Dela via


Konfigurera kundhanterade nycklar

Azure Data Explorer krypterar alla data i ett vilande lagringskonto. Som standard krypteras data med Microsoft-hanterade nycklar. Om du vill ha extra kontroll över krypteringsnycklar kan du ange kundhanterade nycklar som ska användas för datakryptering.

Kundhanterade nycklar måste lagras i en Azure-Key Vault. Du kan skapa egna nycklar och lagra dem i ett nyckelvalv, eller så kan du använda ett Azure Key Vault-API för att generera nycklar. Azure Data Explorer-klustret och nyckelvalvet måste finnas i samma region, men de kan finnas i olika prenumerationer. En detaljerad förklaring av kundhanterade nycklar finns i Kundhanterade nycklar med Azure Key Vault.

Den här artikeln visar hur du konfigurerar kundhanterade nycklar.

Kodexempel baserade på tidigare SDK-versioner finns i den arkiverade artikeln.

Konfigurera Azure Key Vault

Om du vill konfigurera kundhanterade nycklar med Azure Data Explorer måste du ange två egenskaper för nyckelvalvet: Mjuk borttagning och Rensa inte. Dessa egenskaper är inte aktiverade som standard. Aktivera dessa egenskaper genom att aktivera mjuk borttagning och aktivera rensningsskydd i PowerShell eller Azure CLI på ett nytt eller befintligt nyckelvalv. Endast RSA-nycklar med storlek 2048 stöds. Mer information om nycklar finns i Key Vault nycklar.

Anteckning

Information om begränsningarna med att använda kundhanterade nycklar i leader- och uppföljningskluster finns i Begränsningar.

Tilldela en hanterad identitet till klustret

Om du vill aktivera kundhanterade nycklar för klustret tilldelar du först antingen en systemtilldelad eller användartilldelad hanterad identitet till klustret. Du använder den här hanterade identiteten för att ge klustret behörighet att komma åt nyckelvalvet. Information om hur du konfigurerar hanterade identiteter finns i Hanterade identiteter.

Aktivera kryptering med kundhanterade nycklar

Följande steg beskriver hur du aktiverar kryptering av kundhanterade nycklar med hjälp av Azure Portal. Som standard använder Azure Data Explorer-kryptering Microsoft-hanterade nycklar. Konfigurera ditt Azure Data Explorer-kluster för att använda kundhanterade nycklar och ange nyckeln som ska associeras med klustret.

  1. Gå till din Azure Data Explorer-klusterresurs i Azure Portal.

  2. Välj Inställningar>Kryptering i den vänstra rutan i portalen.

  3. I fönstret Kryptering väljer du för inställningen Kundhanterad nyckel .

  4. Välj Välj nyckel.

    Skärmbild som visar hur du konfigurerar kundhanterade nycklar.

  5. I fönstret Välj nyckel från Azure Key Vault väljer du ett befintligt nyckelvalv i listrutan. Om du väljer Skapa ny för att skapa en ny Key Vault dirigeras du till skärmen Skapa Key Vault.

  6. Välj Nyckel.

  7. Version:

    • Om du vill se till att den här nyckeln alltid använder den senaste nyckelversionen markerar du kryssrutan Använd alltid aktuell nyckelversion .
    • Annars väljer du Version.
  8. Välj Välj.

    Skärmbild som visar Välj nyckel från Azure Key Vault.

  9. Under Identitetstyp väljer du Systemtilldelad eller Användartilldelad.

  10. Om du väljer Användartilldelad väljer du en användartilldelad identitet i listrutan.

    Skärmbild som visar alternativet för att välja en hanterad identitetstyp.

  11. I fönstret Kryptering som nu innehåller nyckeln väljer du Spara. När CMK har skapats visas ett meddelande i Meddelanden.

    Skärmbild som visar alternativet att spara en kundhanterad nyckel.

Om du väljer systemtilldelad identitet när du aktiverar kundhanterade nycklar för ditt Azure Data Explorer-kluster skapar du en systemtilldelad identitet för klustret om det inte finns någon. Dessutom tillhandahåller du nödvändiga behörigheter för get, wrapKey och unwrapKey till ditt Azure Data Explorer-kluster på den valda Key Vault och hämtar egenskaperna för Key Vault.

Anteckning

Välj Av för att ta bort den kundhanterade nyckeln när den har skapats.

Uppdatera nyckelversionen

När du skapar en ny version av en nyckel måste du uppdatera klustret så att det använder den nya versionen. Get-AzKeyVaultKey Anropa först för att hämta den senaste versionen av nyckeln. Uppdatera sedan klustrets nyckelvalvsegenskaper för att använda den nya versionen av nyckeln, som du ser i Aktivera kryptering med kundhanterade nycklar.