你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Data Manager for Energy 中的数据安全和加密
本文概述了 Azure Data Manager for Energy 中的安全功能。 本文涵盖了静态加密、传输中加密、TLS、HTTPS、Microsoft 管理的密钥和客户管理的密钥等主要领域。
静态数据加密
Azure Data Manager for Energy 使用多个存储资源来存储元数据、用户数据和内存中数据等。将数据保存到云时,该平台会使用服务端加密自动对所有数据加密。 静态数据加密可保护数据,并帮助你履行组织的安全性和合规性承诺。 默认情况下,Azure Data Manager for Energy 中的所有数据都使用 Microsoft 管理的密钥进行加密。 除了 Microsoft 管理的密钥外,还可以使用自己的加密密钥来保护 Azure Data Manager for Energy 中的数据。 指定客户管理的密钥时,该密钥用于保护和控制对数据加密的 Microsoft 管理的密钥的访问。
加密传输中的数据
Azure Data Manager for Energy 支持传输层安全 (TLS 1.2) 协议,以保护在云服务和客户之间传输的数据。 TLS 进行严格的身份验证,消息隐私性和完整性强(允许检测消息篡改、拦截和伪造),具有良好的互操作性,算法灵活。
不仅是 TLS,与 Azure Data Manager for Energy 交互时,所有事务都通过 HTTPS 进行。
为 Azure Data Manager for Energy 实例设置客户管理的密钥 (CMK)
重要
创建 Azure Data Manager for Energy 实例后,你将无法编辑 CMK 设置。
先决条件
步骤 1:配置密钥保管库
你可以使用新的或现有的密钥保管库来存储客户管理的密钥。 若要了解有关 Azure Key Vault 的详细信息,请参阅 Azure Key Vault 概述和什么是 Azure Key Vault?
在 Azure Data Manager for Energy 中使用客户管理的密钥需要为密钥保管库启用软删除和清除保护。 创建新密钥保管库时,默认会启用软删除,并且无法禁用。 你可以在创建密钥保管库时或创建后启用清除保护。
若要了解如何使用 Azure 门户创建密钥保管库,请参阅快速入门:使用 Azure 门户创建密钥保管库。 创建密钥库时,请选择“启用清除保护”。
若要在现有密钥保管库上启用清除保护,请执行以下步骤:
- 在 Azure 门户中导航到密钥保管库。
- 在“设置”下面,选择“属性”。
- 在“清除保护”部分,选择“启用清除保护”。
步骤 2:添加密钥
- 接下来,在密钥保管库中添加密钥。
- 若要了解如何使用 Azure 门户添加密钥,请参阅快速入门:使用 Azure 门户在 Azure Key Vault 中设置和检索密钥中的说明创建密钥保管库。
- 建议 RSA 密钥大小为 3072,请参阅为 Azure Cosmos DB 帐户配置客户管理的密钥 | Microsoft Learn。
步骤 3:选择托管标识授予对密钥保管库的访问权限
- 为现有 Azure Data Manager for Energy 实例启用客户托管密钥时,必须指定将用于授权访问包含密钥的密钥库的托管标识。 托管标识必须有权访问密钥保管库中的密钥。
- 可以创建一个用户分配的托管标识。
为现有帐户配置客户管理的密钥
- 创建 Azure Data Manager for Energy 实例。
- 选择“加密”选项卡。
在“加密”选项卡中,选择“客户管理的密钥 (CMK)”。
要使用 CMK,你需要选择存储了密钥的密钥库。
对于“加密密钥”,选择“选择密钥保管库和密钥”。
然后,选中“选择密钥保管库和密钥”。
接下来,选择密钥保管库和密钥。
接下来,选择用户分配的托管标识,此标识将用于授予对密钥保管库(其中包含此密钥)的访问权限。
选中“选择用户标识”。 选择在先决条件中创建的用户分配的托管标识。
此用户分配的标识必须在密钥库上具有“获取密钥”、“列出密钥”、“包装密钥”和“展开密钥”权限。 有关分配 Azure 密钥保管库访问策略的详细信息,请参阅分配密钥保管库访问策略。
对于“加密密钥”,也可以选择“通过 URI 输入密钥”。 密钥必须启用软删除和清除保护。 必须通过选中下面所示的框来确认这一点。
接下来,在完成其他选项卡后,选择“查看+创建”。
选择“创建”按钮。
此时会创建具有客户管理的密钥的 Azure Data Manager for Energy 实例。
启用 CMK 后,你将在“概览”屏幕上看到其状态。
可以导航到“加密”,查看启用了用户托管标识的 CMK。
后续步骤
了解有关专用链接的详细信息。