Configuración de claves administradas por el cliente

Azure Data Explorer cifra todos los datos en una cuenta de almacenamiento en reposo. De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede proporcionar claves administradas por el cliente para el cifrado de datos.

Las claves administradas por el cliente se deben almacenar en una instancia de Azure Key Vault. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar una API de Azure Key Vault para generarlas. El clúster de Azure Data Explorer y el almacén de claves deben estar en la misma región, pero pueden estar en distintas suscripciones. Para obtener una explicación detallada sobre las claves administradas por el cliente, consulte Claves administradas por el cliente con Azure Key Vault

En este artículo se muestra cómo configurar las claves administradas por el cliente.

Configuración de Azure Key Vault

Para configurar las claves administradas por el cliente con Azure Data Explorer, debe establecer dos propiedades en el almacén de claves: Eliminación temporal y No purgar. Estas propiedades no están habilitadas de forma predeterminada. Para habilitar estas propiedades, realice Enabling soft-delete (Habilitación de la eliminación temporal) y Enabling Purge Protection (Habilitación de la protección de purgas) en PowerShell o la CLI de Azure en un almacén de claves nuevo o existente. Solo se admiten claves RSA de tamaño de 2048. Para obtener más información sobre las claves, consulte Claves en Key Vault.

Nota

El cifrado de datos mediante claves administradas por el cliente no se admite en clústeres líderes y seguidores.

Asignación de una identidad administrada al clúster

Para habilitar claves administradas por el cliente para el clúster, primero asigne una identidad administrada asignada por el sistema o por el usuario al clúster. Usará esta identidad administrada para conceder los permisos del clúster para obtener acceso al almacén de claves. Para configurar identidades administradas, consulte Identidades administradas.

Habilitación del cifrado con claves administradas por el cliente

En estos pasos se explica cómo habilitar el cifrado de claves administradas por el cliente mediante el Azure Portal. De forma predeterminada, el cifrado de Azure Data Explorer usa claves que administra Microsoft. Configure la cuenta de Azure Data Explorer para usar las claves administradas por el cliente y especifique la clave para la asociación al clúster.

  1. En Azure Portal, vaya al recurso de clúster de Azure Data Explorer.

  2. Seleccione Configuración>Cifrado en el panel izquierdo del portal.

  3. En el panel Cifrado, seleccione Activar para la opción Clave administrada por el cliente.

  4. Haga clic en Seleccionar clave.

    Configure las claves administradas por el cliente.

  5. En la ventana Seleccione clave de Azure Key Vault, seleccione un almacén de claves existente en la lista desplegable. Si selecciona Crear nuevo para crear un nuevo almacén de claves, se le redirigirá a la pantalla Crear almacén de claves.

  6. Seleccione Clave.

  7. Versión:

    • Para asegurarse de que esta clave siempre usa la última versión de la clave, active la casilla Always use current key version (Usar siempre la versión actual de la clave).
    • En caso contrario, seleccione la versión.
  8. Haga clic en Seleccionar.

    Seleccionar clave de Azure Key Vault.

  9. En Tipo de identidad, seleccione Asignada por el sistema o Asignada por el usuario.

  10. Si selecciona Asignada por el usuario, seleccione una identidad asignada por el usuario en la lista desplegable.

    Seleccionar tipo de identidad administrada.

  11. En el panel Cifrado que ahora contiene la clave, seleccione Guardar. Cuando se complete la creación de CMK, se mostrará un mensaje que lo indique en Notificaciones.

    Guardar la clave administrada por el cliente.

Si selecciona identidades asignadas por el sistema, al habilitar las claves administradas por el cliente para el clúster de Azure Data Explorer, creará una identidad asignada por el sistema para el clúster, si no existe ninguna. Además, proporcionará los permisos get, wrapKey y unwrapKey necesarios para el clúster de Azure Data Explorer en la instancia de Key Vault seleccionada y obtendrá las propiedades de Key Vault.

Nota

Seleccione Desactivar para quitar la clave administrada por el cliente después de crearla.

Actualización de la versión de la clave

Al crear una nueva versión de una clave, tendrá que actualizar el clúster para que utilice la versión nueva. En primer lugar, llame a Get-AzKeyVaultKey para obtener la versión más reciente de la clave. A continuación, actualice las propiedades del almacén de claves del clúster para usar la nueva versión de la clave, como se muestra en Habilitación del cifrado con claves administradas por el cliente.

Pasos siguientes