Konfigurace klíčů spravovaných zákazníkem

Následující postup vysvětluje, jak povolit šifrování klíčů spravovaných zákazníkem pomocí Azure Portal. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. V Azure Portal přejděte k prostředku clusteru Azure Data Explorer.

2. V levém podokně portálu vyberte Nastavení>Šifrování .

3. V podokně Šifrování vyberte Zapnuto pro nastavení klíče spravovaného zákazníkem .

4. Vyberte Vybrat klíč.

   

5. V okně Vybrat klíč z Azure Key Vault vyberte v rozevíracím seznamu existující trezor klíčů. Pokud vyberete Vytvořit nový a vytvoříte nový Key Vault, budete přesměrováni na obrazovku Vytvořit Key Vault.

6. Vyberte Klíč.

7. Verze:

   • Pokud chcete zajistit, aby tento klíč vždy používal nejnovější verzi klíče, zaškrtněte políčko Vždy používat aktuální verzi klíče .
   • V opačném případě vyberte Verze.

8. Vyberte Vybrat.

   

9. V části Typ identity vyberte Přiřazeno systémem nebo Přiřazeno uživatelem.

10. Pokud vyberete Přiřazeno uživatelem, vyberte z rozevíracího seznamu identitu přiřazenou uživatelem.

    

11. V podokně Šifrování , které teď obsahuje váš klíč, vyberte Uložit. Po úspěšném vytvoření CMK se v oznámeních zobrazí zpráva o úspěchu.

    

Pokud při povolování klíčů spravovaných zákazníkem pro cluster Azure Data Explorer vyberete identitu přiřazenou systémem, vytvoříte pro cluster identitu přiřazenou systémem, pokud neexistuje. Kromě toho na vybraném Key Vault poskytnete clusteru Azure Data Explorer požadovaná oprávnění get, wrapKey a unwrapKey a získáte Key Vault vlastnosti.

Následující části vysvětlují, jak nakonfigurovat šifrování klíčů spravovaných zákazníkem pomocí klienta Azure Data Explorer jazyka C#.

Instalace balíčků

• Nainstalujte balíček NuGet azure Data Explorer (Kusto).
• Nainstalujte balíček NuGet Azure.Identity pro ověřování s Microsoft Entra ID.

Authentication

Pokud chcete spustit příklady v tomto článku, vytvořte Microsoft Entra aplikaci a instanční objekt, které mají přístup k prostředkům. Přiřazení role můžete přidat v oboru předplatného a získat požadované Microsoft Entra Directory (tenant) ID, Application IDa Application Secret.

Následující fragment kódu ukazuje, jak pomocí knihovny Microsoft Authentication Library (MSAL) získat token aplikace Microsoft Entra pro přístup ke clusteru. Aby tok proběhl úspěšně, musí být aplikace zaregistrovaná s Microsoft Entra ID a vy musíte mít přihlašovací údaje pro ověřování aplikace, jako je klíč aplikace vydaný Microsoft Entra ID nebo Microsoft Entra zaregistrovaný certifikát X.509v2.

Konfigurace klíčů spravovaných zákazníkem

Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. Aktualizujte cluster pomocí následujícího kódu:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. Spuštěním následujícího příkazu zkontrolujte, jestli se cluster úspěšně aktualizoval:

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   Pokud výsledek obsahuje ProvisioningState s Succeeded hodnotou, cluster se úspěšně aktualizoval.

Následující kroky vysvětlují, jak povolit šifrování klíčů spravovaných zákazníkem pomocí klienta Azure CLI. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. Spuštěním následujícího příkazu se přihlaste k Azure:

   az login
   

2. Nastavte předplatné, ve kterém je váš cluster zaregistrovaný. Nahraďte MyAzureSub názvem předplatného Azure, které chcete použít.

   az account set --subscription MyAzureSub
   

3. Spuštěním následujícího příkazu nastavte nový klíč s identitou přiřazenou systémem clusteru.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Případně nastavte nový klíč s identitou přiřazenou uživatelem.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Spusťte následující příkaz a zkontrolujte vlastnost keyVaultProperties a ověřte, že se cluster úspěšně aktualizoval.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

Následující postup vysvětluje, jak povolit šifrování klíčů spravovaných zákazníkem pomocí PowerShellu. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. Nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

1. Spuštěním následujícího příkazu se přihlaste k Azure:

   Connect-AzAccount
   

2. Nastavte předplatné, ve kterém je váš cluster zaregistrovaný.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Spuštěním následujícího příkazu nastavte nový klíč pomocí identity přiřazené systémem.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Případně můžete nový klíč nastavit pomocí identity přiřazené uživatelem.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Spusťte následující příkaz a zkontrolujte KeyVaultProperty... vlastnosti pro ověření úspěšné aktualizace clusteru.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

Následující postup vysvětluje, jak nakonfigurovat klíče spravované zákazníkem pomocí šablon Azure Resource Manager. Šifrování Azure Data Explorer ve výchozím nastavení používá klíče spravované Microsoftem. V tomto kroku nakonfigurujte cluster Azure Data Explorer tak, aby používal klíče spravované zákazníkem, a zadejte klíč, který chcete ke clusteru přidružit.

Pokud chcete pro přístup k trezoru klíčů použít identitu přiřazenou systémem, nechte userIdentity prázdnou. V opačném případě nastavte ID prostředku identity.

Šablonu Azure Resource Manager můžete nasadit pomocí Azure Portal nebo PowerShellu.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}