Konfigurieren von kundenseitig verwalteten Schlüsseln

In den folgenden Schritten wird erläutert, wie Sie die Verschlüsselung von kundenseitig verwalteten Schlüsseln mithilfe des Azure-Portal aktivieren. Die Azure Data Explorer-Verschlüsselung verwendet standardmäßig von Microsoft verwaltete Schlüssel. Konfigurieren Sie Ihren Azure Data Explorer-Cluster für die Verwendung von kundenseitig verwalteten Schlüsseln, und geben Sie den Schlüssel an, der dem Cluster zugeordnet werden soll.

1. Navigieren Sie im Azure-Portal zu Ihrer Azure Data Explorer-Clusterressource.

2. Wählen Sie im linken Bereich des Portals Einstellungen>Verschlüsselung aus.

3. Wählen Sie im Bereich Verschlüsselung die Option Ein für die Einstellung Kundenseitig verwalteter Schlüssel aus.

4. Wählen Sie Schlüssel auswählen aus.

   

5. Wählen Sie im Fenster Schlüssel aus Azure Key Vault auswählen einen vorhandenen Schlüsseltresor aus der Dropdownliste aus. Wenn Sie Neu erstellen auswählen, um einen neuen Schlüsseltresor zu erstellen, werden Sie zum Bildschirm Schlüsseltresor erstellen weitergeleitet.

6. Wählen Sie Schlüssel aus.

7. Version:

   • Um sicherzustellen, dass für diesen Schlüssel immer die aktuelle Schlüsselversion verwendet wird, aktivieren Sie das Kontrollkästchen Always use current key version (Immer aktuelle Schlüsselversion verwenden).
   • Wählen Sie andernfalls Version aus.

8. Wählen Sie Auswählen.

   

9. Wählen Sie unter Identitätstyp die Option Systemseitig zugewiesen oder Benutzerseitig zugewiesene aus.

10. Wählen Sie bei der Auswahl von Benutzerseitig zugewiesene in der Dropdownliste eine benutzerseitig zugewiesene Identität aus.

    

11. Wählen Sie im Bereich Verschlüsselung, der jetzt Ihren Schlüssel enthält, Speichern aus. Wenn die CMK-Erstellung erfolgreich ist, wird eine Erfolgsmeldung in Benachrichtigungen angezeigt.

    

Wenn Sie bei der Aktivierung von kundenseitig verwalteten Schlüsseln für Ihren Azure Data Explorer-Cluster eine systemseitig zugewiesene Identität auswählen, erstellen Sie eine systemseitig zugewiesene Identität für den Cluster, falls diese noch nicht vorhanden ist. Darüber hinaus stellen Sie die erforderlichen get-, wrapKey- und unwrapKey-Berechtigungen für Ihren Azure Data Explorer-Cluster in der ausgewählten Key Vault-Instanz zur Verfügung und erhalten die Key Vault-Eigenschaften.

In den folgenden Abschnitten wird erläutert, wie Sie die Verschlüsselung von kundenseitig verwalteten Schlüsseln mithilfe des Azure Data Explorer C#-Clients konfigurieren.

Installieren von Paketen

• Installieren Sie das Azure Data Explorer-NuGet-Paket (Kusto).
• Installieren Sie das Azure.Identity NuGet-Paket für die Authentifizierung mit Microsoft Entra ID.

Authentifizierung

Um die Beispiele in diesem Artikel auszuführen, erstellen Sie eine Microsoft Entra Anwendung und einen Dienstprinzipal, der auf Ressourcen zugreifen kann. Sie können eine Rollenzuweisung im Abonnementbereich hinzufügen und die erforderliche Microsoft Entra Directory (tenant) ID, Application IDund Application Secret abrufen.

Der folgende Codeausschnitt veranschaulicht, wie Sie die Microsoft Authentication Library (MSAL) verwenden, um ein Microsoft Entra Anwendungstoken für den Zugriff auf Ihren Cluster abzurufen. Damit der Flow erfolgreich ist, muss die Anwendung mit Microsoft Entra-ID registriert sein, und Sie müssen über die Anmeldeinformationen für die Anwendungsauthentifizierung verfügen, z. B. einen Microsoft Entra ID-ausgestellten Anwendungsschlüssel oder ein Microsoft Entra registriertes X.509v2-Zertifikat.

Konfigurieren von kundenseitig verwalteten Schlüsseln

Die Azure Data Explorer-Verschlüsselung verwendet standardmäßig von Microsoft verwaltete Schlüssel. Konfigurieren Sie Ihren Azure Data Explorer-Cluster für die Verwendung von kundenseitig verwalteten Schlüsseln, und geben Sie den Schlüssel an, der dem Cluster zugeordnet werden soll.

1. Aktualisieren Sie Ihren Cluster mit dem folgenden Code:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihr Cluster erfolgreich aktualisiert wurde:

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   Wenn das Ergebnis ProvisioningState mit dem Wert Succeeded enthält, wurde Ihr Cluster erfolgreich aktualisiert.

In den folgenden Schritten wird erläutert, wie Sie die Verschlüsselung von kundenseitig verwalteten Schlüsseln mithilfe des Azure CLI-Clients aktivieren. Die Azure Data Explorer-Verschlüsselung verwendet standardmäßig von Microsoft verwaltete Schlüssel. Konfigurieren Sie Ihren Azure Data Explorer-Cluster für die Verwendung von kundenseitig verwalteten Schlüsseln, und geben Sie den Schlüssel an, der dem Cluster zugeordnet werden soll.

1. Führen Sie den folgenden Befehl aus, um sich bei Azure anzumelden:

   az login
   

2. Legen Sie das Abonnement fest, in dem der Cluster registriert ist. Ersetzen Sie MyAzureSub durch den Namen des gewünschten Azure-Abonnements.

   az account set --subscription MyAzureSub
   

3. Führen Sie den folgenden Befehl aus, um den neuen Schlüssel mithilfe der systemseitig zugewiesenen Identität des Clusters festzulegen.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Alternativ können Sie den neuen Schlüssel mit einer benutzerseitig zugewiesenen Identität festlegen.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Führen Sie den folgenden Befehl aus, und überprüfen Sie die keyVaultProperties-Eigenschaft, um sicherzustellen, dass der Cluster erfolgreich aktualisiert wurde.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

In den folgenden Schritten wird erläutert, wie Sie die verschlüsselung von kundenseitig verwalteten Schlüsseln mithilfe von PowerShell aktivieren. Die Azure Data Explorer-Verschlüsselung verwendet standardmäßig von Microsoft verwaltete Schlüssel. Konfigurieren Sie Ihren Azure Data Explorer-Cluster für die Verwendung von kundenseitig verwalteten Schlüsseln, und geben Sie den Schlüssel an, der dem Cluster zugeordnet werden soll.

1. Führen Sie den folgenden Befehl aus, um sich bei Azure anzumelden:

   Connect-AzAccount
   

2. Legen Sie das Abonnement fest, in dem der Cluster registriert ist.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Führen Sie den folgenden Befehl aus, um den neuen Schlüssel mithilfe einer systemseitig zugewiesenen Identität festzulegen.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Alternativ können Sie den neuen Schlüssel mithilfe einer benutzerseitig zugewiesenen Identität festlegen.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Führen Sie den folgenden Befehl aus, und überprüfen Sie die Eigenschaften vom Typ „KeyVaultProperty...“, um sicherzustellen, dass der Cluster erfolgreich aktualisiert wurde:

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

In den folgenden Schritten wird erläutert, wie Sie kundenseitig verwaltete Schlüssel mithilfe von Azure Resource Manager-Vorlagen konfigurieren. Die Azure Data Explorer-Verschlüsselung verwendet standardmäßig von Microsoft verwaltete Schlüssel. In diesem Schritt konfigurieren Sie Ihren Azure Data Explorer-Cluster für die Verwendung von kundenseitig verwalteten Schlüsseln und geben den Schlüssel an, der dem Cluster zugeordnet werden soll.

Wenn Sie eine vom systemseitig zugewiesene Identität für den Zugriff auf den Schlüsseltresor verwenden möchten, lassen Sie userIdentity leer. Legen Sie andernfalls die Ressourcen-ID der Identität fest.

Sie können die Azure Resource Manager-Vorlage über das Azure-Portal oder mithilfe von PowerShell bereitstellen.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}