Configurar chaves geridas pelo cliente

Estes passos seguintes explicam como ativar a encriptação de chaves geridas pelo cliente com o portal do Azure. Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

1. No portal do Azure, aceda ao recurso de cluster do Azure Data Explorer.

2. Selecione Definições>Encriptação no painel esquerdo do portal.

3. No painel Encriptação , selecione Ativado para a definição Chave gerida pelo cliente .

4. Clique em Selecionar Chave.

   

5. Na janela Selecionar chave do Azure Key Vault, selecione um Cofre de chaves existente na lista pendente. Se selecionar Criar novo para criar um novo Key Vault, será encaminhado para o ecrã Criar Key Vault.

6. Selecione Chave.

7. Versão:

   • Para garantir que esta chave utiliza sempre a versão mais recente da chave, selecione a caixa de verificação Utilizar sempre a versão atual da chave .
   • Caso contrário, selecione Versão.

8. Clique em Selecionar.

   

9. Em Tipo de identidade, selecione Atribuído pelo Sistema ou Utilizador Atribuído.

10. Se selecionar Utilizador Atribuído, escolha uma identidade atribuída pelo utilizador na lista pendente.

    

11. No painel Encriptação que agora contém a sua chave, selecione Guardar. Quando a criação da CMK for bem-sucedida, verá uma mensagem de êxito em Notificações.

    

Se selecionar a identidade atribuída pelo sistema ao ativar as chaves geridas pelo cliente para o cluster do Azure Data Explorer, irá criar uma identidade atribuída pelo sistema para o cluster, caso não exista uma. Além disso, irá fornecer as permissões get, wrapKey e unwrapKey necessárias para o cluster do Azure Data Explorer no Key Vault selecionado e obter as propriedades Key Vault.

As secções seguintes explicam como configurar a encriptação de chaves geridas pelo cliente com o cliente do Azure Data Explorer C#.

Instalar pacotes

• Instale o pacote NuGet do Azure Data Explorer (Kusto).
• Instale o pacote NuGet MSAL para autenticação com o Azure Active Directory (Azure AD).
• Instale o pacote NuGet Microsoft.Rest.ClientRuntime para autenticação com o Azure Active Directory (Azure AD).

Autenticação

Para executar os exemplos neste artigo, crie um Azure AD aplicação e o principal de serviço que possam aceder aos recursos. Pode adicionar a atribuição de função no âmbito da subscrição e obter os necessários Azure AD Directory (tenant) ID, Application IDe Application Secret.

O fragmento de código seguinte demonstra como utilizar a Biblioteca de Autenticação da Microsoft (MSAL) para adquirir um token de aplicação Azure AD para aceder ao cluster. Para que o fluxo seja bem-sucedido, a aplicação tem de ser registada com Azure AD e tem de ter as credenciais para a autenticação da aplicação, como uma chave de aplicação emitida Azure AD ou um certificado X.509v2 registado Azure AD.

Configurar chaves geridas pelo cliente

Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

1. Atualize o cluster com o seguinte código:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   // Create a confidential authentication client for Azure AD:
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret) // can be replaced by .WithCertificate to authenticate with an X.509 certificate
       .Build();
   // Acquire application token
   var result = authClient.AcquireTokenForClient(
       new[] { "https://management.core.windows.net/.default" } // Define scopes for accessing Azure management plane
   ).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterPatch = new ClusterUpdate(
       keyVaultProperties: new KeyVaultProperties(
           keyName: "<keyName>",
           keyVersion: "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           keyVaultUri: "https://<keyVaultName>.vault.azure.net/",
           userIdentity: "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       )
   );
   await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);
   

2. Execute o seguinte comando para verificar se o cluster foi atualizado com êxito:

   var clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Se o resultado contiver ProvisioningState o valor, o Succeeded cluster foi atualizado com êxito.

Os passos seguintes explicam como ativar a encriptação de chaves geridas pelo cliente com o cliente da CLI do Azure. Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

1. Execute o seguinte comando para iniciar sessão no Azure:

   az login
   

2. Defina a subscrição onde o cluster está registado. Substitua MyAzureSub pelo nome da subscrição do Azure que pretende utilizar.

   az account set --subscription MyAzureSub
   

3. Execute o seguinte comando para definir a nova chave com a identidade atribuída pelo sistema do cluster

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Em alternativa, defina a nova chave com uma identidade atribuída pelo utilizador.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Execute o seguinte comando e verifique a propriedade "keyVaultProperties" para verificar se o cluster foi atualizado com êxito.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

Os passos seguintes explicam como ativar a encriptação de chaves geridas pelo cliente com o PowerShell. Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

1. Execute o seguinte comando para iniciar sessão no Azure:

   Connect-AzAccount
   

2. Defina a subscrição onde o cluster está registado.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Execute o seguinte comando para definir a nova chave com uma identidade atribuída pelo sistema.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Em alternativa, defina a nova chave com uma identidade atribuída pelo utilizador.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Execute o seguinte comando e verifique "KeyVaultProperty...". propriedades para verificar se o cluster foi atualizado com êxito.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

Os passos seguintes explicam como configurar chaves geridas pelo cliente com modelos do Azure Resource Manager. Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Neste passo, configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

Se quiser utilizar uma identidade atribuída pelo sistema para aceder ao cofre de chaves, deixe userIdentity em branco. Caso contrário, defina o ID de recurso da identidade.

Pode implementar o modelo de Resource Manager do Azure com o portal do Azure ou com o PowerShell.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}