Configurare chiavi gestite dal cliente per Test di carico di Azure con Azure Key Vault

Test di carico di Azure crittografa automaticamente tutti i dati archiviati nella risorsa di test di carico con chiavi fornite da Microsoft (chiavi gestite dal servizio). Facoltativamente, è possibile aggiungere un secondo livello di sicurezza fornendo anche chiavi personalizzate (gestite dal cliente). Le chiavi gestite dal cliente offrono maggiore flessibilità nel controllo degli accessi e nell’uso di criteri di rotazione delle chiavi.

Le chiavi fornite vengono archiviate in modo sicuro con Azure Key Vault. È possibile creare una chiave diversa per ogni risorsa di test di carico di Azure abilitata con chiavi gestite dal cliente.

Quando si usano chiavi di crittografia gestite dal cliente, è necessario specificare un'identità gestita assegnata dall'utente per recuperare le chiavi da Azure Key Vault.

Test di carico di Azure usa la chiave gestita dal cliente per crittografare i dati seguenti nella risorsa di test di carico:

• Testare file di script e di configurazione
• Segreti
• Variabili di ambiente

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

• Identità gestita assegnata dall'utente esistente. Per altre informazioni sulla creazione di un'identità gestita assegnata dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

Limiti

• Le chiavi gestite dal cliente sono disponibili solo per nuove risorse di test di carico di Azure. È necessario configurare la chiave durante la creazione della risorsa.

• Una volta che la crittografia della chiave gestita dal cliente è abilitata in una risorsa, non può essere disabilitata.

• Test di carico di Azure non può ruotare automaticamente la chiave gestita dal cliente in modo da usare la versione più recente della chiave di crittografia. È necessario aggiornare l'URI della chiave nella risorsa dopo la rotazione della chiave in Azure Key Vault.

Configurare l'insieme di credenziali delle chiavi di Azure

Per usare chiavi di crittografia gestite dal cliente con Test di carico di Azure, è necessario archiviare la chiave in Azure Key Vault. È possibile usare un insieme di credenziali delle chiavi esistente o crearne uno nuovo. La risorsa di test di carico e l'insieme di credenziali delle chiavi possono trovarsi in aree o sottoscrizioni diverse nello stesso tenant.

Assicurarsi di configurare le impostazioni seguenti dell'insieme di credenziali delle chiavi quando si usano chiavi di crittografia gestite dal cliente.

Configurare le impostazioni di rete dell'insieme di credenziali delle chiavi

Se l'accesso all'insieme di credenziali delle chiavi di Azure è limitato da un firewall o da una rete virtuale, è necessario concedere l'accesso a Test di carico di Azure per recuperare le chiavi gestite dal cliente. Seguire questa procedura per concedere l'accesso a servizi di Azure attendibili.

Configurare l'eliminazione temporanea e la protezione dalla rimozione definitiva

È necessario impostare le proprietà Eliminazione temporanea e Protezione dalla rimozione definitiva nell'insieme di credenziali delle chiavi per usare le chiavi gestite dal cliente con Test di carico di Azure. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non è possibile disabilitarla. È possibile abilitare la protezione dalla rimozione definitiva in qualsiasi momento. Altre informazioni sull'eliminazione temporanea e la protezione dalla rimozione definitiva in Azure Key Vault.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Aggiungere una chiave gestita dal cliente ad Azure Key Vault

Aggiungere quindi una chiave all'insieme di credenziali delle chiavi. La crittografia Test di carico di Azure supporta le chiavi RSA. Per altre informazioni sui tipi di chiave supportati in Azure Key Vault, vedere Informazioni sulle chiavi.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Aggiungere un criterio di accesso all'insieme di credenziali delle chiavi

Quando si usano chiavi di crittografia gestite dal cliente, è necessario specificare un'identità gestita assegnata dall'utente. L'identità gestita assegnata dall'utente per l'accesso alle chiavi gestite dal cliente in Azure Key Vault deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi.

1. Nel portale di Azure, passare all'istanza di Azure Key Vault che si intende usare per ospitare le chiavi di crittografia.

2. Selezionare Criteri di accesso nel menu a sinistra.

   

3. Selezionare + Aggiungi un criterio di accesso.

4. Nel menu a discesa Autorizzazioni chiave, selezionare le autorizzazioni Recupera, Annulla il wrapping della chiave e Esegui il wrapping della chiave.

   

5. In Seleziona entità, selezionare Nessuna selezione.

6. Cercare l'identità gestita assegnata dall'utente creata in precedenza e selezionarla nell'elenco.

7. Scegliere Seleziona nella parte inferiore della schermata.

8. Selezionare Aggiungi per aggiungere il nuovo criterio di accesso.

9. Selezionare Salva nell'istanza di insieme di credenziali delle chiavi per salvare tutte le modifiche.

Usare chiavi gestite dal cliente con Test di carico di Azure

È possibile configurare chiavi di crittografia gestite dal cliente solo quando si crea una nuova risorsa di test di carico di Azure. Quando si specificano i dettagli della chiave di crittografia, è necessario selezionare anche un'identità gestita assegnata dall'utente per recuperare la chiave da Azure Key Vault.

Per configurare chiavi gestite dal cliente per una nuova risorsa di test di carico, seguire questa procedura:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Modificare l'identità gestita per il recupero della chiave di crittografia

È possibile modificare l'identità gestita per chiavi gestite dal cliente per una risorsa di test di carico esistente in qualsiasi momento.

1. Nel portale di Azure, passare alla risorsa Test di carico di Azure.

2. Nella pagina Impostazioni, selezionare Crittografia.

   Tipo di crittografia mostra il tipo di crittografia usato per la creazione della risorsa di test di carico.

3. Se il tipo di crittografia è Chiavi gestite dal cliente, selezionare il tipo di identità da usare per l'autenticazione nell'insieme di credenziali delle chiavi. Le opzioni includono Assegnata dal sistema (impostazione predefinita) o Assegnata dall'utente.

   Per altre informazioni su ogni tipo di identità gestita, vedere Tipi di identità gestite.

   • Se si seleziona Assegnata dal sistema, è necessario abilitare l'identità gestita assegnata dal sistema nella risorsa e concedere l'accesso a AKV prima di modificare l'identità per chiavi gestite dal cliente.
   • Se si seleziona Assegnata dall'utente, è necessario selezionare un'identità assegnata dall'utente esistente con autorizzazioni per accedere all'insieme di credenziali delle chiavi. Per informazioni su come creare un'identità assegnata dall'utente, vedere Usare identità gestite per l'anteprima di Test di carico di Azure.

4. Salva le modifiche.

Aggiornare la chiave di crittografia gestita dal cliente

È possibile modificare la chiave usata per la crittografia di Test di carico di Azure in qualsiasi momento. Per modificare la chiave usando il portale di Azure, seguire questa procedura:

1. Nel portale di Azure, passare alla risorsa Test di carico di Azure.

2. Nella pagina Impostazioni, selezionare Crittografia. Il Tipo di crittografia mostra la crittografia selezionata per la risorsa durante la creazione.

3. Se il tipo di crittografia selezionato è Chiavi gestite dal cliente, è possibile modificare il campo URI chiave con il nuovo URI della chiave.

4. Salva le modifiche.

Ruotare chiavi di crittografia

È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Per ruotare una chiave:

1. In Azure Key Vault, aggiornare la versione della chiave o creare una nuova chiave.
2. Aggiornare la chiave di crittografia gestita dal cliente per la risorsa di test di carico.

Domande frequenti

Sono previsti addebiti aggiuntivi per abilitare le chiavi gestite dal cliente?

No, non è previsto alcun addebito per abilitare questa funzionalità.

Le chiavi gestite dal cliente sono supportate per risorse di test di carico di Azure esistenti?

Questa funzionalità è attualmente disponibile solo per nuove risorse di test di carico di Azure.

Come stabilire se le chiavi gestite dal cliente sono abilitate nella risorsa di test di carico di Azure?

1. Nel portale di Azure, passare alla risorsa Test di carico di Azure.
2. Passare all'elemento Crittografia nella barra di spostamento a sinistra.
3. È possibile verificare il Tipo di crittografia nella risorsa.

Come si revoca una chiave di crittografia?

È possibile revocare una chiave disabilitando la versione più recente della chiave in Azure Key Vault. In alternativa, per revocare tutte le chiavi da un'istanza dell'insieme di credenziali delle chiavi, è possibile eliminare i criteri di accesso concessi all'identità gestita della risorsa di test di carico.

Quando si revoca la chiave di crittografia, è possibile eseguire test per circa 10 minuti, dopo di che l'unica operazione disponibile è l'eliminazione delle risorse. È consigliabile ruotare la chiave anziché revocarla per gestire la sicurezza delle risorse e conservare i dati.

Contenuto correlato

• Informazioni su come monitorare le metriche delle applicazioni lato server.
• Informazioni su come Parametrizzare un test di carico con segreti e variabili di ambiente.