVault -ResourceGroupName $RgName -VaultName $KvName

# Setup the parameters to add the key to the vault.
$NewKeyArguments = @{
    Name        = $KeyName
    VaultName   = $KeyVault.VaultName
    Destination = "Software"
}

# Add the key to the vault.
$Key = Add-AzKeyVaultKey @NewKeyArguments

Azure-CLI

Als u een sleutel wilt toevoegen met Azure CLI, roept u az keyvault key create aan. U kunt ook een beleid voor uw sleutelkluis instellen om specifieke gebruikers rechtstreeks machtigingen te geven. Vervang youremail@here.com vervolgens het volgende voorbeeld en dezelfde variabelen die u eerder in dit artikel hebt gemaakt:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)

az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

Een strategie voor sleutelrotatie kiezen

Het volgen van cryptografische aanbevolen procedures betekent dat u de sleutel die uw elastische SAN-volumegroep beveiligt, regelmatig roteert, meestal ten minste om de twee jaar. Azure Elastic SAN wijzigt de sleutel nooit in de sleutelkluis, maar u kunt een sleutelrotatiebeleid configureren om de sleutel te roteren op basis van uw nalevingsvereisten. Zie Automatische rotatie van cryptografische sleutels configureren in Azure Key Vault voor meer informatie.

Nadat de sleutel in de sleutelkluis is geroteerd, moet de versleutelingsconfiguratie voor uw elastische SAN-volumegroep worden bijgewerkt om de nieuwe sleutelversie te kunnen gebruiken. Door de klant beheerde sleutels ondersteunen zowel het automatisch als handmatig bijwerken van de KEK-versie. Bepaal welke benadering u wilt gebruiken voordat u door de klant beheerde sleutels configureert voor een nieuwe of bestaande volumegroep.

Zie De sleutelversie bijwerken voor meer informatie over sleutelrotatie.

Belangrijk

Wanneer u de sleutel of de sleutelversie wijzigt, wordt de beveiliging van de versleutelingssleutel voor hoofdgegevens gewijzigd, maar blijven de gegevens in uw Elastische SAN-volumegroep van Azure altijd versleuteld. Er zijn geen aanvullende acties van uw kant vereist om ervoor te zorgen dat uw gegevens worden beschermd. Het roteren van de sleutelversie heeft geen invloed op de prestaties en er is geen downtime aan gekoppeld.

Automatische rotatie van sleutelversies

Azure Elastic SAN kan automatisch de door de klant beheerde sleutel bijwerken die wordt gebruikt voor versleuteling om de meest recente sleutelversie uit de sleutelkluis te gebruiken. Elastisch SAN controleert de sleutelkluis dagelijks op een nieuwe versie van de sleutel. Wanneer er een nieuwe versie beschikbaar komt, wordt automatisch de nieuwste versie van de sleutel voor versleuteling gebruikt. Wanneer u een sleutel draait, wacht u 24 uur voordat u de oudere versie uitschakelt.

Belangrijk

Als de elastische SAN-volumegroep is geconfigureerd voor het handmatig bijwerken van de sleutelversie en u deze wilt wijzigen om automatisch bij te werken, wijzigt u de sleutelversie in een lege tekenreeks. Zie De sleutelversie automatisch bijwerken voor meer informatie over het handmatig wijzigen van de sleutelversie.

Handmatige draaiing van sleutelversie

Als u de sleutelversie liever handmatig bijwerkt, geeft u de URI op voor een specifieke versie op het moment dat u versleuteling configureert met door de klant beheerde sleutels. Wanneer u de URI opgeeft, wordt de sleutelversie van uw elastische SAN niet automatisch bijgewerkt wanneer er een nieuwe versie wordt gemaakt in de sleutelkluis. Als u een nieuwe sleutelversie wilt gebruiken voor uw elastische SAN, moet u deze handmatig bijwerken.

De URI voor een specifieke versie van een sleutel zoeken in Azure Portal:

1. Navigeer naar uw sleutelkluis.
2. Onder Objecten selecteert u Sleutels.
3. Selecteer de gewenste sleutel om de versies ervan weer te geven.
4. Selecteer een sleutelversie om de instellingen voor die versie weer te geven.
5. Kopieer de waarde van het veld Sleutel-id , die de URI levert.
6. Sla de gekopieerde tekst op die u later wilt gebruiken bij het configureren van versleuteling voor uw volumegroep.

Een beheerde identiteit kiezen om toegang tot de sleutelkluis te autoriseren

Wanneer u door de klant beheerde versleutelingssleutels inschakelt voor een elastische SAN-volumegroep, moet u een beheerde identiteit opgeven die wordt gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. De beheerde identiteit moet de volgende machtigingen hebben:

• Toevoegen
• wrapkey
• uitpakkensleutel

De beheerde identiteit die toegang heeft tot de sleutelkluis, kan een door de gebruiker toegewezen of door het systeem toegewezen beheerde identiteit zijn. Zie Beheerde identiteitstypen voor meer informatie over door het systeem toegewezen versus door de gebruiker toegewezen beheerde identiteiten.

Wanneer een volumegroep wordt gemaakt, wordt er automatisch een door het systeem toegewezen identiteit gemaakt. Als u een door de gebruiker toegewezen identiteit wilt gebruiken, maakt u deze voordat u door de klant beheerde versleutelingssleutels voor uw volumegroep configureert. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteiten.

Een door de gebruiker toegewezen beheerde identiteit gebruiken om toegang te autoriseren

Wanneer u door de klant beheerde sleutels inschakelt voor een nieuwe volumegroep, moet u een door de gebruiker toegewezen beheerde identiteit opgeven. Een bestaande volumegroep ondersteunt het gebruik van een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit om door de klant beheerde sleutels te configureren.

Wanneer u door de klant beheerde sleutels configureert met een door de gebruiker toegewezen beheerde identiteit, wordt de door de gebruiker toegewezen beheerde identiteit gebruikt om toegang te verlenen tot de sleutelkluis die de sleutel bevat. U moet de door de gebruiker toegewezen identiteit maken voordat u door de klant beheerde sleutels configureert.

Een door de gebruiker toegewezen beheerde identiteit is een zelfstandige Azure-resource. Zie Beheerde identiteitstypen voor meer informatie over door de gebruiker toegewezen beheerde identiteiten. Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor meer informatie over het maken en beheren van een door de gebruiker toegewezen beheerde identiteiten.

De door de gebruiker toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. U kunt handmatig machtigingen verlenen aan de identiteit of een ingebouwde rol toewijzen met sleutelkluisbereik om deze machtigingen te verlenen.

PowerShell

In het volgende voorbeeld ziet u hoe u:

• Maak een nieuwe door de gebruiker toegewezen beheerde identiteit.
• Wacht totdat de door de gebruiker toegewezen identiteit is voltooid.
• Haal de PrincipalId nieuwe identiteit op.
• Wijs een RBAC-rol toe aan de nieuwe identiteit, binnen het bereik van de sleutelkluis.

Gebruik dezelfde variabelen die u eerder in dit artikel hebt gedefinieerd.

# Create a new user-assigned managed identity.
$UserIdentity = New-AzUserAssignedIdentity -ResourceGroupName $RgName -Name $ManagedUserName -Location $Location

Tip

Wacht ongeveer 1 minuut totdat het maken van de door de gebruiker toegewezen identiteit is voltooid voordat u doorgaat.

# Get the `PrincipalId` for the new identity.
$PrincipalId = $UserIdentity.PrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role to the managed identity so it can access the key in the vault.
New-AzRoleAssignment @CryptoUserRoleArguments

Azure-CLI

In het volgende voorbeeld ziet u hoe u:

• Maak een nieuwe door de gebruiker toegewezen beheerde identiteit.
• Wacht totdat de door de gebruiker toegewezen identiteit is voltooid.
• Haal de PrincipalId nieuwe identiteit op.
• Stel een beleid in voor uw sleutelkluis, zodat u toegang hebt tot uw identiteit.

Gebruik dezelfde variabelen die u eerder in dit artikel hebt gedefinieerd.

### Create a user assigned identity and grant it the access to the key vault
uai=$(az identity create -g $RgName -n $ManagedUserName -o tsv --query id)

#### Get the properties
uai_principal_id=$(az identity show --ids $uai --query principalId -o tsv)
uai_id=$(az identity show --ids $uai --query id -o tsv)
uai_client_id=$(az identity show --ids $uai --query clientId -o tsv)

#### create a keyvault and get the vault url
az keyvault create --name $KvName --resource-group $RgName --location eastus2 --enable-purge-protection --retention-days 7
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --protocol-type Iscsi --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"
az elastic-san volume create -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2

Een door het systeem toegewezen beheerde identiteit gebruiken om toegang te autoriseren

Een door het systeem toegewezen beheerde identiteit is gekoppeld aan een exemplaar van een Azure-service, zoals een elastische SAN-volumegroep van Azure.

De door het systeem toegewezen beheerde identiteit moet machtigingen hebben voor toegang tot de sleutel in de sleutelkluis. In dit artikel wordt de gebruikersrol Crypto Vault Crypto Service Encryption gebruikt voor de door het systeem toegewezen beheerde identiteit met sleutelkluisbereik om deze machtigingen te verlenen.

Wanneer een volumegroep wordt gemaakt, wordt er automatisch een door het systeem toegewezen identiteit gemaakt als de -IdentityType "SystemAssigned" parameter wordt opgegeven met de New-AzElasticSanVolumeGroup opdracht. De door het systeem toegewezen identiteit is pas beschikbaar nadat de volumegroep is gemaakt. U moet ook een geschikte rol, zoals de sleutelkluis cryptoserviceversleutelingsgebruikersrol , toewijzen aan de identiteit voordat deze toegang heeft tot de versleutelingssleutel in de sleutelkluis. U kunt dus geen door de klant beheerde sleutels configureren voor het gebruik van een door het systeem toegewezen identiteit tijdens het maken van een volumegroep. Wanneer u een nieuwe volumegroep maakt met door de klant beheerde sleutels, moet u een door de gebruiker toegewezen identiteit gebruiken wanneer u de volumegroep maakt, kunt u een door het systeem toegewezen identiteit configureren nadat deze is gemaakt.

PowerShell

Gebruik deze voorbeeldcode om de vereiste RBAC-rol toe te wijzen aan de door het systeem toegewezen beheerde identiteit, binnen het bereik van de sleutelkluis. Gebruik dezelfde variabelen die u eerder in dit artikel hebt gedefinieerd.

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

Azure-CLI

Als u de toegang tot de sleutelkluis wilt verifiëren met een door het systeem toegewezen beheerde identiteit, wijst u eerst de door het systeem toegewezen beheerde identiteit toe aan de volumegroep door aan te roepen az elastic-san volume-group update. Gebruik het volgende voorbeeld en dezelfde variabelen die u eerder in dit artikel hebt gemaakt:

az elastic-san volume-group update \
    --name $EsanVgName \
    --resource-group $RgName \
    --identity

Wijs vervolgens toe aan de door het systeem toegewezen beheerde identiteit de vereiste RBAC-rol, die is gericht op de sleutelkluis. Gebruik het volgende voorbeeld en dezelfde variabelen die u eerder in dit artikel hebt gemaakt:

PrincipalId=$(az elastic-san volume-group show --name $EsanVgName \
    --resource-group $RgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $PrincipalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $vault_uri

Door de klant beheerde sleutels configureren voor een volumegroep

Selecteer de Azure PowerShell-module of het tabblad Azure CLI voor instructies over het configureren van door de klant beheerde versleutelingssleutels met behulp van het beheerhulpprogramma van uw voorkeur.

PowerShell

Nu u PowerShell hebt geselecteerd, selecteert u het tabblad dat overeenkomt met of u de instellingen wilt configureren tijdens het maken van een nieuwe volumegroep of de instellingen voor een bestaande volumegroep wilt bijwerken.

Azure-CLI

Nu u CLI hebt geselecteerd, selecteert u het tabblad dat overeenkomt met of u de instellingen wilt configureren tijdens het maken van een nieuwe volumegroep of de instellingen voor een bestaande volumegroep wilt bijwerken.

Nieuwe volumegroep

Gebruik dit voorbeeld om door de klant beheerde sleutels te configureren met automatisch bijwerken van de sleutelversie tijdens het maken van een nieuwe volumegroep met behulp van PowerShell:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Als u door de klant beheerde sleutels wilt configureren met handmatig bijwerken van de sleutelversie tijdens het maken van een nieuwe volumegroep met behulp van PowerShell, voegt u de KeyVersion parameter toe, zoals wordt weergegeven in dit voorbeeld:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    KeyVersion                   = $Key.Version
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Nieuwe volumegroep

Gebruik de volgende voorbeelden en dezelfde variabelen die u eerder in dit artikel hebt gemaakt om door de klant beheerde sleutels te configureren tijdens het maken van een nieuwe volumegroep:

Beheerde identiteit

vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName \
    --encryption EncryptionAtRestWithCustomerManagedKey \
    --protocol-type Iscsi \
    --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" \
    --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

az elastic-san volume update -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2     

Door het systeem toegewezen identiteit

Vervang youremail@here.com door het e-mailadres van de gebruiker waaraan u machtigingen wilt toewijzen en voer het volgende script uit:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)
az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with platform-managed keys and a system assigned identity with it
#### Get the system identity's principalId from the response of PUT volume group request.
vg_identity_principal_id=$(az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithPlatformKey --protocol-type Iscsi --identity '{type:SystemAssigned}' --query "identity.principalId" -o tsv)

### Grant access to  the system assigned identity to the key vault created in step1
#### (key permissions: Get, Unwrap Key, Wrap Key)
az keyvault set-policy -n $KvName --object-id $vg_identity_principal_id --key-permissions backup create delete get import get list update restore

### Update the volume group with the key created earlier
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

Bestaande volumegroep

Deze set voorbeelden laat zien hoe u een bestaande volumegroep configureert voor het gebruik van door de klant beheerde sleutels met een door het systeem toegewezen identiteit. Dit zijn de stappen:

• Genereer een door het systeem toegewezen identiteit voor de volumegroep.
• Haal de principal-id op van de nieuwe door het systeem toegewezen identiteit.
• Wijs de rol Crypto Vault Crypto Service Encryption User toe aan de nieuwe identiteit voor de sleutelkluis.
• Werk de volumegroep bij om door de klant beheerde sleutels te gebruiken.

Gebruik dit voorbeeld om een bestaande volumegroep te configureren voor het gebruik van door de klant beheerde sleutels met een door het systeem toegewezen identiteit en het automatisch bijwerken van de sleutelversie met behulp van PowerShell:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Als u een bestaande volumegroep wilt configureren voor het gebruik van door de klant beheerde sleutels met een door het systeem toegewezen identiteit en handmatig bijwerken van de sleutelversie met behulp van PowerShell, voegt u de KeyVersion parameter toe, zoals wordt weergegeven in dit voorbeeld:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
    KeyVersion   = $Key.Version
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Bestaande volumegroep

Gebruik de volgende voorbeelden met dezelfde variabelen die u eerder in dit artikel hebt gemaakt om door de klant beheerde sleutels te configureren voor een bestaande volumegroep met behulp van de Azure CLI.

Beheerde identiteit

### update the volume group with the new user assigned identity
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

Door het systeem toegewezen identiteit

az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity '{type:SystemAssigned}' --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

Wanneer u de sleutelversie handmatig bijwerkt, moet u de versleutelingsinstellingen van de volumegroep bijwerken om de nieuwe versie te gebruiken. Voer eerst een query uit voor de sleutelkluis-URI door az keyvault show aan te roepen en voor de sleutelversie door az keyvault key list-versions aan te roepen. az elastic-san volume-group update Roep vervolgens aan om de versleutelingsinstellingen van de volumegroep bij te werken voor het gebruik van de nieuwe versie van de sleutel, zoals wordt weergegeven in het vorige voorbeeld.

Volgende stappen

• Klantsleutels beheren voor Azure Elastic SAN-gegevensversleuteling