Konfigurowanie kluczy zarządzanych przez klienta dla elastycznej sieci SAN platformy Azure

Wszystkie dane zapisywane w woluminie Elastic SAN są automatycznie szyfrowane w spoczynku przy użyciu klucza szyfrowania danych (DEK). Platforma Azure używa szyfrowania kopert do szyfrowania klucza szyfrowania przy użyciu klucza szyfrowania kluczy (KEK). Domyślnie klucz KEK jest zarządzany przez platformę (zarządzany przez firmę Microsoft), ale możesz tworzyć własne elementy i zarządzać nimi.

W tym artykule pokazano, jak skonfigurować szyfrowanie elastycznej grupy woluminów SIECI SAN przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault.

Ograniczenia

Poniższa lista zawiera regiony, w których jest obecnie dostępna elastyczna sieć SAN i które regiony obsługują magazyn strefowo nadmiarowy (ZRS) i magazyn lokalnie nadmiarowy (LRS) lub tylko magazyn LRS:

• Australia Wschodnia — LRS
• Brazylia Południowa — LRS
• Kanada Środkowa — LRS
• Środkowe stany USA — LRS
• Azja Wschodnia — LRS
• Wschodnie stany USA — LRS
• Wschodnie stany USA 2 — LRS
• Francja Środkowa — LRS i ZRS
• Niemcy Zachodnio-środkowe — LRS
• Indie Środkowe — LRS
• Japonia Wschodnia — LRS
• Korea Środkowa — LRS
• Europa Północna — LRS i ZRS
• Norwegia Wschodnia — LRS
• Republika Południowej Afryki Północnej — LRS
• Południowo-środkowe stany USA — LRS
• Azja Południowo-Wschodnia — LRS
• Szwecja Środkowa — LRS
• Szwajcaria Północna — LRS
• Północ ze Zjednoczonych Emiratów Zjednoczonych — LRS
• Południowe Zjednoczone Królestwo — LRS
• Europa Zachodnia — LRS i ZRS
• Zachodnie stany USA 2 — LRS i ZRS
• Zachodnie stany USA 3 — LRS

Elastyczna sieć SAN jest również dostępna w następujących regionach, ale bez obsługi strefy dostępności:

• Kanada Wschodnia — LRS
• Japonia Zachodnia — LRS
• Północno-środkowe stany USA — LRS

Aby włączyć te regiony, uruchom następujące polecenie, aby zarejestrować wymaganą flagę funkcji:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Wymagania wstępne

Aby wykonać operacje opisane w tym artykule, musisz przygotować konto platformy Azure i narzędzia do zarządzania, których planujesz użyć. Przygotowanie obejmuje instalowanie niezbędnych modułów, logowanie się do konta oraz ustawianie zmiennych dla programu PowerShell i interfejsu wiersza polecenia platformy Azure. Ten sam zestaw zmiennych jest używany w tym artykule, więc ustawienie ich teraz umożliwia używanie tych samych we wszystkich przykładach.

Program PowerShell

Aby wykonać operacje opisane w tym artykule przy użyciu programu PowerShell:

1. Zainstaluj najnowszą wersję programu Azure PowerShell , jeśli jeszcze tego nie zrobiono.

2. Po zainstalowaniu programu Azure PowerShell zainstaluj wersję 0.1.2 lub nowszą z rozszerzeniem Elastic SAN za pomocą Install-Module -Name Az.ElasticSan -Repository PSGallerypolecenia .

3. Zaloguj się do Azure.

   Connect-AzAccount
   

Tworzenie zmiennych do użycia w przykładach programu PowerShell w tym artykule

Skopiuj przykładowy kod i zastąp cały tekst zastępczy własnymi wartościami. Użyj tych samych zmiennych we wszystkich przykładach w tym artykule:

# Define some variables
# The name of the resource group where the resources will be deployed.
$RgName          = "ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
$EsanName        = "ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
$EsanVgName      = "ElasticSanVolumeGroupName"

# The region where the new resources will be created.
$Location        = "Location"

# The name of the Azure Key Vault that will contain the KEK.
$KvName          = "KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
$KeyName         = "KeyName"

# The name of the user-assigned managed identity, if applicable.
$ManagedUserName = "ManagedUserName"

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować elastyczne szyfrowanie SAN przy użyciu interfejsu wiersza polecenia platformy Azure:

1. Zainstaluj najnowszą wersję.
2. Zainstaluj wersję 1.0.0b2 lub nowszą rozszerzenia interfejsu wiersza polecenia usługi Azure Elastic SAN.
   1. Jeśli nie masz zainstalowanego rozszerzenia, użyj polecenia az extension add -n elastic-san , aby zainstalować rozszerzenie dla elastycznej sieci SAN.
   2. (Opcjonalnie) jeśli masz już zainstalowane rozszerzenie, uruchom polecenie az extension update -n elastic-san , aby zainstalować najnowszą wersję.

Tworzenie zmiennych do użycia w przykładach interfejsu wiersza polecenia w tym artykule

Skopiuj przykładowy kod i zastąp cały tekst zastępczy własnymi wartościami. Użyj tych samych zmiennych we wszystkich przykładach w tym artykule:

# The name of the resource group where the resources will be deployed.
RgName="ResourceGroupName"

# The name of the Elastic SAN that contains the volume group to be configured.
EsanName="ElasticSanName"

# The name of the Elastic SAN volume group to be configured.
EsanVgName="ElasticSanVolumeGroupName"

# The name of the Elastic SAN volume to be created
volume_name="ElasticSanVolumeName"

# The region where the new resources will be created.
Location="Location"

# The name of the Azure Key Vault that will contain the KEK.
KvName="KeyVaultName"

# The name of the Azure Key Vault key that is the KEK.
KeyName="KeyName"

# The name of the user-assigned managed identity, if applicable.
ManagedUserName="ManagedUserName"

Konfigurowanie magazynu kluczy

Do przechowywania kluczy zarządzanych przez klienta można użyć nowego lub istniejącego magazynu kluczy. Zaszyfrowany zasób i magazyn kluczy mogą znajdować się w różnych regionach lub subskrypcjach w tej samej dzierżawie identyfikatora Entra firmy Microsoft. Aby dowiedzieć się więcej o usłudze Azure Key Vault, zobacz Omówienie usługi Azure Key Vault i Co to jest usługa Azure Key Vault?.

Korzystanie z kluczy zarządzanych przez klienta z szyfrowaniem wymaga włączenia ochrony przed usuwaniem nietrwałym i przeczyszczaniem dla magazynu kluczy. Usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy i nie można go wyłączyć. Ochronę przeczyszczania można włączyć podczas tworzenia magazynu kluczy lub po jego utworzeniu. Usługa Azure Elastic SAN Encryption obsługuje klucze RSA o rozmiarach 2048, 3072 i 4096.

Usługa Azure Key Vault obsługuje autoryzację za pomocą kontroli dostępu opartej na rolach platformy Azure za pośrednictwem modelu uprawnień RBAC platformy Azure. Firma Microsoft zaleca korzystanie z modelu uprawnień RBAC platformy Azure za pośrednictwem zasad dostępu do magazynu kluczy. Aby uzyskać więcej informacji, zobacz Udzielanie aplikacji uprawnień dostępu do magazynu kluczy platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure.

Istnieją dwa kroki związane z przygotowaniem magazynu kluczy jako magazynu dla zestawów KEKs grupy woluminów:

• Utwórz nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania lub włącz ochronę przed przeczyszczeniem istniejącego magazynu.
• Utwórz lub przypisz rolę RBAC platformy Azure z tworzeniem kopii zapasowej, aby pobrać uprawnienia do przywracania aktualizacji listy.

Program PowerShell

Poniższy przykład:

• Tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania.
• Pobiera nazwę UPN konta użytkownika.
• Przypisuje rolę administratora kryptograficznego usługi Key Vault dla nowego magazynu kluczy do twojego konta.

Użyj tych samych zmiennych zdefiniowanych wcześniej w tym artykule.

# Setup the parameters to create the key vault.
$NewKvArguments = @{
    Name                    = $KvName
    ResourceGroupName       = $RgName
    Location                = $Location
    EnablePurgeProtection   = $true
    EnableRbacAuthorization = $true
}

# Create the key vault.
$KeyVault = New-AzKeyVault @NewKvArguments

# Get the UPN of the currently loggged in user.
$MyAccountUpn = (Get-AzADUser -SignedIn).UserPrincipalName

# Setup the parameters to create the role assignment.
$CrptoOfficerRoleArguments = @{
    SignInName         = $MyAccountUpn
    RoleDefinitionName = "Key Vault Crypto Officer"
    Scope              = $KeyVault.ResourceId
}

# Assign the Cypto Officer role to your account for the key vault.
New-AzRoleAssignment @CrptoOfficerRoleArguments

Aby dowiedzieć się, jak włączyć ochronę przed przeczyszczeniem w istniejącym magazynie kluczy przy użyciu programu PowerShell, zobacz Omówienie odzyskiwania usługi Azure Key Vault.

Aby uzyskać więcej informacji na temat przypisywania roli RBAC za pomocą programu PowerShell, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Interfejs wiersza polecenia platformy Azure

Aby utworzyć nowy magazyn kluczy przy użyciu interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault create. Poniższy przykład tworzy nowy magazyn kluczy z włączoną ochroną usuwania nietrwałego i przeczyszczania. Model uprawnień magazynu kluczy jest ustawiony na używanie kontroli dostępu opartej na rolach platformy Azure. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami.

az keyvault create --name $KvName --resource-group $RgName --location $Location --enable-purge-protection --retention-days 7

Aby dowiedzieć się, jak włączyć ochronę przeczyszczania w istniejącym magazynie kluczy za pomocą interfejsu wiersza polecenia platformy Azure, zobacz Omówienie odzyskiwania usługi Azure Key Vault.

Dodawanie klucza

Następnie dodaj klucz do magazynu kluczy. Przed dodaniem klucza upewnij się, że przypisano ci rolę administratora kryptograficznego usługi Key Vault.

Usługa Azure Storage i elastyczne szyfrowanie SAN obsługują klucze RSA o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat obsługiwanych typów kluczy, zobacz About keys (Informacje o kluczach).

Program PowerShell

Użyj tych przykładowych poleceń, aby dodać klucz do magazynu kluczy za pomocą programu PowerShell. Użyj tych samych zmiennych zdefiniowanych wcześniej w tym artykule.

# Get the key vault where the key is to be added.
$KeyVault = Get-AzKeyVault -ResourceGroupName $RgName -VaultName $KvName

# Setup the parameters to add the key to the vault.
$NewKeyArguments = @{
    Name        = $KeyName
    VaultName   = $KeyVault.VaultName
    Destination = "Software"
}

# Add the key to the vault.
$Key = Add-AzKeyVaultKey @NewKeyArguments

Interfejs wiersza polecenia platformy Azure

Aby dodać klucz za pomocą interfejsu wiersza polecenia platformy Azure, wywołaj polecenie az keyvault key create. Możesz również ustawić zasady w usłudze keyvault, aby bezpośrednio przyznać uprawnienia określonym użytkownikom. Zastąp youremail@here.com następnie użyj następującego przykładu i tych samych zmiennych utworzonych wcześniej w tym artykule:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)

az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

Wybieranie strategii rotacji kluczy

Poniższe najlepsze rozwiązania kryptograficzne oznaczają rotację klucza, który chroni grupę woluminów Elastic SAN zgodnie z regularnym harmonogramem, zwykle co najmniej co dwa lata. Usługa Azure Elastic SAN nigdy nie modyfikuje klucza w magazynie kluczy, ale można skonfigurować zasady rotacji kluczy w celu rotacji klucza zgodnie z wymaganiami dotyczącymi zgodności. Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego obracania kluczy kryptograficznych w usłudze Azure Key Vault.

Po rotacji klucza w magazynie kluczy należy zaktualizować konfigurację szyfrowania dla elastycznej grupy woluminów SIECI SAN w celu użycia nowej wersji klucza. Klucze zarządzane przez klienta obsługują zarówno automatyczne, jak i ręczne aktualizowanie wersji klucza szyfrowania kluczy. Zdecyduj, którego podejścia chcesz użyć przed skonfigurowaniem kluczy zarządzanych przez klienta dla nowej lub istniejącej grupy woluminów.

Aby uzyskać więcej informacji na temat rotacji kluczy, zobacz Aktualizowanie wersji klucza.

Ważne

Podczas modyfikowania klucza lub wersji klucza ochrona głównego klucza szyfrowania danych zmienia się, ale dane w grupie woluminów Elastic SAN platformy Azure pozostają szyfrowane przez cały czas. Użytkownik nie musi podejmować żadnych dodatkowych działań, aby zapewnić ochronę swoich danych. Rotacja wersji klucza nie ma wpływu na wydajność i nie wiąże się z nim żadnych przestojów.

Automatyczna rotacja wersji klucza

Usługa Azure Elastic SAN może automatycznie aktualizować klucz zarządzany przez klienta, który jest używany do szyfrowania w celu używania najnowszej wersji klucza z magazynu kluczy. Elastyczna sieć SAN sprawdza magazyn kluczy codziennie pod kątem nowej wersji klucza. Gdy zostanie udostępniona nowa wersja, automatycznie zacznie używać najnowszej wersji klucza do szyfrowania. Podczas obracania klucza pamiętaj, aby poczekać 24 godziny przed wyłączeniem starszej wersji.

Ważne

Jeśli grupa woluminów Elastic SAN została skonfigurowana do ręcznego aktualizowania wersji klucza i chcesz zmienić ją na automatyczną aktualizację, zmień wersję klucza na pusty ciąg. Aby uzyskać więcej informacji na temat ręcznej zmiany wersji klucza, zobacz Automatyczne aktualizowanie wersji klucza.

Ręczne obracanie wersji klucza

Jeśli wolisz ręcznie zaktualizować wersję klucza, określ identyfikator URI dla określonej wersji w czasie konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta. Po określeniu identyfikatora URI elastyczna sieć SAN nie będzie automatycznie aktualizować wersji klucza po utworzeniu nowej wersji w magazynie kluczy. Aby elastyczna sieć SAN korzystała z nowej wersji klucza, należy ją zaktualizować ręcznie.

Aby zlokalizować identyfikator URI dla określonej wersji klucza w witrynie Azure Portal:

1. Przejdź do magazynu kluczy.
2. W obszarze Obiekty wybierz pozycję Klucze.
3. Wybierz żądany klucz, aby wyświetlić jego wersje.
4. Wybierz wersję klucza, aby wyświetlić ustawienia dla tej wersji.
5. Skopiuj wartość pola Identyfikator klucza , który udostępnia identyfikator URI.
6. Zapisz skopiowany tekst do użycia później podczas konfigurowania szyfrowania dla grupy woluminów.

Wybierz tożsamość zarządzaną, aby autoryzować dostęp do magazynu kluczy

Po włączeniu kluczy szyfrowania zarządzanych przez klienta dla elastycznej grupy woluminów SIECI SAN należy określić tożsamość zarządzaną używaną do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Tożsamość zarządzana musi mieć następujące uprawnienia:

• get
• zawijanie klucza
• unwrapkey

Tożsamość zarządzana, która ma autoryzowany dostęp do magazynu kluczy, może być tożsamością zarządzaną przypisaną przez użytkownika lub przypisaną przez system. Aby dowiedzieć się więcej o tożsamościach zarządzanych przypisanych przez system i przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych.

Po utworzeniu grupy woluminów zostanie automatycznie utworzona tożsamość przypisana przez system. Jeśli chcesz użyć tożsamości przypisanej przez użytkownika, utwórz ją przed skonfigurowaniem kluczy szyfrowania zarządzanych przez klienta dla grupy woluminów. Aby dowiedzieć się, jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zarządzać nią, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Używanie tożsamości zarządzanej przypisanej przez użytkownika do autoryzowania dostępu

Po włączeniu kluczy zarządzanych przez klienta dla nowej grupy woluminów należy określić tożsamość zarządzaną przypisaną przez użytkownika. Istniejąca grupa woluminów obsługuje używanie tożsamości zarządzanej przypisanej przez użytkownika lub tożsamości zarządzanej przypisanej przez system do konfigurowania kluczy zarządzanych przez klienta.

Podczas konfigurowania kluczy zarządzanych przez klienta przy użyciu tożsamości zarządzanej przypisanej przez użytkownika tożsamość zarządzana przypisana przez użytkownika jest używana do autoryzowania dostępu do magazynu kluczy zawierającego klucz. Przed skonfigurowaniem kluczy zarządzanych przez klienta należy utworzyć tożsamość przypisaną przez użytkownika.

Tożsamość zarządzana przypisana przez użytkownika jest autonomicznym zasobem platformy Azure. Aby dowiedzieć się więcej o tożsamościach zarządzanych przypisanych przez użytkownika, zobacz Typy tożsamości zarządzanych. Aby dowiedzieć się, jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika i zarządzać nią, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Tożsamość zarządzana przypisana przez użytkownika musi mieć uprawnienia dostępu do klucza w magazynie kluczy. Możesz ręcznie udzielić uprawnień tożsamości lub przypisać wbudowaną rolę z zakresem magazynu kluczy w celu udzielenia tych uprawnień.

Program PowerShell

W poniższym przykładzie pokazano, jak:

• Utwórz nową tożsamość zarządzaną przypisaną przez użytkownika.
• Poczekaj na ukończenie tworzenia tożsamości przypisanej przez użytkownika.
• Pobierz element PrincipalId z nowej tożsamości.
• Przypisz rolę RBAC do nowej tożsamości w zakresie do magazynu kluczy.

Użyj tych samych zmiennych zdefiniowanych wcześniej w tym artykule.

# Create a new user-assigned managed identity.
$UserIdentity = New-AzUserAssignedIdentity -ResourceGroupName $RgName -Name $ManagedUserName -Location $Location

Napiwek

Przed kontynuowaniem poczekaj około 1 minuty na zakończenie tworzenia tożsamości przypisanej przez użytkownika.

# Get the `PrincipalId` for the new identity.
$PrincipalId = $UserIdentity.PrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role to the managed identity so it can access the key in the vault.
New-AzRoleAssignment @CryptoUserRoleArguments

Interfejs wiersza polecenia platformy Azure

W poniższym przykładzie pokazano, jak:

• Utwórz nową tożsamość zarządzaną przypisaną przez użytkownika.
• Poczekaj na ukończenie tworzenia tożsamości przypisanej przez użytkownika.
• Pobierz element PrincipalId z nowej tożsamości.
• Ustaw zasady w magazynie kluczy, zezwalając na dostęp do tożsamości.

Użyj tych samych zmiennych zdefiniowanych wcześniej w tym artykule.

### Create a user assigned identity and grant it the access to the key vault
uai=$(az identity create -g $RgName -n $ManagedUserName -o tsv --query id)

#### Get the properties
uai_principal_id=$(az identity show --ids $uai --query principalId -o tsv)
uai_id=$(az identity show --ids $uai --query id -o tsv)
uai_client_id=$(az identity show --ids $uai --query clientId -o tsv)

#### create a keyvault and get the vault url
az keyvault create --name $KvName --resource-group $RgName --location eastus2 --enable-purge-protection --retention-days 7
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --protocol-type Iscsi --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"
az elastic-san volume create -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2

Używanie przypisanej przez system tożsamości zarządzanej do autoryzowania dostępu

Tożsamość zarządzana przypisana przez system jest skojarzona z wystąpieniem usługi platformy Azure, takim jak grupa woluminów Elastic SAN platformy Azure.

Tożsamość zarządzana przypisana przez system musi mieć uprawnienia dostępu do klucza w magazynie kluczy. W tym artykule użyto roli użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do przypisanej przez system tożsamości zarządzanej z zakresem magazynu kluczy w celu udzielenia tych uprawnień.

Po utworzeniu grupy woluminów tożsamość przypisana przez system jest automatycznie tworzona, jeśli -IdentityType "SystemAssigned" parametr jest określony za New-AzElasticSanVolumeGroup pomocą polecenia . Tożsamość przypisana przez system nie jest dostępna dopiero po utworzeniu grupy woluminów. Musisz również przypisać odpowiednią rolę, taką jak rola użytkownika szyfrowania usługi kryptograficznej usługi Key Vault do tożsamości, zanim będzie mogła uzyskać dostęp do klucza szyfrowania w magazynie kluczy. Nie można więc skonfigurować kluczy zarządzanych przez klienta do używania tożsamości przypisanej przez system podczas tworzenia grupy woluminów. Podczas tworzenia nowej grupy woluminów przy użyciu kluczy zarządzanych przez klienta należy użyć tożsamości przypisanej przez użytkownika podczas tworzenia grupy woluminów, można skonfigurować tożsamość przypisaną przez system po jej utworzeniu.

Program PowerShell

Użyj tego przykładowego kodu, aby przypisać wymaganą rolę RBAC do przypisanej przez system tożsamości zarządzanej w zakresie do magazynu kluczy. Użyj tych samych zmiennych zdefiniowanych wcześniej w tym artykule.

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

Interfejs wiersza polecenia platformy Azure

Aby uwierzytelnić dostęp do magazynu kluczy przy użyciu tożsamości zarządzanej przypisanej przez system, najpierw przypisz tożsamość zarządzaną przypisaną przez system do grupy woluminów, wywołując metodę az elastic-san volume-group update. Użyj następującego przykładu i tych samych zmiennych utworzonych wcześniej w tym artykule:

az elastic-san volume-group update \
    --name $EsanVgName \
    --resource-group $RgName \
    --identity

Następnie przypisz do tożsamości zarządzanej przypisanej przez system wymaganą rolę RBAC w zakresie do magazynu kluczy. Użyj następującego przykładu i tych samych zmiennych utworzonych wcześniej w tym artykule:

PrincipalId=$(az elastic-san volume-group show --name $EsanVgName \
    --resource-group $RgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $PrincipalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $vault_uri

Konfigurowanie kluczy zarządzanych przez klienta dla grupy woluminów

Wybierz moduł Azure PowerShell lub kartę interfejsu wiersza polecenia platformy Azure, aby uzyskać instrukcje dotyczące konfigurowania kluczy szyfrowania zarządzanych przez klienta przy użyciu preferowanego narzędzia do zarządzania.

Program PowerShell

Po wybraniu programu PowerShell wybierz kartę odpowiadającą tym, czy chcesz skonfigurować ustawienia podczas tworzenia nowej grupy woluminów, czy zaktualizować ustawienia dla istniejącej grupy.

Interfejs wiersza polecenia platformy Azure

Po wybraniu interfejsu wiersza polecenia wybierz kartę odpowiadającą tym, czy chcesz skonfigurować ustawienia podczas tworzenia nowej grupy woluminów, czy zaktualizować ustawienia dla istniejącej grupy.

Nowa grupa woluminów

Użyj tego przykładu, aby skonfigurować klucze zarządzane przez klienta z automatycznym aktualizowaniem wersji klucza podczas tworzenia nowej grupy woluminów przy użyciu programu PowerShell:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Aby skonfigurować klucze zarządzane przez klienta przy użyciu ręcznego aktualizowania wersji klucza podczas tworzenia nowej grupy woluminów przy użyciu programu PowerShell, dodaj KeyVersion parametr, jak pokazano w tym przykładzie:

# Setup the parameters to create the volume group.
$NewVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName                      = $KeyName
    KeyVaultUri                  = $KeyVault.VaultUri
    KeyVersion                   = $Key.Version
    IdentityType                 = "UserAssigned"
    IdentityUserAssignedIdentity = @{$UserIdentity.Id=$UserIdentity}
    EncryptionIdentityEncryptionUserAssignedIdentity = $UserIdentity.Id
}

# Create the volume group.
New-AzElasticSanVolumeGroup @NewVgArguments

Nowa grupa woluminów

Użyj poniższych przykładów i tych samych zmiennych utworzonych wcześniej w tym artykule , aby skonfigurować klucze zarządzane przez klienta podczas tworzenia nowej grupy woluminów:

Tożsamość zarządzana

vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### set policy for key permission
az keyvault set-policy -n $KvName --object-id $uai_principal_id --key-permissions get wrapkey unwrapkey

#### create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with customer-managed keys
az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName \
    --encryption EncryptionAtRestWithCustomerManagedKey \
    --protocol-type Iscsi \
    --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" \
    --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

az elastic-san volume update -g $RgName -e $EsanName -v $EsanVgName -n $volume_name --size-gib 2     

Tożsamość przypisana przez system

Zastąp youremail@here.com ciąg adresem e-mail użytkownika, do którego chcesz przypisać uprawnienia, i uruchom następujący skrypt:

#### Get vault_url
vault_uri=$(az keyvault show --name $KvName --resource-group $RgName --query "properties.vaultUri" -o tsv)

#### Find your object id and set key policy
objectId=$(az ad user show --id youremail@here.com --query id -o tsv)
az keyvault set-policy -n $KvName --object-id $objectId --key-permissions backup create delete get import get list update restore

#### Create key
az keyvault key create --vault-name $KvName -n $KeyName --protection software

### Create a volume group with platform-managed keys and a system assigned identity with it
#### Get the system identity's principalId from the response of PUT volume group request.
vg_identity_principal_id=$(az elastic-san volume-group create -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithPlatformKey --protocol-type Iscsi --identity '{type:SystemAssigned}' --query "identity.principalId" -o tsv)

### Grant access to  the system assigned identity to the key vault created in step1
#### (key permissions: Get, Unwrap Key, Wrap Key)
az keyvault set-policy -n $KvName --object-id $vg_identity_principal_id --key-permissions backup create delete get import get list update restore

### Update the volume group with the key created earlier
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

Istniejąca grupa woluminów

W tym zestawie przykładów pokazano, jak skonfigurować istniejącą grupę woluminów do używania kluczy zarządzanych przez klienta z tożsamością przypisaną przez system. Kroki to:

• Wygeneruj tożsamość przypisaną przez system dla grupy woluminów.
• Pobierz identyfikator podmiotu zabezpieczeń nowej tożsamości przypisanej przez system.
• Przypisz rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do nowej tożsamości magazynu kluczy.
• Zaktualizuj grupę woluminów, aby korzystała z kluczy zarządzanych przez klienta.

Użyj tego przykładu, aby skonfigurować istniejącą grupę woluminów do używania kluczy zarządzanych przez klienta z tożsamością przypisaną przez system i automatycznym aktualizowaniem wersji klucza przy użyciu programu PowerShell:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Aby skonfigurować istniejącą grupę woluminów do używania kluczy zarządzanych przez klienta z tożsamością przypisaną przez system i ręczną aktualizacją wersji klucza przy użyciu programu PowerShell, dodaj KeyVersion parametr, jak pokazano w tym przykładzie:

# Get the Elastic SAN volume group.
$ElasticSanVolumeGroup = Get-AzElasticSanVolumeGroup -Name $EsanVgName -ElasticSanName $EsanName -ResourceGroupName $RgName

# Generate a system-assigned identity if one does not already exist.
If ($ElasticSanVolumeGroup.IdentityPrincipalId -eq $null) {
Update-AzElasticSanVolumeGroup -ResourceGroupName $RgName -ElasticSanName $EsanName -Name $EsanVgName -IdentityType "SystemAssigned"}

# Get the `PrincipalId` (system-assigned identity) of the volume group.
$PrincipalId = $ElasticSanVolumeGroup.IdentityPrincipalId

# Setup the parameters to assign the Crypto Service Encryption User role.
$CryptoUserRoleArguments = @{
    ObjectId           = $PrincipalId
    RoleDefinitionName = "Key Vault Crypto Service Encryption User"
    Scope              = $KeyVault.ResourceId
}

# Assign the Crypto Service Encryption User role.
New-AzRoleAssignment @CryptoUserRoleArguments

# Setup the parameters to update the volume group.
$UpdateVgArguments        = @{
    Name                         = $EsanVgName
    ElasticSanName               = $EsanName
    ResourceGroupName            = $RgName
    ProtocolType                 = "Iscsi"
    Encryption                   = "EncryptionAtRestWithCustomerManagedKey"
    KeyName      = $KeyName
    KeyVaultUri  = $KeyVault.VaultUri
    KeyVersion   = $Key.Version
}

# Update the volume group.
Update-AzElasticSanVolumeGroup @UpdateVgArguments

Istniejąca grupa woluminów

Skorzystaj z poniższych przykładów tych samych zmiennych utworzonych wcześniej w tym artykule , aby skonfigurować klucze zarządzane przez klienta dla istniejącej grupy woluminów przy użyciu interfejsu wiersza polecenia platformy Azure.

Tożsamość zarządzana

### update the volume group with the new user assigned identity
az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity "{type:UserAssigned,user-assigned-identity:'$uai_id'}" --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'},identity:{user-assigned-identity:'$uai_id'}}"

Tożsamość przypisana przez system

az elastic-san volume-group update -e $EsanName -n $EsanVgName -g $RgName --identity '{type:SystemAssigned}' --encryption EncryptionAtRestWithCustomerManagedKey --encryption-properties "{key-vault-properties:{key-name:'$KeyName',key-vault-uri:'$vault_uri'}}"

W przypadku ręcznej aktualizacji wersji klucza należy zaktualizować ustawienia szyfrowania grupy woluminów, aby używać nowej wersji. Najpierw wykonaj zapytanie o identyfikator URI magazynu kluczy, wywołując polecenie az keyvault show, a w przypadku wersji klucza przez wywołanie polecenia az keyvault key list-versions. Następnie wywołaj metodę az elastic-san volume-group update , aby zaktualizować ustawienia szyfrowania grupy woluminów, aby użyć nowej wersji klucza, jak pokazano w poprzednim przykładzie.

Następne kroki

• Zarządzanie kluczami klientów na potrzeby szyfrowania danych w usłudze Azure Elastic SAN