設定客戶管理的金鑰

Azure Data Explorer會加密待用儲存體帳戶中的所有資料。 根據預設，資料是以使用 Microsoft 管理的金鑰加密。 若要進一步控制加密金鑰，您可以提供客戶管理的金鑰以用於資料加密。

客戶管理的金鑰必須儲存在Azure 金鑰保存庫中。 您可以建立自己的金鑰，並將其儲存在金鑰保存庫中，或使用 Azure 金鑰保存庫 API 來產生金鑰。 Azure Data Explorer叢集和金鑰保存庫必須位於相同的區域中，但它們可以位於不同的訂用帳戶中。 如需客戶自控金鑰的詳細說明，請參閱客戶管理的金鑰與 Azure 金鑰保存庫。

本文說明如何設定客戶管理的金鑰。

設定 Azure Key Vault

若要使用 Azure Data Explorer設定客戶管理的金鑰，您必須在金鑰保存庫上設定兩個屬性：虛刪除和不要清除。 預設不會啟用這些屬性。 若要啟用這些屬性，請在新的或現有的金鑰保存庫上執行啟用虛刪除和在PowerShell或Azure CLI中啟用清除保護。 僅支援大小為 2048 的 RSA 金鑰。 如需金鑰的詳細資訊，請參閱金鑰保存庫金鑰。

注意

領導者和追蹤者叢集不支援使用客戶管理的金鑰進行資料加密。

將受控識別指派給叢集

若要為叢集啟用客戶管理的金鑰，請先將系統指派或使用者指派的受控識別指派給叢集。 您將使用此受控識別來授與叢集存取金鑰保存庫的許可權。 若要設定受控識別，請參閱 受控識別。

使用客戶管理的金鑰來啟用加密

入口網站

下列步驟說明如何使用 Azure 入口網站啟用客戶管理的金鑰加密。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 將 Azure Data Explorer 叢集設定為使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 在Azure 入口網站中，移至您的Azure Data Explorer叢集資源。

2. 選取入口網站左窗格中的 [設定>加密]。

3. 在 [加密]窗格中，針對[客戶管理的金鑰] 設定選取 [開啟]。

4. 按一下 [選取金鑰]。

   

5. 在 [從 Azure 選取金鑰] 金鑰保存庫視窗中，從下拉式清單中選取現有的金鑰保存庫。 如果您選取 [新建] 來建立新的金鑰保存庫，系統會將您路由傳送至 [建立金鑰保存庫] 畫面。

6. 選取 [金鑰]。

7. 版本：

   • 若要確保此金鑰一律使用最新的金鑰版本，請選取 [ 永遠使用目前的金鑰版本 ] 核取方塊。
   • 否則，請選取 [ 版本]。

8. 按一下 [選取]。

   

9. 在 [身分識別類型] 底下，選取 [ 系統指派 ] 或 [ 使用者指派]。

10. 如果您選取 [ 使用者指派]，請從下拉式清單中挑選使用者指派的身分識別。

    

11. 在現在包含金鑰的 [加密 ] 窗格中，選取 [ 儲存]。 CMK 建立成功時，您會在 [通知] 中看到成功訊息。

    

如果您在為 Azure Data Explorer 叢集啟用客戶管理的金鑰時選取系統指派的身分識別，如果叢集不存在，您將為叢集建立系統指派的身分識別。 此外，您會在選取的金鑰保存庫上，將所需的 get、wrapKey 和 unwrapKey 許可權提供給 Azure Data Explorer 叢集，並取得金鑰保存庫屬性。

注意

選取 [關閉 ] 以在建立客戶管理的金鑰之後移除它。

C#

下列各節說明如何使用 Azure Data Explorer C# 用戶端來設定客戶管理的金鑰加密。

安裝套件

• 安裝Azure Data Explorer (Kusto) NuGet 套件。
• 安裝 MSAL NuGet 套件 ，以向 Azure Active Directory (Azure AD) 進行驗證。
• 安裝 Microsoft.Rest.ClientRuntime NuGet 套件 ，以向 Azure Active Directory (Azure AD) 進行驗證。

驗證

若要執行本文中的範例，請建立可存取資源的 Azure AD 應用程式和 服務主體。 您可以在訂用帳戶範圍新增角色指派，並取得必要的 Azure AD Directory (tenant) ID 、 Application ID 和 Application Secret 。

下列程式碼片段示範如何使用 Microsoft 驗證程式庫 (MSAL) 來取得 Azure AD 應用程式權杖來存取您的叢集。 若要讓流程成功，應用程式必須向 Azure AD 註冊，而且您必須具備應用程式驗證的認證，例如 Azure AD 發行的應用程式金鑰或 Azure AD 註冊的 X.509v2 憑證。

設定客戶管理的金鑰

根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 將 Azure Data Explorer 叢集設定為使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 使用下列程式碼更新叢集：

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   // Create a confidential authentication client for Azure AD:
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret) // can be replaced by .WithCertificate to authenticate with an X.509 certificate
       .Build();
   // Acquire application token
   var result = authClient.AcquireTokenForClient(
       new[] { "https://management.core.windows.net/.default" } // Define scopes for accessing Azure management plane
   ).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterPatch = new ClusterUpdate(
       keyVaultProperties: new KeyVaultProperties(
           keyName: "<keyName>",
           keyVersion: "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           keyVaultUri: "https://<keyVaultName>.vault.azure.net/",
           userIdentity: "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       )
   );
   await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);
   

2. 執行下列命令來檢查您的叢集是否已成功更新：

   var clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   如果結果包含 ProvisioningState 值 Succeeded ，則已成功更新您的叢集。

Azure CLI

下列步驟說明如何使用 Azure CLI 用戶端啟用客戶管理的金鑰加密。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 將 Azure Data Explorer 叢集設定為使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 執行下列命令以登入 Azure：

   az login
   

2. 設定註冊叢集的訂用帳戶。 以您想要使用的 Azure 訂用帳戶名稱取代 MyAzureSub 。

   az account set --subscription MyAzureSub
   

3. 執行下列命令，以使用叢集系統指派的身分識別來設定新的金鑰

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   或者，使用使用者指派的身分識別來設定新的金鑰。

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. 執行下列命令並檢查 'keyVaultProperties' 屬性，以確認叢集已成功更新。

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

PowerShell

下列步驟說明如何使用 PowerShell 啟用客戶管理的金鑰加密。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 將 Azure Data Explorer 叢集設定為使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

1. 執行下列命令以登入 Azure：

   Connect-AzAccount
   

2. 設定註冊叢集的訂用帳戶。

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. 執行下列命令，以使用系統指派的身分識別來設定新的金鑰。

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   或者，使用使用者指派的身分識別來設定新的金鑰。

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. 執行下列命令並檢查 'KeyVaultProperty...'屬性，以確認叢集已成功更新。

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

ARM 範本

下列步驟說明如何使用 Azure Resource Manager 範本來設定客戶管理的金鑰。 根據預設，Azure Data Explorer加密會使用 Microsoft 管理的金鑰。 在此步驟中，將 Azure Data Explorer 叢集設定為使用客戶管理的金鑰，並指定要與叢集建立關聯的金鑰。

如果您想要使用系統指派的身分識別來存取金鑰保存庫，請保留 userIdentity 空白。 否則，請設定身分識別的資源識別碼。

您可以使用 Azure 入口網站 或使用 PowerShell 來部署 Azure Resource Manager範本。

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

更新金鑰版本

當您建立新版本的金鑰時，您必須更新叢集以使用新版本。 首先，呼叫 Get-AzKeyVaultKey 以取得最新版的金鑰。 然後更新叢集的金鑰保存庫屬性以使用新版本的金鑰，如 使用客戶管理的金鑰啟用加密中所示。

下一步

• 保護 Azure 中的 Azure Data Explorer叢集
• 為您的 Azure 資料總管叢集設定受控識別
• 使用 Azure 中的磁片加密來保護叢集Data Explorer