Configurare le chiavi gestite dal cliente

Azure Esplora dati crittografa tutti i dati in un account di archiviazione inattivi. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un controllo aggiuntivo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente da usare per la crittografia dei dati.

Le chiavi gestite dal cliente devono essere archiviate in un Key Vault di Azure. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare un'API di Azure Key Vault per generare chiavi. Il cluster di Azure Esplora dati e l'insieme di credenziali delle chiavi devono trovarsi nella stessa area, ma possono essere in sottoscrizioni diverse. Per una spiegazione dettagliata sulle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente con Azure Key Vault.

Questo articolo illustra come configurare le chiavi gestite dal cliente.

Per esempi di codice basati sulle versioni precedenti di SDK, vedere l'articolo archiviato.

Configurare Azure Key Vault

Per configurare le chiavi gestite dal cliente con Azure Esplora dati, è necessario impostare due proprietà nell'insieme di credenziali delle chiavi: Eliminazione temporanea e Eliminazione temporanea. Queste proprietà non sono abilitate per impostazione predefinita. Per abilitare queste proprietà, eseguire l'abilitazione dell'eliminazione temporanea e l'abilitazione della protezione dell'eliminazione in PowerShell o nell'interfaccia della riga di comando di Azure in un insieme di credenziali delle chiavi nuovo o esistente. Sono supportate solo le chiavi RSA di dimensioni 2048. Per altre informazioni sulle chiavi, vedere chiavi di Key Vault.

Nota

Per informazioni sulle limitazioni dell'uso delle chiavi gestite dal cliente nei cluster leader e follower, vedere Limitazioni.

Assegnare un'identità gestita al cluster

Per abilitare le chiavi gestite dal cliente per il cluster, assegnare prima di tutto un'identità gestita assegnata dal sistema o assegnata dall'utente al cluster. Questa identità gestita verrà usata per concedere le autorizzazioni del cluster per accedere all'insieme di credenziali delle chiavi. Per configurare le identità gestite, vedere Identità gestite.

abilitare la crittografia con chiavi gestite dal cliente

La procedura seguente illustra come abilitare la crittografia delle chiavi gestite dal cliente usando il portale di Azure. Per impostazione predefinita, la crittografia di Azure Esplora dati usa chiavi gestite da Microsoft. Configurare il cluster di Azure Esplora dati per usare chiavi gestite dal cliente e specificare la chiave da associare al cluster.

  1. Nella portale di Azure passare alla risorsa cluster di Azure Esplora dati.

  2. Selezionare Crittografia impostazioni>nel riquadro sinistro del portale.

  3. Nel riquadro Crittografia selezionare Attiva per l'impostazione Della chiave gestita dal cliente .

  4. Selezionare Seleziona chiave.

    Screenshot che mostra la configurazione delle chiavi gestite dal cliente.

  5. Nella finestra Seleziona chiave da Azure Key Vault selezionare un insieme di credenziali delle chiavi esistente nell'elenco a discesa. Se si seleziona Crea nuovo per creare una nuova Key Vault, verrà indirizzato alla schermata Crea Key Vault.

  6. Selezionare Chiave.

  7. Version:

    • Per assicurarsi che questa chiave usi sempre la versione della chiave più recente, selezionare la casella di controllo Usa sempre la versione della chiave corrente .
    • In caso contrario, selezionare Versione.
  8. Scegliere Seleziona.

    Screenshot che mostra la chiave Seleziona da Azure Key Vault.

  9. In Tipo di identità selezionare Sistema Assegnato o Assegnato utente.

  10. Se si seleziona Utente assegnato, selezionare un'identità assegnata dall'utente dall'elenco a discesa.

    Screenshot che mostra l'opzione per selezionare un tipo di identità gestita.

  11. Nel riquadro Crittografia che ora contiene la chiave selezionare Salva. Quando la creazione di CMK ha esito positivo, verrà visualizzato un messaggio di esito positivo nelle notifiche.

    Screenshot che mostra l'opzione per salvare una chiave gestita dal cliente.

Se si seleziona l'identità assegnata dal sistema quando si abilitano chiavi gestite dal cliente per il cluster di azure Esplora dati, si creerà un'identità assegnata dal sistema per il cluster se non esiste. Inoltre, si fornirà le autorizzazioni get, wrappingKey e unwrapKey necessarie per il cluster di Azure Esplora dati nel Key Vault selezionato e ottenere le proprietà di Key Vault.

Nota

Selezionare Disattivato per rimuovere la chiave gestita dal cliente dopo la creazione.

Aggiornare la versione della chiave

Quando si crea una nuova versione di una chiave, è necessario aggiornare il cluster per usare la nuova versione. Prima di tutto, chiamare Get-AzKeyVaultKey per ottenere la versione più recente della chiave. Aggiornare quindi le proprietà dell'insieme di credenziali delle chiavi del cluster per usare la nuova versione della chiave, come illustrato in Abilitare la crittografia con chiavi gestite dal cliente.