共用方式為

搭配 Azure 受控 Lustre 使用客戶管理的加密金鑰

  • 發行項

您可以使用 Azure 金鑰保存庫 來控制用來加密 Azure 受控 Lustre 檔案系統中所儲存資料的金鑰擁有權。 本文說明如何使用客戶管理的密鑰搭配 Azure 受控 Lustre 進行數據加密。

注意

根據預設,儲存在 Azure 中的所有數據都會使用Microsoft管理的密鑰進行待用加密。 如果您想要管理儲存在 Azure 受控 Lustre 叢集中時用來加密資料的金鑰,您只需要遵循本文中的步驟。

即使您為 Lustre 磁碟新增客戶金鑰,VM 主機加密 也會保護在 Azure 受控 Lustre 檔案系統中保存數據的受控磁碟上的所有資訊。 新增客戶管理的金鑰可提供高安全性需求的額外安全性層級。 如需詳細資訊,請參閱 Azure 磁碟記憶體的伺服器端加密。

有三個步驟可針對 Azure 受控 Lustre 啟用客戶管理的密鑰加密:

  1. 設定 Azure 金鑰保存庫 來儲存金鑰。
  2. 建立可存取該金鑰保存庫的受控識別
  3. 建立檔案系統時, 請選擇客戶管理的金鑰加密 ,並指定要使用的金鑰保存庫、金鑰和受控識別。

本文將更詳細地說明這些步驟。

建立檔案系統之後,您無法在客戶管理的金鑰與Microsoft管理的金鑰之間變更。

必要條件

您可以使用預先存在的金鑰保存庫和金鑰,或建立新的金鑰以搭配 Azure 受控 Lustre 使用。 請參閱下列必要設定,以確保您已正確設定金鑰保存庫和密鑰。

建立金鑰保存庫和金鑰

設定 Azure 金鑰儲存庫來儲存您的加密金鑰。 密鑰保存庫和金鑰必須符合這些需求,才能使用 Azure 受控 Lustre。

金鑰保存庫屬性

需要下列設定才能與 Azure 受控 Lustre 搭配使用。 您可以設定未視需要列出的選項。

基本:

  • 用帳戶 - 使用用於 Azure 受控 Lustre 叢集的相同訂用帳戶。
  • 區域 - 金鑰保存庫必須位於與 Azure 受控 Lustre 叢集相同的區域中。
  • 定價層 - 標準層 足以與 Azure 受控 Lustre 搭配使用。
  • 虛刪除 - 如果尚未在金鑰保存庫上設定,Azure 受控 Lustre 會啟用虛刪除。
  • 清除保護 - 啟用清除保護。

存取原則:

  • 存取設定 - 設定為 Azure 角色型存取控制。

網路:

  • 公用存取 - 必須啟用。

  • 允許存取 - 選取 [ 所有網络 ],或者,如果您需要限制存取,請選取 [ 選取的網络]

    • 如果選擇 [選取的網络],您必須在下方的 [例外狀況] 區段中啟用 [允許受信任的 Microsoft 服務 略過此防火牆選項

此螢幕快照顯示如何限制對所選網路的密鑰保存庫存取,同時允許存取受信任的 Microsoft 服務。

注意

如果您使用現有的金鑰保存庫,您可以檢閱 [網络設定] 區段,確認 [允許從 存取 ] 設定為 [允許來自所有網络的公用存取],或視需要進行變更。

索引鍵屬性

  • 金鑰類型 - RSA
  • RSA 金鑰大小 - 2048
  • 已啟用 - 是

金鑰保存庫存取權限:

深入瞭解 Azure 金鑰保存庫 基本概念

建立使用者指派的受控識別

Azure 受控 Lustre 檔案系統需要使用者指派的受控識別,才能存取密鑰保存庫。

受控識別是獨立身分識別認證,可透過 Microsoft Entra ID 存取 Azure 服務時取代使用者身分識別。 和其他用戶一樣,他們可以獲指派角色和許可權。 深入了解受控識別。

建立文件系統之前,請先建立此身分識別,並授與金鑰保存庫的存取權。

注意

如果您提供無法存取金鑰保存庫的受控識別,您將無法建立檔案系統。

如需詳細資訊,請參閱受控識別檔:

使用客戶管理的加密金鑰建立 Azure 受控 Lustre 檔案系統

當您建立 Azure 受控 Lustre 檔案系統時,請使用 [磁碟加密金鑰] 索引標籤,在 [磁碟加密金鑰類型] 設定中選取 [客戶管理]。 [客戶金鑰設定] 和 [受控識別] 會顯示其他區段。

用於建立新 Azure 受控 Lustre 系統的 Azure 入口網站 介面螢幕快照,其中已選取客戶管理。

請記住,您只能在建立時設定客戶管理的金鑰。 您無法變更用於現有 Azure 受控 Lustre 檔案系統的加密金鑰類型。

客戶金鑰設定

選取客戶金鑰設定中的連結,以選取金鑰保存庫、金鑰和版本設定。 您也可以從此頁面建立新的 Azure 金鑰保存庫。 如果您建立新的金鑰保存庫,請記得授與受控識別存取權。

如果您的 Azure 金鑰保存庫 未出現在清單中,請檢查下列需求:

  • 檔案系統是否與金鑰保存庫位於相同的訂用帳戶中?
  • 檔案系統是否位於與金鑰保存庫相同的區域中?
  • Azure 入口網站與金鑰保存庫之間是否有網路連線?

在選取保存庫後,從可用的選項中選取個別金鑰,或建立新的金鑰。 金鑰必須是 2048 位元 RSA 金鑰。

指定所選金鑰的版本。 如需版本設定的詳細資訊,請參閱 Azure 金鑰保存庫 檔

受控識別設定

選取受控識別中的鏈接,然後選取 Azure 受控 Lustre 檔案系統用於金鑰保存庫存取的身分識別。

設定這些加密金鑰設定之後,請繼續進行 [ 檢閱 + 建立 ] 索引標籤,並如往常完成建立文件系統。

下一步

這些文章會詳細說明如何使用 Azure Key Vault 和客戶自控金鑰來加密 Azure 中的資料: