Delen via


Door klant beheerde sleutels configureren

Azure Data Explorer versleutelt alle gegevens in een opslagaccount-at-rest. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor meer controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor gebruik voor gegevensversleuteling.

Door de klant beheerde sleutels moeten worden opgeslagen in een Azure-Key Vault. U kunt uw eigen sleutels maken en opslaan in een sleutelkluis of u kunt een Azure Key Vault API gebruiken om sleutels te genereren. Het Azure Data Explorer-cluster en de sleutelkluis moeten zich in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie door de klant beheerde sleutels met Azure Key Vault voor een gedetailleerde uitleg over door de klant beheerde sleutels.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels configureert.

Azure Key Vault configureren

Als u door de klant beheerde sleutels wilt configureren met Azure Data Explorer, moet u twee eigenschappen instellen voor de sleutelkluis: Voorlopig verwijderen en Niet opschonen. Deze eigenschappen zijn niet standaard ingeschakeld. Als u deze eigenschappen wilt inschakelen, voert u Voorlopig verwijderen inschakelen en Beveiliging tegen opschonen in PowerShell of Azure CLI in op een nieuwe of bestaande sleutelkluis. Alleen RSA-sleutels van grootte 2048 worden ondersteund. Zie Key Vault sleutels voor meer informatie over sleutels.

Notitie

Gegevensversleuteling met door de klant beheerde sleutels wordt niet ondersteund op leader- en volgerclusters.

Een beheerde identiteit toewijzen aan het cluster

Als u door de klant beheerde sleutels voor uw cluster wilt inschakelen, wijst u eerst een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit toe aan het cluster. U gebruikt deze beheerde identiteit om de clustermachtigingen te verlenen voor toegang tot de sleutelkluis. Zie Beheerde identiteiten als u beheerde identiteiten wilt configureren.

Versleuteling inschakelen met door de klant beheerde sleutels

In deze volgende stappen wordt uitgelegd hoe u versleuteling van door de klant beheerde sleutels inschakelt met behulp van de Azure Portal. Azure Data Explorer-versleuteling maakt standaard gebruik van door Microsoft beheerde sleutels. Configureer uw Azure Data Explorer-cluster om door de klant beheerde sleutels te gebruiken en geef de sleutel op die aan het cluster moet worden gekoppeld.

  1. Ga in de Azure Portal naar uw Azure Data Explorer-clusterresource.

  2. Selecteer Instellingen>Versleuteling in het linkerdeelvenster van de portal.

  3. Selecteer in het deelvenster Versleutelingde optie Aan voor de instelling Door de klant beheerde sleutel .

  4. Klik op Sleutel selecteren.

    Door de klant beheerde sleutels configureren.

  5. Selecteer in het venster Sleutel selecteren uit Azure Key Vault een bestaande sleutelkluis in de vervolgkeuzelijst. Als u Nieuwe maken selecteert om een nieuwe Key Vault te maken, wordt u doorgestuurd naar het scherm Key Vault maken.

  6. Selecteer Sleutel.

  7. Versie:

    • Schakel het selectievakje Altijd huidige sleutelversie gebruiken in om ervoor te zorgen dat deze sleutel altijd de nieuwste sleutelversie gebruikt.
    • Selecteer anders Versie.
  8. Klik op Selecteren.

    Selecteer de sleutel in Azure Key Vault.

  9. Selecteer onder Identiteitstypede optie Door het systeem toegewezen of Door de gebruiker toegewezen.

  10. Als u Door gebruiker toegewezen selecteert, kiest u een door de gebruiker toegewezen identiteit in de vervolgkeuzelijst.

    Selecteer het type beheerde identiteit.

  11. Selecteer Opslaan in het deelvenster Versleuteling dat nu uw sleutel bevat. Wanneer het maken van de CMK is geslaagd, ziet u een bericht in Meldingen.

    Sla de door de klant beheerde sleutel op.

Als u door het systeem toegewezen identiteit selecteert bij het inschakelen van door de klant beheerde sleutels voor uw Azure Data Explorer-cluster, maakt u een door het systeem toegewezen identiteit voor het cluster als deze niet bestaat. Daarnaast geeft u de vereiste get-, wrapKey- en unwrapKey-machtigingen op voor uw Azure Data Explorer-cluster op de geselecteerde Key Vault en haalt u de Key Vault eigenschappen op.

Notitie

Selecteer Uit om de door de klant beheerde sleutel te verwijderen nadat deze is gemaakt.

De sleutelversie bijwerken

Wanneer u een nieuwe versie van een sleutel maakt, moet u het cluster bijwerken om de nieuwe versie te gebruiken. Roep Get-AzKeyVaultKey eerst aan om de nieuwste versie van de sleutel op te halen. Werk vervolgens de eigenschappen van de sleutelkluis van het cluster bij om de nieuwe versie van de sleutel te gebruiken, zoals wordt weergegeven in Versleuteling inschakelen met door de klant beheerde sleutels.

Volgende stappen