将客户管理的加密密钥与 Azure 托管 Lustre 配合使用
可以使用 Azure 密钥库来控制用于加密存储在 Azure 托管 Lustre 文件系统中的数据的密钥的所有权。 本文介绍如何使用客户管理的密钥通过 Azure 托管 Lustre 进行数据加密。
注意
默认情况下,Azure 中存储的所有数据都使用Microsoft管理的密钥进行静态加密。 如果想要管理用于在 Azure 托管 Lustre 群集中存储数据的密钥,则只需按照本文中的步骤进行操作。
即使为 Lustre 磁盘添加客户密钥,VM 主机加密 也会保护托管磁盘上保存数据的托管磁盘上的所有信息。 添加客户管理的密钥可为高安全性需求提供额外的安全级别。 有关详细信息,请参阅 Azure 磁盘存储的服务器端加密。
为 Azure 托管 Lustre 启用客户管理的密钥加密有三个步骤:
- 设置 Azure 密钥库以存储密钥。
- 创建可以访问该密钥保管库的托管标识 。
- 创建文件系统时, 请选择客户管理的密钥加密 ,并指定要使用的密钥保管库、密钥和托管标识。
本文更详细地介绍了这些步骤。
创建文件系统后,不能在客户管理的密钥和Microsoft管理的密钥之间进行更改。
先决条件
可以使用预先存在的密钥保管库和密钥,也可以创建用于 Azure 托管 Lustre 的新密钥保管库。 请参阅以下必需设置,确保已正确配置密钥保管库和密钥。
创建密钥保管库和密钥
设置 Azure 密钥保管库以存储加密密钥。 密钥保管库和密钥必须满足这些要求才能使用 Azure 托管 Lustre。
Key Vault 属性
若要与 Azure 托管 Lustre 一起使用,需要以下设置。 可以配置未根据需要列出的选项。
基本信息:
- 订阅 - 使用用于 Azure 托管 Lustre 群集的同一订阅。
- 区域 - 密钥保管库必须与 Azure 托管 Lustre 群集位于同一区域。
- 定价层 - 标准层 足以用于 Azure 托管 Lustre。
- 软删除 - 如果尚未在密钥保管库上配置软删除,Azure 托管 Lustre 会启用软删除。
- 清除保护 - 启用清除保护。
访问策略”:
- 访问配置 - 设置为 Azure 基于角色的访问控制。
网络:
公共访问 - 必须启用。
允许访问 - 选择“所有网络”,或者,如果需要限制访问,请选择“所选网络”
- 如果选择了所选网络,则必须在下面的“例外”部分中启用“允许受信任的Microsoft 服务绕过此防火墙选项。
注意
如果使用现有的密钥保管库,可以查看“网络设置”部分,确认 “允许访问” 设置为 “允许来自所有网络的公共访问”,或者在必要时进行更改。
关键属性
- 密钥类型 - RSA
- RSA 密钥大小 - 2048
- 启用 - 是
密钥保管库访问权限:
创建 Azure 托管 Lustre 系统的用户必须具有与密钥库参与者角色等效的权限。 设置和管理 Azure Key Vault 需要相同的权限。
有关详细信息,请参阅保护对 Key Vault 的访问。
详细了解 Azure 密钥库基础知识。
创建用户分配的托管标识
Azure 托管 Lustre 文件系统需要用户分配的托管标识才能访问密钥保管库。
托管标识是独立标识凭据,可通过 Microsoft Entra ID 访问 Azure 服务时取代用户标识。 与其他用户一样,他们可以分配角色和权限。 详细了解托管标识。
在创建文件系统之前创建此标识,并授予它对密钥保管库的访问权限。
注意
如果提供无法访问密钥保管库的托管标识,则无法创建文件系统。
有关详细信息,请参阅托管标识文档:
使用客户管理的加密密钥创建 Azure 托管 Lustre 文件系统
创建 Azure 托管 Lustre 文件系统时,请使用“磁盘加密密钥”选项卡选择“磁盘加密密钥类型”设置中托管的客户。 其他部分将显示客户 密钥设置 和 托管标识。
请记住,只能在创建时设置客户管理的密钥。 无法更改用于现有 Azure 托管 Lustre 文件系统的加密密钥类型。
客户密钥设置
选择客户密钥设置中的链接以选择密钥保管库、密钥和版本设置。 还可以从此页面创建新的 Azure 密钥库。 如果创建新的密钥保管库,请记住授予托管标识访问权限。
如果 Azure 密钥库未显示在列表中,请检查以下要求:
- 文件系统是否与密钥保管库位于同一订阅中?
- 文件系统是否与密钥保管库位于同一区域?
- Azure 门户与密钥保管库之间是否存在网络连接?
选择保管库后,从可用选项中选择单个密钥,或创建新密钥。 密钥必须是 2048 位的 RSA 密钥。
指定所选密钥的版本。 有关版本控制的详细信息,请参阅 Azure 密钥库 文档。
托管标识设置
选择托管标识中的链接,然后选择 Azure 托管 Lustre 文件系统用于密钥保管库访问的标识。
配置这些加密密钥设置后,转到 “查看 + 创建 ”选项卡,并像往常一样完成文件系统创建。
后续步骤
这些文章详细介绍了如何使用 Azure Key Vault 和客户管理的密钥来加密 Azure 中的数据: