Konfigurieren von kundenseitig verwalteten Schlüsseln für Azure Load Testing mit Azure Key Vault

Azure Load Testing verschlüsselt automatisch alle Daten, die in Ihrer Auslastungstestressource gespeichert sind, mit Schlüsseln, die von Microsoft bereitstellt werden (dienstseitig verwaltete Schlüssel). Optional können Sie eine zweite Sicherheitsebene hinzufügen, indem Sie auch ihre eigenen (kundenseitig verwalteten) Schlüssel bereitstellen. Kundenseitig verwaltete Schlüssel bieten mehr Flexibilität für die Steuerung des Zugriffs und die Verwendung von Schlüsselrotationsrichtlinien.

Die von Ihnen bereitgestellten Schlüssel werden mithilfe von Azure Key Vault sicher gespeichert. Sie können einen separaten Schlüssel für jede Azure-Auslastungstestressource erstellen, die Sie mit kundenseitig verwalteten Schlüsseln aktivieren.

Wenn Sie kundenseitig verwaltete Verschlüsselungsschlüssel verwenden, müssen Sie eine benutzerseitig zugewiesene verwaltete Identität angeben, um die Schlüssel aus Azure Key Vault abzurufen.

Azure Load Testing verwendet den kundenseitig verwalteten Schlüssel, um die folgenden Daten in der Lastentestressource zu verschlüsseln:

• Testskript- und Konfigurationsdateien
• Geheimnisse
• Umgebungsvariablen

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie kein Azure-Abonnement haben, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

• Eine vorhandene benutzerseitig zugewiesene verwaltete Identität. Weitere Informationen zum Erstellen einer benutzerseitig zugewiesenen verwalteten Identität finden Sie unter Benutzerseitig zugewiesene verwaltete Identitäten verwalten.

Begrenzungen

• Kundenseitig verwaltete Schlüssel sind nur für neue Azure-Auslastungstestressourcen verfügbar. Sie sollten den Schlüssel während der Ressourcenerstellung konfigurieren.

• Sobald kundenseitig verwaltete Schlüsselverschlüsselung für eine Ressource aktiviert ist, kann sie nicht mehr deaktiviert werden.

• Azure Load Testing kann den kundenseitig verwalteten Schlüssel nicht automatisch rotieren, um die aktuelle Version des Verschlüsselungsschlüssels zu verwenden. Sie sollten den Schlüssel-URI in der Ressource aktualisieren, nachdem der Schlüssel in Azure Key Vault rotiert wurde.

Konfigurieren Ihres Azure-Schlüsseltresors

Um kundenseitig verwaltete Verschlüsselungsschlüssel mit Azure Load Testing zu verwenden, müssen Sie den Schlüssel im Azure Key Vault speichern. Sie können einen vorhandenen Schlüsseltresor verwenden oder einen neuen erstellen. Die Auslastungstestressource und der Schlüsseltresor können sich in verschiedenen Regionen oder Abonnements im gleichen Mandanten befinden.

Stellen Sie sicher, dass Sie die folgenden Schlüsseltresoreinstellungen konfigurieren, wenn Sie kundenseitig verwaltete Verschlüsselungsschlüssel verwenden.

Konfigurieren von Netzwerkeinstellungen für Schlüsseltresore

Wenn Sie den Zugriff auf Ihren Azure-Schlüsseltresor durch eine Firewall oder ein virtuelles Netzwerk eingeschränkt haben, müssen Sie Zugriff auf Azure Load Testing gewähren, um Ihre kundenseitig verwalteten Schlüssel abzurufen. Führen Sie die folgenden Schritte aus, um Zugriff auf vertrauenswürdige Azure-Dienste zu gewähren.

Konfigurieren von vorläufigem Löschen und Löschschutz

Sie müssen die Eigenschaften Vorläufiges Löschen und Löschschutz in Ihrem Schlüsseltresor festlegen, um kundenseitig verwaltete Schlüssel mit Azure Load Testing zu verwenden. Das vorläufige Löschen ist standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen, und kann nicht deaktiviert werden. Sie können den Bereinigungsschutz jederzeit aktivieren. Erfahren Sie mehr über vorläufiges Löschen und Löschschutz in Azure Key Vault.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Hinzufügen eines kundenseitig verwalteten Schlüssels zu Azure Key Vault

Als Nächstes fügen Sie im Schlüsseltresor einen Schlüssel hinzu. Azure Load Testing-Verschlüsselung unterstützt RSA-Schlüssel. Weitere Informationen zu unterstützten Schlüsseltypen in Azure Key Vault finden Sie unter Info über Schlüssel.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Hinzufügen einer Zugriffsrichtlinie zu Ihrem Schlüsseltresor

Wenn Sie kundenseitig verwaltete Verschlüsselungsschlüssel verwenden, müssen Sie eine benutzerseitig zugewiesene verwaltete Identität angeben. Die benutzerseitig zugewiesene verwaltete Identität für den Zugriff auf die kundenseitig verwalteten Schlüssel in Azure Key Vault muss über entsprechende Berechtigungen für den Zugriff auf den Schlüsseltresor verfügen.

1. Wechseln Sie im Azure-Portal zur Azure Key Vault-Instanz, die Sie zum Hosten Ihrer Verschlüsselungsschlüssel verwenden möchten.

2. Wählen Sie im linken Menü die Option Zugriffsrichtlinien aus.

   

3. Wählen Sie + Zugriffsrichtlinie hinzufügen aus.

4. Wählen Sie im Dropdownmenü Schlüsselberechtigungen die Berechtigungen Abrufen, Schlüssel entpacken und Schlüssel packen aus.

   

5. Wählen Sie unter Prinzipal auswählen die Option Keiner ausgewählt aus.

6. Suchen Sie nach der zuvor erstellten benutzerseitig zugewiesenen verwalteten Identität, und wählen Sie diese aus der Liste aus.

7. Wählen Sie im unteren Bereich Auswählen aus.

8. Wählen Sie Hinzufügen aus, um die neue Zugriffsrichtlinie hinzuzufügen.

9. Wählen Sie in der Schlüsseltresorinstanz Speichern aus, um alle Änderungen zu speichern.

Verwenden kundenseitig verwalteter Schlüssel mit Azure Load Testing

Sie können kundenseitig verwaltete Verschlüsselungsschlüssel nur konfigurieren, wenn Sie eine neue Azure-Auslastungstestressource erstellen. Wenn Sie die Details des Verschlüsselungsschlüssels angeben, müssen Sie auch eine benutzerseitig zugewiesene verwaltete Identität auswählen, um den Schlüssel aus Azure Key Vault abzurufen.

Führen Sie zum Konfigurieren von kundenseitig verwalteten Schlüsseln für eine neue Auslastungstestressource die folgenden Schritte aus:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Ändern der verwalteten Identität zum Abrufen des Verschlüsselungsschlüssels

Sie können die verwaltete Identität für kundenseitig verwaltete Schlüssel für eine vorhandene Auslastungstestressource jederzeit ändern.

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.

2. Wählen Sie auf der Seite Einstellungen die Option Verschlüsselung aus.

   Der Verschlüsselungstyp zeigt den Verschlüsselungstyp an, der zum Erstellen der Auslastungstestressource verwendet wurde.

3. Wenn der Verschlüsselungstyp Kundenseitig verwaltete Schlüssel ist, wählen Sie den Identitätstyp aus, der zum Authentifizieren des Schlüsseltresors verwendet werden soll. Zu den Optionen gehören System zugewiesen (Standard) oder Benutzer zugewiesen.

   Weitere Informationen zu den einzelnen Typen von verwalteten Identitäten finden Sie unter Verwaltete Identitätstypen.

   • Wenn Sie Systemseitig zugewiesen auswählen, muss die systemseitig zugewiesene verwaltete Identität für die Ressource aktiviert sein und Zugriff auf AKV haben, bevor Sie die Identität für kundenseitig verwaltete Schlüssel ändern.
   • Wenn Sie Benutzerseitig zugewiesen auswählen, müssen Sie eine vorhandene benutzerseitig zugewiesene Identität auswählen, die über Berechtigungen für den Zugriff auf den Schlüsseltresor verfügt. Informationen zum Erstellen einer benutzerseitig zugewiesenen Identität finden Sie unter Verwenden von verwalteten Identitäten für Azure Load Testing Vorschau.

4. Speichern Sie die Änderungen.

Aktualisieren des kundenseitig verwalteten Verschlüsselungsschlüssels

Sie können den Schlüssel, den Sie für die Azure Load Testing-Verschlüsselung verwenden, jederzeit ändern. Führen Sie die folgenden Schritte aus, um den Schlüssel im Azure-Portal zu ändern:

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.

2. Wählen Sie auf der Seite Einstellungen die Option Verschlüsselung aus. Der Verschlüsselungstyp zeigt die Verschlüsselung an, die für die Ressource beim Erstellen ausgewählt wurde.

3. Wenn der ausgewählte Verschlüsselungstyp kundenseitig verwaltete Schlüssel ist, können Sie das Feld Schlüssel-URI mit dem neuen Schlüssel-URI bearbeiten.

4. Speichern Sie die Änderungen.

Rotieren von Verschlüsselungsschlüsseln

Sie können einen vom Kunden verwalteten Schlüssel in Azure Key Vault entsprechend Ihren Konformitätsrichtlinien rotieren. So rotieren Sie einen Schlüssel:

1. Aktualisieren Sie in Azure Key Vault die Schlüsselversion, oder erstellen Sie einen neuen Schlüssel.
2. Aktualisieren Sie den kundenseitig verwalteten Verschlüsselungsschlüssel für Ihre Auslastungstestressource.

Häufig gestellte Fragen

Fallen für das Aktivieren von kundenseitig verwalteten Schlüsseln zusätzliche Gebühren an?

Nein, es fallen keine Kosten für die Aktivierung dieses Features an.

Werden kundenseitig verwaltete Schlüssel für vorhandene Azure-Auslastungstestressourcen unterstützt?

Dieses Feature ist derzeit nur für neue Azure-Auslastungstestressourcen verfügbar.

Woran erkenne ich, ob kundenseitig verwaltete Schlüssel für meine Azure-Auslastungstestressource aktiviert sind?

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.
2. Navigieren Sie zum Verschlüsselungselement in der linken Navigationsleiste.
3. Sie können den Verschlüsselungstyp für Ihre Ressource überprüfen.

Wie sperre/widerrufe ich einen Verschlüsselungsschlüssel?

Sie können einen Schlüssel widerrufen, indem Sie die neueste Version des Schlüssels in Azure Key Vault deaktivieren. Alternativ können Sie zum Widerrufen aller Schlüssel in einer Schlüsseltresorinstanz die der verwalteten Identität der Auslastungstestressource gewährte Zugriffsrichtlinie löschen.

Wenn Sie den Verschlüsselungsschlüssel widerrufen, können Sie möglicherweise etwa 10 Minuten lang Tests ausführen, nachdem der einzige verfügbare Vorgang Ressourcenlöschung ist. Es wird empfohlen, den Schlüssel zu rotieren, anstatt ihn zu widerrufen, um die Ressourcensicherheit zu verwalten und Ihre Daten zu bewahren.

Zugehöriger Inhalt

• Weitere Informationen zum Überwachen von serverseitigen Anwendungsmetriken.
• Erfahren Sie, wie Sie einen Auslastungstest mit Geheimnissen und Umgebungsvariablen parametrisieren.