Konfigurace klíčů spravovaných zákazníkem

Azure Data Explorer šifruje všechna uložená data v neaktivním účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete získat větší kontrolu nad šifrovacími klíči, můžete zadat klíče spravované zákazníkem, které se použijí pro šifrování dat.

Klíče spravované zákazníkem musí být uložené v azure Key Vault. Můžete vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete k vygenerování klíčů použít rozhraní API azure Key Vault. Cluster Azure Data Explorer a trezor klíčů musí být ve stejné oblasti, ale můžou být v různých předplatných. Podrobné vysvětlení klíčů spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pomocí Azure Key Vault.

V tomto článku se dozvíte, jak nakonfigurovat klíče spravované zákazníkem.

Ukázky kódu založené na předchozích verzích sady SDK najdete v archivovaného článku.

Konfigurace Azure Key Vaultu

Pokud chcete nakonfigurovat klíče spravované zákazníkem pomocí Azure Data Explorer, musíte v trezoru klíčů nastavit dvě vlastnosti: Obnovitelné odstranění a Nevyprázdnit. Tyto vlastnosti nejsou ve výchozím nastavení povolené. Pokud chcete tyto vlastnosti povolit, proveďte povolení obnovitelného odstranění a povolení ochrany proti vymazání v PowerShellu nebo Azure CLI v novém nebo existujícím trezoru klíčů. Podporují se pouze klíče RSA velikosti 2048. Další informace o klíčích najdete v tématu Key Vault klíče.

Poznámka

Informace o omezeních používání klíčů spravovaných zákazníkem v clusterech leader a follower najdete v tématu Omezení.

Přiřazení spravované identity ke clusteru

Pokud chcete pro cluster povolit klíče spravované zákazníkem, nejprve clusteru přiřaďte spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem. Tuto spravovanou identitu použijete k udělení oprávnění clusteru pro přístup k trezoru klíčů. Informace o konfiguraci spravovaných identit najdete v tématu Spravované identity.

Povolení šifrování pomocí klíčů spravovaných zákazníkem

Následující postup vysvětluje, jak povolit šifrování klíčů spravovaných zákazníkem pomocí Azure Portal. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

  1. V Azure Portal přejděte k prostředku clusteru Azure Data Explorer.

  2. V levém podokně portálu vyberte Nastavení>Šifrování .

  3. V podokně Šifrování vyberte Zapnuto pro nastavení klíče spravovaného zákazníkem .

  4. Vyberte Vybrat klíč.

    Snímek obrazovky znázorňující konfiguraci klíčů spravovaných zákazníkem

  5. V okně Vybrat klíč z Azure Key Vault vyberte v rozevíracím seznamu existující trezor klíčů. Pokud vyberete Vytvořit nový a vytvoříte nový Key Vault, budete přesměrováni na obrazovku Vytvořit Key Vault.

  6. Vyberte Klíč.

  7. Verze:

    • Pokud chcete zajistit, aby tento klíč vždy používal nejnovější verzi klíče, zaškrtněte políčko Vždy používat aktuální verzi klíče .
    • V opačném případě vyberte Verze.
  8. Vyberte Vybrat.

    Snímek obrazovky znázorňující klíč Select z Azure Key Vault

  9. V části Typ identity vyberte Přiřazeno systémem nebo Přiřazeno uživatelem.

  10. Pokud vyberete Přiřazeno uživatelem, vyberte z rozevíracího seznamu identitu přiřazenou uživatelem.

    Snímek obrazovky znázorňující možnost výběru typu spravované identity

  11. V podokně Šifrování , které teď obsahuje váš klíč, vyberte Uložit. Po úspěšném vytvoření CMK se v oznámeních zobrazí zpráva o úspěchu.

    Snímek obrazovky s možností uložení klíče spravovaného zákazníkem

Pokud při povolování klíčů spravovaných zákazníkem pro cluster Azure Data Explorer vyberete identitu přiřazenou systémem, vytvoříte pro cluster identitu přiřazenou systémem, pokud neexistuje. Kromě toho na vybraném Key Vault poskytnete clusteru Azure Data Explorer požadovaná oprávnění get, wrapKey a unwrapKey a získáte Key Vault vlastnosti.

Poznámka

Výběrem možnosti Vypnuto odeberete klíč spravovaný zákazníkem po jeho vytvoření.

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, budete muset cluster aktualizovat tak, aby používal novou verzi. Nejprve zavolejte, Get-AzKeyVaultKey abyste získali nejnovější verzi klíče. Pak aktualizujte vlastnosti trezoru klíčů clusteru tak, aby používaly novou verzi klíče, jak je znázorněno v tématu Povolení šifrování pomocí klíčů spravovaných zákazníkem.