Konfigurieren von kundenseitig verwalteten Schlüsseln

Azure Data Explorer verschlüsselt alle Daten in einem Speicherkonto für ruhende Daten. Standardmäßig werden Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Für zusätzliche Kontrolle über Verschlüsselungsschlüssel können Sie kundenseitig verwaltete Schlüssel bereitstellen, die für die Datenverschlüsselung verwendet werden können.

Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault gespeichert werden. Sie können eigene Schlüssel erstellen und in einer Key Vault-Instanz speichern oder eine Azure Key Vault-API verwenden, um Schlüssel zu generieren. Der Azure Data Explorer-Cluster und die Key Vault-Instanz müssen sich in der gleichen Region befinden, können aber zu verschiedenen Abonnements gehören. Eine ausführliche Erläuterung zu kundenseitig verwalteten Schlüsseln finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten im Abschnitt „Von Kunden verwaltete Schlüssel mit Azure Key Vault“.

Der vorliegende Artikel veranschaulicht das Konfigurieren von kundenseitig verwalteten Schlüsseln.

Codebeispiele, die auf früheren SDK-Versionen basieren, finden Sie im archivierten Artikel.

Konfigurieren von Azure Key Vault

Um kundenseitig verwaltete Schlüssel mit Azure Data Explorer zu konfigurieren, müssen Sie zwei Eigenschaften in Key Vault festlegen: Vorläufiges Löschen und Do Not Purge (Nicht bereinigen). Diese Eigenschaften sind standardmäßig nicht aktiviert. Um diese Eigenschaften zu aktivieren, führen Sie Aktivieren des vorläufigen Löschens und Aktivieren des Bereinigungsschutzes in PowerShell oder Azure CLI in einem neuen oder vorhandenen Schlüsseltresor aus. Es werden ausschließlich RSA-Schlüssel und die Größe 2.048 unterstützt. Weitere Informationen zu Schlüsseln finden Sie unter Key Vault-Schlüssel.

Hinweis

Informationen zu den Einschränkungen der Verwendung von kundenseitig verwalteten Schlüsseln in Leader- und Followerclustern finden Sie unter Einschränkungen.

Zuweisen einer verwalteten Identität zum Cluster

Um kundenseitig verwaltete Schlüssel für Ihren Cluster zu aktivieren, weisen Sie dem Cluster zunächst eine systemseitig oder benutzerseitig zugewiesene verwaltete Identität hinzu. Sie verwenden diese verwaltete Identität, um dem Cluster Berechtigungen für den Zugriff auf die Key Vault-Instanz zu gewähren. Informationen zum Konfigurieren verwalteter Identitäten finden Sie unter Verwaltete Identitäten.

Aktivieren der Verschlüsselung mit von Kunden verwalteten Schlüsseln

In den folgenden Schritten wird erläutert, wie Sie die Verschlüsselung von kundenseitig verwalteten Schlüsseln mithilfe des Azure-Portal aktivieren. Die Azure Data Explorer-Verschlüsselung verwendet standardmäßig von Microsoft verwaltete Schlüssel. Konfigurieren Sie Ihren Azure Data Explorer-Cluster für die Verwendung von kundenseitig verwalteten Schlüsseln, und geben Sie den Schlüssel an, der dem Cluster zugeordnet werden soll.

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Data Explorer-Clusterressource.

  2. Wählen Sie im linken Bereich des Portals Einstellungen>Verschlüsselung aus.

  3. Wählen Sie im Bereich Verschlüsselung die Option Ein für die Einstellung Kundenseitig verwalteter Schlüssel aus.

  4. Wählen Sie Schlüssel auswählen aus.

    Screenshot: Konfigurieren von kundenseitig verwalteten Schlüsseln

  5. Wählen Sie im Fenster Schlüssel aus Azure Key Vault auswählen einen vorhandenen Schlüsseltresor aus der Dropdownliste aus. Wenn Sie Neu erstellen auswählen, um einen neuen Schlüsseltresor zu erstellen, werden Sie zum Bildschirm Schlüsseltresor erstellen weitergeleitet.

  6. Wählen Sie Schlüssel aus.

  7. Version:

    • Um sicherzustellen, dass für diesen Schlüssel immer die aktuelle Schlüsselversion verwendet wird, aktivieren Sie das Kontrollkästchen Always use current key version (Immer aktuelle Schlüsselversion verwenden).
    • Wählen Sie andernfalls Version aus.
  8. Wählen Sie Auswählen.

    Screenshot: Schlüssel aus Azure Key Vault auswählen

  9. Wählen Sie unter Identitätstyp die Option Systemseitig zugewiesen oder Benutzerseitig zugewiesene aus.

  10. Wählen Sie bei der Auswahl von Benutzerseitig zugewiesene in der Dropdownliste eine benutzerseitig zugewiesene Identität aus.

    Screenshot: Option zum Auswählen eines verwalteten Identitätstyps

  11. Wählen Sie im Bereich Verschlüsselung, der jetzt Ihren Schlüssel enthält, Speichern aus. Wenn die CMK-Erstellung erfolgreich ist, wird eine Erfolgsmeldung in Benachrichtigungen angezeigt.

    Screenshot: Option zum Speichern eines kundenseitig verwalteten Schlüssels

Wenn Sie bei der Aktivierung von kundenseitig verwalteten Schlüsseln für Ihren Azure Data Explorer-Cluster eine systemseitig zugewiesene Identität auswählen, erstellen Sie eine systemseitig zugewiesene Identität für den Cluster, falls diese noch nicht vorhanden ist. Darüber hinaus stellen Sie die erforderlichen get-, wrapKey- und unwrapKey-Berechtigungen für Ihren Azure Data Explorer-Cluster in der ausgewählten Key Vault-Instanz zur Verfügung und erhalten die Key Vault-Eigenschaften.

Hinweis

Wählen Sie Aus, um den vom Kunden verwalteten Schlüssel nach seiner Erstellung zu entfernen.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, müssen Sie den Cluster aktualisieren, damit er die neue Version verwendet. Rufen Sie zuerst Get-AzKeyVaultKey auf, um die neueste Version des Schlüssels abzurufen. Aktualisieren Sie dann die Schlüsseltresoreigenschaften des Clusters, um die neue Version des Schlüssels zu verwenden, wie unter Aktivieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln gezeigt.