Konfigurowanie szyfrowania dysków dla wystąpień usługi Azure Managed Redis (wersja zapoznawcza) przy użyciu kluczy zarządzanych przez klienta

Dane na serwerze Redis są domyślnie przechowywane w pamięci. Te dane nie są szyfrowane. Możesz zaimplementować własne szyfrowanie danych przed zapisaniem ich w pamięci podręcznej. W niektórych przypadkach dane mogą znajdować się na dysku ze względu na operacje systemu operacyjnego lub z powodu celowych akcji utrwalania danych przy użyciu eksportu lub trwałości danych.

Usługa Azure Managed Redis (wersja zapoznawcza) oferuje klucze zarządzane przez platformę (PMK), znane również jako klucze zarządzane przez firmę Microsoft (MMKs), domyślnie szyfrując dane na dysku we wszystkich warstwach. Usługa Azure Managed Redis dodatkowo oferuje możliwość szyfrowania dysków systemu operacyjnego i trwałości danych przy użyciu klucza zarządzanego przez klienta (CMK). Klucze zarządzane przez klienta mogą służyć do opakowywanie mmKs w celu kontrolowania dostępu do tych kluczy. Dzięki temu klucz szyfrowania klucza (CMK) jest kluczem szyfrowania klucza lub kluczem KEK. Aby uzyskać więcej informacji, zobacz zarządzanie kluczami na platformie Azure.

Zakres dostępności szyfrowania dysków CMK

Warstwa	Zoptymalizowane pod kątem pamięci, zrównoważone, zoptymalizowane pod kątem obliczeń	Zoptymalizowane pod kątem flash
Klucze zarządzane przez firmę Microsoft (MMK)	Tak	Tak
Klucze zarządzane przez klienta (CMK)	Tak	Tak

Pokrycie szyfrowania

W usłudze Azure Managed Redis szyfrowanie dysków służy do szyfrowania dysku trwałego, plików tymczasowych i dysku systemu operacyjnego:

• trwały dysk: przechowuje utrwalone pliki RDB lub AOF w ramach trwałości danych
• pliki tymczasowe używane w eksporcie: wyeksportowane dane tymczasowe są szyfrowane. Podczas eksportowania danych szyfrowanie końcowych wyeksportowanych danych jest kontrolowane przez ustawienia na koncie magazynu.
• dysk systemu operacyjnego

Klucz MMK jest używany do szyfrowania tych dysków domyślnie, ale można również użyć klucza cmK.

W warstwie Zoptymalizowane pod kątem flash klucze i wartości są również częściowo przechowywane na dysku przy użyciu magazynu flash express pamięci (NVMe). Jednak ten dysk nie jest taki sam jak dysk używany do utrwalania danych. Zamiast tego jest efemeryczna, a dane nie są utrwalane po zatrzymaniu, cofnięciu przydziału lub ponownym uruchomieniu pamięci podręcznej. Klucz MMK jest obsługiwany tylko na tym dysku, ponieważ te dane są przejściowe i efemeryczne.

Przechowywane dane	Dysk	Opcje szyfrowania
Pliki trwałości	Dysk trwały	MmK lub CMK
Pliki RDB oczekujące na wyeksportowanie	Dysk systemu operacyjnego i dysk trwały	MmK lub CMK
Klucze i wartości (tylko warstwa zoptymalizowana pod kątem flash)	Przejściowy dysk NVMe	MMK

Wymagania wstępne i ograniczenia

Ogólne wymagania wstępne i ograniczenia

• Tylko tożsamość zarządzana przypisana przez użytkownika jest obsługiwana w celu nawiązania połączenia z usługą Azure Key Vault. Tożsamość zarządzana przypisana przez system nie jest obsługiwana.
• Zmiana między kluczami MMK i CMK w istniejącym wystąpieniu pamięci podręcznej wyzwala długotrwałą operację konserwacji. Nie zalecamy tego do użytku produkcyjnego, ponieważ występują zakłócenia usługi.

Wymagania wstępne i ograniczenia usługi Azure Key Vault

• Zasób usługi Azure Key Vault zawierający klucz zarządzany przez klienta musi znajdować się w tym samym regionie co zasób pamięci podręcznej.
• W wystąpieniu usługi Azure Key Vault należy włączyć ochronę przed przeczyszczeniem i usuwanie nietrwałe. Ochrona przed przeczyszczaniem nie jest domyślnie włączona.
• W przypadku używania reguł zapory w usłudze Azure Key Vault wystąpienie usługi Key Vault musi być skonfigurowane tak, aby zezwalało na zaufane usługi.
• Obsługiwane są tylko klucze RSA
• Tożsamość zarządzana przypisana przez użytkownika musi mieć uprawnienia Get, Unwrap Key i Wrap Key w zasadach dostępu usługi Key Vault lub równoważne uprawnienia w ramach kontroli dostępu opartej na rolach platformy Azure. Zalecana wbudowana definicja roli z najmniejszymi uprawnieniami wymaganymi w tym scenariuszu jest nazywana użytkownikiem szyfrowania usługi kryptograficznej KeyVault.

Jak skonfigurować szyfrowanie CMK w usłudze Azure Managed Redis

Tworzenie nowej pamięci podręcznej z włączonym kluczem cmK za pomocą portalu

1. Zaloguj się do witryny Azure Portal i uruchom przewodnik Szybki start Tworzenie wystąpienia zarządzanego usługi Redis platformy Azure.

2. Na stronie Zaawansowane przejdź do sekcji zatytułowanej Szyfrowanie kluczy zarządzanych przez klienta magazynowanych i włącz opcję Użyj klucza zarządzanego przez klienta.

   

3. Wybierz pozycję Dodaj, aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do zasobu. Ta tożsamość zarządzana służy do nawiązywania połączenia z wystąpieniem usługi Azure Key Vault , które przechowuje klucz zarządzany przez klienta.

   

4. Wybierz wybraną tożsamość zarządzaną przypisaną przez użytkownika, a następnie wybierz metodę wprowadzania klucza do użycia.

5. Jeśli używasz metody Select Azure Key Vault (Wybieranie magazynu kluczy platformy Azure i metody wprowadzania klucza ), wybierz wystąpienie usługi Key Vault, które zawiera klucz zarządzany przez klienta. To wystąpienie musi znajdować się w tym samym regionie co pamięć podręczna.

   Uwaga

   Aby uzyskać instrukcje dotyczące konfigurowania wystąpienia usługi Azure Key Vault, zobacz przewodnik Szybki start dotyczący usługi Azure Key Vault. Możesz również wybrać link Utwórz magazyn kluczy pod wyborem usługi Key Vault, aby utworzyć nowe wystąpienie usługi Key Vault. Należy pamiętać, że zarówno ochrona przed przeczyszczeniem, jak i usuwanie nietrwałe muszą być włączone w wystąpieniu usługi Key Vault.

6. Wybierz określony klucz i wersję przy użyciu listy rozwijanej Klucz zarządzany przez klienta (RSA) i Wersja .

   

7. Jeśli używasz metody wejściowej identyfikatora URI , wprowadź identyfikator URI identyfikatora klucza dla wybranego klucza z usługi Azure Key Vault.

8. Po wprowadzeniu wszystkich informacji dotyczących pamięci podręcznej wybierz pozycję Przejrzyj i utwórz.

Dodawanie szyfrowania CMK do istniejącego wystąpienia usługi Azure Managed Redis

1. Przejdź do pozycji Szyfrowanie w menu Zasób wystąpienia pamięci podręcznej. Jeśli klucz zarządzania kluczami jest już skonfigurowany, zobaczysz informacje o kluczu.

2. Jeśli nie skonfigurowaliśmy lub jeśli chcesz zmienić ustawienia klucza zarządzanego przez klienta, wybierz pozycję Zmień ustawienia szyfrowania

3. Wybierz pozycję Użyj klucza zarządzanego przez klienta, aby wyświetlić opcje konfiguracji.

4. Wybierz pozycję Dodaj, aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do zasobu. Ta tożsamość zarządzana służy do nawiązywania połączenia z wystąpieniem usługi Azure Key Vault , które przechowuje klucz zarządzany przez klienta.

5. Wybierz wybraną tożsamość zarządzaną przypisaną przez użytkownika, a następnie wybierz metodę wprowadzania klucza do użycia.

6. Jeśli używasz metody Select Azure Key Vault (Wybieranie magazynu kluczy platformy Azure i metody wprowadzania klucza ), wybierz wystąpienie usługi Key Vault, które zawiera klucz zarządzany przez klienta. To wystąpienie musi znajdować się w tym samym regionie co pamięć podręczna.

   Uwaga

   Aby uzyskać instrukcje dotyczące konfigurowania wystąpienia usługi Azure Key Vault, zobacz przewodnik Szybki start dotyczący usługi Azure Key Vault. Możesz również wybrać link Utwórz magazyn kluczy pod wyborem usługi Key Vault, aby utworzyć nowe wystąpienie usługi Key Vault.

7. Wybierz konkretny klucz przy użyciu listy rozwijanej Klucz zarządzany przez klienta (RSA ). Jeśli istnieje wiele wersji klucza do wyboru, użyj listy rozwijanej Wersja .

8. Jeśli używasz metody wejściowej identyfikatora URI , wprowadź identyfikator URI identyfikatora klucza dla wybranego klucza z usługi Azure Key Vault.

9. Wybierz pozycję Zapisz

Następne kroki

• Trwałość danych
• Import/Export