Udostępnij za pośrednictwem


Konfigurowanie kluczy zarządzanych przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files

Klucze zarządzane przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files umożliwiają używanie własnych kluczy zamiast klucza zarządzanego przez platformę podczas tworzenia nowego woluminu. Za pomocą kluczy zarządzanych przez klienta można w pełni zarządzać relacją między cyklem życia klucza, uprawnieniami do użycia klucza i operacjami inspekcji kluczy.

Na poniższym diagramie przedstawiono sposób działania kluczy zarządzanych przez klienta z usługą Azure NetApp Files:

Diagram koncepcyjny kluczy zarządzanych przez klienta.

  1. Usługa Azure NetApp Files udziela uprawnień do kluczy szyfrowania tożsamości zarządzanej. Tożsamość zarządzana to tożsamość zarządzana przypisana przez użytkownika, którą tworzysz i zarządzasz tożsamością zarządzaną przypisaną przez system lub skojarzona z kontem usługi NetApp.

  2. Szyfrowanie należy skonfigurować przy użyciu klucza zarządzanego przez klienta dla konta usługi NetApp.

  3. Tożsamość zarządzana, do której administrator usługi Azure Key Vault udzielił uprawnień w kroku 1, aby uwierzytelnić dostęp do usługi Azure Key Vault za pośrednictwem identyfikatora Entra firmy Microsoft.

  4. Usługa Azure NetApp Files opakowuje klucz szyfrowania konta za pomocą klucza zarządzanego przez klienta w usłudze Azure Key Vault.

    Klucze zarządzane przez klienta nie mają wpływu na wydajność usługi Azure NetApp Files. Jego jedyną różnicą od kluczy zarządzanych przez platformę jest sposób zarządzania kluczem.

  5. W przypadku operacji odczytu/zapisu usługa Azure NetApp Files wysyła żądania do usługi Azure Key Vault, aby odpakować klucz szyfrowania konta w celu wykonania operacji szyfrowania i odszyfrowywania.

Kwestie wymagające rozważenia

  • Aby utworzyć wolumin przy użyciu kluczy zarządzanych przez klienta, należy wybrać funkcje sieciowe w warstwie Standardowa . Nie można używać woluminów kluczy zarządzanych przez klienta z woluminem skonfigurowanym przy użyciu podstawowych funkcji sieciowych. Postępuj zgodnie z instrukcjami w sekcji Ustawianie opcji Funkcje sieciowe na stronie tworzenia woluminu.
  • Aby zwiększyć bezpieczeństwo, możesz wybrać opcję Wyłącz dostęp publiczny w ustawieniach sieci magazynu kluczy. Po wybraniu tej opcji należy również wybrać opcję Zezwalaj na zaufane usługi firmy Microsoft, aby pominąć tę zaporę, aby zezwolić usłudze Azure NetApp Files na dostęp do klucza szyfrowania.
  • Klucze zarządzane przez klienta obsługują automatyczne odnawianie certyfikatu tożsamości systemu zarządzanego (MSI). Jeśli certyfikat jest prawidłowy, nie musisz go aktualizować ręcznie.
  • Stosowanie sieciowych grup zabezpieczeń platformy Azure w podsieci łącza prywatnego do usługi Azure Key Vault nie jest obsługiwane w przypadku kluczy zarządzanych przez klienta usługi Azure NetApp Files. Sieciowe grupy zabezpieczeń nie mają wpływu na łączność z usługą Private Link, chyba że Private endpoint network policy jest włączona w podsieci. Ta opcja musi być wyłączona.
  • Jeśli usługa Azure NetApp Files nie może utworzyć woluminu klucza zarządzanego przez klienta, zostaną wyświetlone komunikaty o błędach. Aby uzyskać więcej informacji, zobacz sekcję Komunikaty o błędach i rozwiązywanie problemów.
  • Nie wprowadzaj żadnych zmian w bazowym magazynie Azure Key Vault ani prywatnym punkcie końcowym platformy Azure po utworzeniu woluminu kluczy zarządzanych przez klienta. Wprowadzanie zmian może sprawić, że woluminy będą niedostępne.
  • Jeśli usługa Azure Key Vault stanie się niedostępna, usługa Azure NetApp Files utraci dostęp do kluczy szyfrowania oraz możliwość odczytywania lub zapisywania danych w woluminach włączanych za pomocą kluczy zarządzanych przez klienta. W takiej sytuacji utwórz bilet pomocy technicznej, aby ręcznie przywrócić dostęp dla woluminów, których dotyczy problem.
  • Usługa Azure NetApp Files obsługuje klucze zarządzane przez klienta na woluminach replikacji źródła i danych z replikacją między regionami lub relacjami replikacji między strefami.

Obsługiwane regiony

Klucze zarządzane przez klienta usługi Azure NetApp Files są obsługiwane w następujących regionach:

  • Australia Środkowa
  • Australia Środkowa 2
  • Australia Wschodnia
  • Australia Południowo-Wschodnia
  • Brazylia Południowa
  • Brazylia Południowo–Wschodnia
  • Kanada Środkowa
  • Kanada Wschodnia
  • Indie Środkowe
  • Central US
  • Azja Wschodnia
  • East US
  • Wschodnie stany USA 2
  • Francja Środkowa
  • Niemcy Północne
  • Niemcy Środkowo-Zachodnie
  • Izrael Centralny
  • Włochy Północne
  • Japonia Wschodnia
  • Japonia Zachodnia
  • Korea Środkowa
  • Korea Południowa
  • Północno-środkowe stany USA
  • Europa Północna
  • Norwegia Wschodnia
  • Norwegia Zachodnia
  • Katar Środkowy
  • Północna Republika Południowej Afryki
  • South Central US
  • Indie Południowe
  • Southeast Asia
  • Hiszpania Środkowa
  • Szwecja Środkowa
  • Szwajcaria Północna
  • Szwajcaria Zachodnia
  • Środkowe Zjednoczone Emiraty Arabskie
  • Północne Zjednoczone Emiraty Arabskie
  • Południowe Zjednoczone Królestwo
  • Zachodnie Zjednoczone Królestwo
  • US Gov Arizona
  • US Gov Teksas
  • US Gov Wirginia
  • West Europe
  • Zachodnie stany USA
  • Zachodnie stany USA 2
  • Zachodnie stany USA 3

Wymagania

Przed utworzeniem pierwszego woluminu klucza zarządzanego przez klienta należy skonfigurować:

  • Usługa Azure Key Vault zawierająca co najmniej jeden klucz.
    • Magazyn kluczy musi mieć włączone usuwanie nietrwałe i ochronę przed oczyszczaniem.
    • Klucz musi być typu RSA.
  • Magazyn kluczy musi mieć prywatny punkt końcowy platformy Azure.
    • Prywatny punkt końcowy musi znajdować się w innej podsieci niż ten delegowany do usługi Azure NetApp Files. Podsieć musi znajdować się w tej samej sieci wirtualnej co ta, która jest delegowana do usługi Azure NetApp.

Aby uzyskać więcej informacji na temat usługi Azure Key Vault i prywatnego punktu końcowego platformy Azure, zobacz:

Konfigurowanie konta usługi NetApp do używania kluczy zarządzanych przez klienta

  1. W witrynie Azure Portal i w obszarze Azure NetApp Files wybierz pozycję Szyfrowanie.

    Strona Szyfrowanie umożliwia zarządzanie ustawieniami szyfrowania dla konta usługi NetApp. Obejmuje ona opcję ustawienia konta usługi NetApp na użycie własnego klucza szyfrowania, który jest przechowywany w usłudze Azure Key Vault. To ustawienie zapewnia tożsamość przypisaną przez system do konta usługi NetApp i dodaje zasady dostępu dla tożsamości z wymaganymi uprawnieniami klucza.

    Zrzut ekranu przedstawiający menu szyfrowania.

  2. Po ustawieniu konta usługi NetApp do używania klucza zarządzanego przez klienta istnieją dwa sposoby określania identyfikatora URI klucza:

    • Opcja Wybierz z magazynu kluczy umożliwia wybranie magazynu kluczy i klucza. Zrzut ekranu przedstawiający wybieranie interfejsu klucza.

    • Opcja Wprowadź identyfikator URI klucza umożliwia ręczne wprowadzenie identyfikatora URI klucza. Zrzut ekranu przedstawiający menu szyfrowania z polem identyfikatora URI klucza.

  3. Wybierz typ tożsamości, którego chcesz użyć do uwierzytelniania w usłudze Azure Key Vault. Jeśli usługa Azure Key Vault jest skonfigurowana do używania zasad dostępu magazynu jako modelu uprawnień, dostępne są obie opcje. W przeciwnym razie dostępna jest tylko opcja przypisana przez użytkownika.

    • Jeśli wybierzesz pozycję Przypisane przez system, wybierz przycisk Zapisz . Witryna Azure Portal automatycznie konfiguruje konto usługi NetApp przez dodanie tożsamości przypisanej przez system do konta usługi NetApp. Zasady dostępu są również tworzone w usłudze Azure Key Vault z uprawnieniami klucza Get, Encrypt, Decrypt.

    Zrzut ekranu przedstawiający menu szyfrowania z opcjami przypisanymi przez system.

    • Jeśli wybierzesz opcję Przypisane przez użytkownika, musisz wybrać tożsamość. Wybierz pozycję Wybierz tożsamość , aby otworzyć okienko kontekstowe, w którym wybierzesz tożsamość zarządzaną przypisaną przez użytkownika.

    Zrzut ekranu przedstawiający podmenu przypisany przez użytkownika.

    Jeśli skonfigurowano usługę Azure Key Vault do używania zasad dostępu do magazynu, witryna Azure Portal automatycznie konfiguruje konto usługi NetApp przy użyciu następującego procesu: wybrana tożsamość przypisana przez użytkownika zostanie dodana do konta usługi NetApp. Zasady dostępu są tworzone w usłudze Azure Key Vault z uprawnieniami klucza Pobierz, Szyfruj, Odszyfruj.

    Jeśli skonfigurowano usługę Azure Key Vault do korzystania z kontroli dostępu opartej na rolach platformy Azure, upewnij się, że wybrana tożsamość przypisana przez użytkownika ma przypisanie roli w magazynie kluczy z uprawnieniami do akcji:

  4. Wybierz pozycję Zapisz , a następnie obserwuj powiadomienie informujące o stanie operacji. Jeśli operacja nie powiodła się, zostanie wyświetlony komunikat o błędzie. Zapoznaj się z komunikatami o błędach i rozwiązywaniem problemów, aby uzyskać pomoc dotyczącą rozwiązywania błędu.

Korzystanie z kontroli dostępu opartej na rolach

Możesz użyć usługi Azure Key Vault skonfigurowanej do korzystania z kontroli dostępu opartej na rolach platformy Azure. Aby skonfigurować klucze zarządzane przez klienta za pośrednictwem witryny Azure Portal, musisz podać tożsamość przypisaną przez użytkownika.

  1. Na koncie platformy Azure przejdź do pozycji Magazyny kluczy, a następnie pozycję Zasady dostępu.

  2. Aby utworzyć zasady dostępu, w obszarze Model uprawnień wybierz pozycję Kontrola dostępu oparta na rolach na platformie Azure. Zrzut ekranu przedstawiający menu konfiguracji dostępu.

  3. Podczas tworzenia roli przypisanej przez użytkownika istnieją trzy uprawnienia wymagane dla kluczy zarządzanych przez klienta:

    1. Microsoft.KeyVault/vaults/keys/read
    2. Microsoft.KeyVault/vaults/keys/encrypt/action
    3. Microsoft.KeyVault/vaults/keys/decrypt/action

    Chociaż istnieją wstępnie zdefiniowane role, które obejmują te uprawnienia, te role przyznają więcej uprawnień niż są wymagane. Zaleca się utworzenie roli niestandardowej tylko z minimalnymi wymaganymi uprawnieniami. Aby uzyskać więcej informacji, zobacz Role niestandardowe platformy Azure.

    {
        "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
        "properties": {
            "roleName": "NetApp account",
            "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
            "assignableScopes": [
                "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
            ],
            "permissions": [
              {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/keys/encrypt/action",
                    "Microsoft.KeyVault/vaults/keys/decrypt/action"
                ],
                "notDataActions": []
                }
            ]
          }
    }
    
  4. Po utworzeniu roli niestandardowej i udostępnieniu jej do użycia z magazynem kluczy należy zastosować ją do tożsamości przypisanej przez użytkownika.

Zrzut ekranu przedstawiający menu przegląd RBAC i przypisywanie go.

Tworzenie woluminu usługi Azure NetApp Files przy użyciu kluczy zarządzanych przez klienta

  1. W usłudze Azure NetApp Files wybierz pozycję Woluminy , a następnie pozycję + Dodaj wolumin.

  2. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie funkcji sieciowych dla woluminu usługi Azure NetApp Files:

    • Ustaw opcję Funkcje sieciowe na stronie tworzenia woluminu.
    • Sieciowa grupa zabezpieczeń dla delegowanej podsieci woluminu musi zezwalać na ruch przychodzący z maszyny wirtualnej magazynu NetApp.
  3. W przypadku konta usługi NetApp skonfigurowanego do używania klucza zarządzanego przez klienta strona Tworzenie woluminu zawiera opcję Źródło klucza szyfrowania.

    Aby zaszyfrować wolumin przy użyciu klucza, wybierz pozycję Klucz zarządzany przez klienta w menu rozwijanym Źródło klucza szyfrowania.

    Podczas tworzenia woluminu przy użyciu klucza zarządzanego przez klienta należy również wybrać opcję Standardowa dla opcji Funkcje sieciowe. Podstawowe funkcje sieciowe nie są obsługiwane.

    Należy również wybrać prywatny punkt końcowy magazynu kluczy. Menu rozwijane wyświetla prywatne punkty końcowe w wybranej sieci wirtualnej. Jeśli w wybranej sieci wirtualnej nie ma prywatnego punktu końcowego dla magazynu kluczy, lista rozwijana jest pusta i nie będzie można kontynuować. Jeśli tak, zobacz prywatny punkt końcowy platformy Azure.

    Zrzut ekranu przedstawiający menu tworzenia woluminu.

  4. Kontynuuj, aby ukończyć proces tworzenia woluminu. Zapoznaj się z:

Przenoszenie woluminu usługi Azure NetApp Files do kluczy zarządzanych przez klienta (wersja zapoznawcza)

Usługa Azure NetApp Files obsługuje możliwość przenoszenia istniejących woluminów przy użyciu kluczy zarządzanych przez platformę do kluczy zarządzanych przez klienta. Po zakończeniu migracji nie można przywrócić kluczy zarządzanych przez platformę.

Rejestrowanie funkcji

Przejście klucza szyfrowania dla usługi Azure NetApp Files jest obecnie dostępne w wersji zapoznawczej. Przed pierwszym użyciem tej funkcji należy ją zarejestrować.

  1. Zarejestruj funkcję:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk 
    
  2. Sprawdź stan rejestracji funkcji:

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk
    

    Uwaga

    Stan RegistrationState może być w stanie do 60 minut przed zmianą Registering na Registered. Przed kontynuowaniem poczekaj na zarejestrowanie stanu.

Możesz również użyć poleceń interfejsu wiersza polecenia platformy az feature register Azure i az feature show zarejestrować funkcję i wyświetlić stan rejestracji.

Przenoszenie woluminów

Uwaga

Podczas przenoszenia woluminów do używania kluczy zarządzanych przez klienta należy wykonać przejście dla każdej sieci wirtualnej, w której konto usługi Azure NetApp Files ma woluminy.

  1. Upewnij się, że skonfigurowano konto usługi Azure NetApp Files do używania kluczy zarządzanych przez klienta.
  2. W witrynie Azure Portal przejdź do pozycji Szyfrowanie.
  3. Wybierz kartę Migracja klucza zarządzanego przez klienta.
  4. Z menu rozwijanego wybierz sieć wirtualną i prywatny punkt końcowy magazynu kluczy, którego chcesz użyć.
  5. Platforma Azure generuje listę woluminów, które mają być szyfrowane przez klucz zarządzany przez klienta.
  6. Wybierz pozycję Potwierdź , aby zainicjować migrację.

Ponowne tworzenie klucza wszystkich woluminów na koncie usługi NetApp

Jeśli konto usługi NetApp zostało już skonfigurowane dla kluczy zarządzanych przez klienta i ma co najmniej jeden wolumin zaszyfrowany przy użyciu kluczy zarządzanych przez klienta, możesz zmienić klucz używany do szyfrowania wszystkich woluminów w ramach konta usługi NetApp. Możesz wybrać dowolny klucz, który znajduje się w tym samym magazynie kluczy. Zmiana magazynów kluczy nie jest obsługiwana.

  1. W obszarze konta usługi NetApp przejdź do menu Szyfrowanie . W polu Bieżący klucz wejściowy wybierz link Zmień klucz. Zrzut ekranu przedstawiający klucz szyfrowania.

  2. W menu Zmień klucz wybierz jeden z dostępnych kluczy z menu rozwijanego. Wybrany klucz musi być inny niż bieżący klucz. Zrzut ekranu przedstawiający menu ponownego klucza.

  3. Wybierz opcję OK, aby zapisać. Operacja ponownego klucza może potrwać kilka minut.

Przełączanie z przypisanej przez system tożsamości przypisanej do użytkownika

Aby przełączyć się z przypisanej przez system do tożsamości przypisanej przez użytkownika, musisz przyznać docelowy dostęp tożsamości do magazynu kluczy używanego z uprawnieniami odczytu/pobierania, szyfrowania i odszyfrowywania.

  1. Zaktualizuj konto usługi NetApp, wysyłając żądanie PATCH przy użyciu az rest polecenia :

    az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
    

    Ładunek powinien używać następującej struktury:

    {
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
         "<identity-resource-id>": {}
        }
      },
      "properties": {
        "encryption": {
          "identity": {
            "userAssignedIdentity": "<identity-resource-id>"
          }
        }
      }
    }
    
  2. Upewnij się, że operacja została ukończona pomyślnie za az netappfiles account show pomocą polecenia . Dane wyjściowe zawierają następujące pola:

        "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
        "identity": {
            "principalId": null,
            "tenantId": null,
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                    "clientId": "<client-id>",
                    "principalId": "<principalId>",
                    "tenantId": <tenantId>"
                }
            }
        },
    

    Upewnij się, że:

    • encryption.identity.principalId pasuje do wartości w identity.userAssignedIdentities.principalId
    • encryption.identity.userAssignedIdentity pasuje do wartości w identity.userAssignedIdentities[]
    "encryption": {
        "identity": {
            "principalId": "<principal-id>",
            "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
        },
        "KeySource": "Microsoft.KeyVault",
    },
    

Komunikaty o błędach i rozwiązywanie problemów

W tej sekcji wymieniono komunikaty o błędach i możliwe rozwiązania, gdy usługa Azure NetApp Files nie może skonfigurować szyfrowania kluczy zarządzanych przez klienta lub utworzyć wolumin przy użyciu klucza zarządzanego przez klienta.

Błędy podczas konfigurowania szyfrowania kluczy zarządzanych przez klienta na koncie usługi NetApp

Warunek błędu Rozwiązanie
The operation failed because the specified key vault key was not found Podczas ręcznego wprowadzania identyfikatora URI klucza upewnij się, że identyfikator URI jest poprawny.
Azure Key Vault key is not a valid RSA key Upewnij się, że wybrany klucz jest typu RSA.
Azure Key Vault key is not enabled Upewnij się, że wybrany klucz jest włączony.
Azure Key Vault key is expired Upewnij się, że wybrany klucz nie wygasł.
Azure Key Vault key has not been activated Upewnij się, że wybrany klucz jest aktywny.
Key Vault URI is invalid Podczas ręcznego wprowadzania identyfikatora URI klucza upewnij się, że identyfikator URI jest poprawny.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault Zaktualizuj poziom odzyskiwania magazynu kluczy na:
“Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault Upewnij się, że magazyn kluczy znajduje się w tym samym regionie co konto usługi NetApp.

Błędy podczas tworzenia woluminu zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta

Warunek błędu Rozwiązanie
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption Twoje konto usługi NetApp nie ma włączonego szyfrowania kluczy zarządzanych przez klienta. Skonfiguruj konto usługi NetApp do używania klucza zarządzanego przez klienta.
EncryptionKeySource cannot be changed Brak rozwiązania. Właściwości EncryptionKeySource woluminu nie można zmienić.
Unable to use the configured encryption key, please check if key is active Sprawdź, czy:
-Czy wszystkie zasady dostępu są poprawne w magazynie kluczy: Pobierz, Szyfruj, Odszyfruj?
-Czy istnieje prywatny punkt końcowy dla magazynu kluczy?
-Czy w sieci wirtualnej istnieje translator adresów sieci wirtualnych z włączoną delegowanym podsiecią usługi Azure NetApp Files?
Could not connect to the KeyVault Upewnij się, że prywatny punkt końcowy jest poprawnie skonfigurowany, a zapory nie blokują połączenia z sieci wirtualnej do usługi KeyVault.

Następne kroki