Kundhanterade nycklar för Azure Fluid Relay-kryptering
Du kan använda din egen krypteringsnyckel för att skydda data i din Azure Fluid Relay-resurs. När du anger en kundhanterad nyckel (CMK) används den nyckeln för att skydda och kontrollera åtkomsten till den nyckel som krypterar dina data. CMK ger större flexibilitet för att hantera åtkomstkontroller.
Du måste använda något av följande Azure-nyckelarkiv för att lagra din CMK:
Du måste skapa en ny Azure Fluid Relay-resurs för att aktivera CMK. Du kan inte ändra CMK-aktivering/inaktivering på en befintlig Fluid Relay-resurs.
Dessutom förlitar sig CMK för Fluid Relay på hanterad identitet, och du måste tilldela en hanterad identitet till Fluid Relay-resursen när du aktiverar CMK. Endast användartilldelad identitet tillåts för Fluid Relay-resurs-CMK. Mer information om hanterade identiteter finns här.
Det går inte att konfigurera en Fluid Relay-resurs med CMK via Azure-portalen än.
När du konfigurerar Fluid Relay-resursen med CMK konfigurerar Azure Fluid Relay-tjänsten lämpliga CMK-krypterade inställningar i Azure Storage-kontoomfånget där dina fluidsessionsartefakter lagras. Mer information om CMK i Azure Storage finns här.
För att verifiera att en Fluid Relay-resurs använder CMK kan du kontrollera resursens egenskap genom att skicka GET och se om den har en giltig, icke-tom egenskap för encryption.customerManagedKeyEncryption.
Förutsättningar:
Innan du konfigurerar CMK på din Azure Fluid Relay-resurs måste följande krav uppfyllas:
- Nycklar måste lagras i ett Azure Key Vault.
- Nycklar måste vara RSA-nyckel och inte EC-nyckel eftersom EC-nyckeln inte stöder WRAP och UNWRAP.
- En användartilldelad hanterad identitet måste skapas med nödvändig behörighet (GET, WRAP och UNWRAP) till nyckelvalvet i steg 1. Mer information finns här. Bevilja GET, WRAP och UNWRAP under Nyckelbehörigheter i AKV.
- Azure Key Vault, användartilldelad identitet och Fluid Relay-resursen måste finnas i samma region och i samma Microsoft Entra-klientorganisation.
Skapa en Fluid Relay-resurs med CMK
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
Begär nyttolastformat:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
Exempel på userAssignedIdentiteter och userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
Exempel keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
Anteckningar:
- Identity.type måste vara UserAssigned. Det är identitetstypen för den hanterade identiteten som är tilldelad till Fluid Relay-resursen.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType måste vara UserAssigned. Det är identitetstypen för den hanterade identiteten som ska användas för CMK.
- Även om du kan ange mer än en i Identity.userAssignedIdentiteter, används endast en användaridentitet som tilldelats den angivna Fluid Relay-resursen för CMK-åtkomst till nyckelvalvet för kryptering.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId är resurs-ID för den användartilldelade identiteten som ska användas för CMK. Observera att det bör vara en av identiteterna i Identity.userAssignedIdentiteter (du måste tilldela identiteten till Fluid Relay-resursen innan den kan använda den för CMK). Dessutom bör den ha nödvändiga behörigheter för nyckeln (tillhandahålls av keyEncryptionKeyUrl).
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl är nyckelidentifieraren som används för CMK.
Uppdatera CMK-inställningarna för en befintlig Fluid Relay-resurs
Du kan uppdatera följande CMK-inställningar på en befintlig Fluid Relay-resurs:
- Ändra den identitet som används för åtkomst till nyckelkrypteringsnyckeln.
- Ändra nyckelkrypteringsnyckelidentifieraren (nyckel-URL).
- Ändra nyckelversionen av nyckelkrypteringsnyckeln.
Observera att du inte kan inaktivera CMK på en befintlig Fluid Relay-resurs när den är aktiverad.
Begär URL:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
Exempel på begäran om nyttolast för uppdatering av nyckelkrypteringsnyckelns URL:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}