Поделиться через

Использование ключей шифрования, управляемых клиентом, с управляемыми Azure Lustre

  • Статья

Azure Key Vault можно использовать для управления владением ключами, используемыми для шифрования данных, хранящихся в файловой системе Azure Managed Lustre. В этой статье объясняется, как использовать ключи, управляемые клиентом, для шифрования данных с помощью Azure Managed Lustre.

Примечание.

Все данные, хранящиеся в Azure, шифруются неактивных с помощью ключей, управляемых Корпорацией Майкрософт, по умолчанию. Для шифрования данных, хранящихся в кластере Azure Managed Lustre, необходимо выполнить действия, описанные в этой статье.

Шифрование узла виртуальной машины защищает все сведения на управляемых дисках, в которых хранятся данные в файловой системе Azure Managed Lustre, даже если добавить ключ клиента для дисков Lustre. Добавление ключа, управляемого клиентом, обеспечивает дополнительный уровень безопасности для обеспечения высокого уровня безопасности. Дополнительные сведения см. в статье о шифровании на стороне сервера хранилища дисков Azure.

Существует три шага, чтобы включить шифрование ключей, управляемых клиентом, для Управляемого Lustre Azure:

  1. Настройте Azure Key Vault для хранения ключей.
  2. Создайте управляемое удостоверение , которое может получить доступ к хранилищу ключей.
  3. При создании файловой системы выберите шифрование ключей, управляемых клиентом, и укажите хранилище ключей, ключ и управляемое удостоверение для использования.

В этой статье подробно описаны эти действия.

После создания файловой системы невозможно изменить между ключами, управляемыми клиентом, и ключами, управляемыми корпорацией Майкрософт.

Необходимые компоненты

Вы можете использовать предварительно существующее хранилище ключей и ключ или создать новые для использования с Управляемым Lustre Azure. Ознакомьтесь со следующими необходимыми параметрами, чтобы убедиться, что у вас есть правильно настроенное хранилище ключей и ключ.

Создание хранилища ключей и ключа

Настройте хранилище ключей Azure для хранения ключей шифрования. Хранилище ключей и ключ должны соответствовать этим требованиям для работы с Управляемым Lustre Azure.

Свойства хранилища ключей

Для использования с Управляемым Lustre Azure необходимы следующие параметры. Вы можете настроить параметры, которые не указаны по мере необходимости.

Основные сведения:

  • Подписка . Используйте ту же подписку, которая используется для управляемого кластера Lustre Azure.
  • Регион . Хранилище ключей должно находиться в том же регионе, что и кластер Azure Managed Lustre.
  • Ценовая категория — уровень "Стандартный" достаточно для использования с Управляемым Lustre Azure.
  • Обратимое удаление . Управляемый Lustre Azure включает обратимое удаление , если оно еще не настроено в хранилище ключей.
  • Защита от очистки— включение защиты очистки.

Политика доступа:

  • Конфигурация доступа. Задайте для управления доступом на основе ролей Azure.

Сеть.

  • Общедоступный доступ — должен быть включен.

  • Разрешить доступ. Выберите все сети или, если необходимо ограничить доступ, выберите выбранные сети.

    • Если выбраны выбранные сети, необходимо включить доверенный службы Майкрософт разрешить обход этого параметра брандмауэра в разделе исключений ниже.

Снимок экрана: ограничение доступа к хранилищу ключей к выбранным сетям, разрешая доступ к доверенным службы Майкрософт.

Примечание.

Если вы используете существующее хранилище ключей, ознакомьтесь с разделом параметров сети, чтобы убедиться, что разрешение доступа задано как "Разрешить общедоступный доступ из всех сетей" или внести изменения при необходимости.

Ключевые свойства

  • Тип ключа: RSA
  • Размер ключа RSA: 2048
  • Включено — да.

Разрешения на доступ к хранилищу ключей:

  • Пользователь, создающий систему Azure Managed Lustre, должен иметь разрешения, эквивалентные роли участника Key Vault. Для настройки Azure Key Vault и управления им необходимы те же разрешения.

    Дополнительные сведения см. в статье Безопасный доступ к хранилищу ключей.

Узнайте больше об основах Azure Key Vault.

Создание управляемого удостоверения, назначаемого пользователем

Управляемой файловой системе Lustre Azure требуется управляемое удостоверение, назначаемое пользователем, для доступа к хранилищу ключей.

Управляемые удостоверения — это автономные учетные данные удостоверения, которые занимают место удостоверений пользователей при доступе к службам Azure с помощью идентификатора Microsoft Entra. Как и другие пользователи, они могут назначать роли и разрешения. Узнайте больше об управляемых удостоверениях.

Создайте это удостоверение перед созданием файловой системы и предоставьте ему доступ к хранилищу ключей.

Примечание.

Если вы предоставляете управляемое удостоверение, которое не может получить доступ к хранилищу ключей, вы не сможете создать файловую систему.

Дополнительные сведения см. в документации по управляемым удостоверениям:

Создание управляемой файловой системы Lustre Azure с помощью ключей шифрования, управляемых клиентом

При создании файловой системы Azure Managed Lustre используйте вкладку "Ключи шифрования дисков", чтобы выбрать клиент, управляемый в параметре типа ключа шифрования диска. Другие разделы отображаются для параметров ключа клиента и управляемых удостоверений.

Снимок экрана: интерфейс портал Azure для создания новой системы Azure Managed Lustre с выбранным клиентом.

Помните, что во время создания можно настроить только управляемые клиентом ключи. Невозможно изменить тип ключей шифрования, используемых для существующей файловой системы Azure Managed Lustre.

Параметры ключа клиента

Выберите ссылку в параметрах ключа клиента, чтобы выбрать хранилище ключей, ключ и параметры версии. Вы также можете создать Azure Key Vault на этой странице. Если вы создаете новое хранилище ключей, не забудьте предоставить ему доступ к управляемому удостоверению.

Если Azure Key Vault не отображается в списке, проверьте следующие требования:

  • Файловая система находится в той же подписке, что и хранилище ключей?
  • Файловая система находится в том же регионе, что и хранилище ключей?
  • Существует ли сетевое подключение между порталом Azure и хранилищем ключей?

После выбора хранилища выберите отдельный ключ из доступных вариантов или создайте новый ключ. Ключ должен представлять собой 2048-битный ключ RSA.

Укажите версию для выбранного ключа. Дополнительные сведения об использовании версий см. в документации по Azure Key Vault.

Параметры управляемых удостоверений

Выберите ссылку в управляемых удостоверениях и выберите удостоверение, которое использует файловая система Azure Managed Lustre для доступа к хранилищу ключей.

После настройки этих параметров ключа шифрования перейдите на вкладку "Просмотр и создание " и завершите создание файловой системы как обычно.

Следующие шаги

В этих статьях объясняется, как использовать Azure Key Vault и ключи, управляемые клиентом, для шифрования данных в Azure.