Azure NetApp Files birim şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma

Azure NetApp Files birim şifrelemesi için müşteri tarafından yönetilen anahtarlar, yeni bir birim oluştururken platform tarafından yönetilen anahtar yerine kendi anahtarlarınızı kullanmanıza olanak tanır. Müşteri tarafından yönetilen anahtarlarla anahtarın yaşam döngüsü, anahtar kullanım izinleri ve anahtarlardaki denetim işlemleri arasındaki ilişkiyi tam olarak yönetebilirsiniz.

Aşağıdaki diyagramda müşteri tarafından yönetilen anahtarların Azure NetApp Files ile nasıl çalıştığı gösterilmektedir:

Müşteri tarafından yönetilen anahtarların kavramsal diyagramı.

  1. Azure NetApp Files yönetilen bir kimliğe şifreleme anahtarları için izinler verir. Yönetilen kimlik, oluşturduğunuz ve yönettiğiniz kullanıcı tarafından atanan yönetilen kimlik veya NetApp hesabıyla ilişkilendirilmiş sistem tarafından atanan yönetilen kimliktir.

  2. Şifrelemeyi NetApp hesabı için müşteri tarafından yönetilen bir anahtarla yapılandırabilirsiniz.

  3. Azure Key Vault yöneticisinin 1. adımda Microsoft Entra Id aracılığıyla Azure Key Vault'a erişimin kimliğini doğrulamak için izin verdiği yönetilen kimliği kullanırsınız.

  4. Azure NetApp Files, hesap şifreleme anahtarını Azure Key Vault'ta müşteri tarafından yönetilen anahtarla sarmalar.

    Müşteri tarafından yönetilen anahtarların Azure NetApp Files üzerinde performans etkisi yoktur. Platform tarafından yönetilen anahtarlardan tek farkı anahtarın yönetilma şeklidir.

  5. Okuma/yazma işlemleri için Azure NetApp Files, şifreleme ve şifre çözme işlemlerini gerçekleştirmek üzere hesap şifreleme anahtarını açmak için Azure Key Vault'a istek gönderir.

Dikkat edilmesi gereken noktalar

  • Müşteri tarafından yönetilen anahtarları kullanarak birim oluşturmak için Standart ağ özelliklerini seçmeniz gerekir. Temel ağ özellikleri kullanılarak yapılandırılmış birimle müşteri tarafından yönetilen anahtar birimleri kullanamazsınız. Birim oluşturma sayfasındaki Ağ Özelliklerini Ayarla seçeneğini belirlemek için içindeki yönergeleri izleyin.
  • Daha fazla güvenlik için anahtar kasanızın ağ ayarlarından Genel erişimi devre dışı bırak seçeneğini belirleyebilirsiniz. Bu seçeneği belirtirken, Azure NetApp Files hizmetinin şifreleme anahtarınıza erişmesine izin vermek için Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver'i de seçmeniz gerekir.
  • Müşteri tarafından yönetilen anahtarlar, otomatik Yönetilen Sistem Kimliği (MSI) sertifika yenilemeyi destekler. Sertifikanız geçerliyse, sertifikayı el ile güncelleştirmeniz gerekmez.
  • Özel bağlantı alt ağında Azure ağ güvenlik gruplarının Azure Key Vault'a uygulanması, Azure NetApp Files müşteri tarafından yönetilen anahtarlar için desteklenmez. Ağ güvenlik grupları, alt ağda etkinleştirilmediği sürece Private endpoint network policy Özel Bağlantı bağlantısını etkilemez. Bu seçeneğin devre dışı bırakılması gerekir.
  • Azure NetApp Files müşteri tarafından yönetilen bir anahtar birimi oluşturamazsa hata iletileri görüntülenir. Daha fazla bilgi için Hata iletileri ve sorun giderme bölümüne bakın.
  • Müşteri tarafından yönetilen anahtarlar birimi oluşturduktan sonra temel alınan Azure Key Vault veya Azure Özel Uç Noktası'na herhangi bir değişiklik yapmayın. Değişiklik yapmak, birimlere erişilemez hale gelebilir.
  • Azure Anahtar Kasası erişilemez hale gelirse Azure NetApp Files, şifreleme anahtarlarına erişimini ve müşteri tarafından yönetilen anahtarlarla etkinleştirilen birimlere veri okuma veya yazma özelliğini kaybeder. Bu durumda, etkilenen birimlere erişimin manuel geri yüklenme için bir destek bileti oluşturun.
  • Azure NetApp Files, bölgeler arası çoğaltma veya bölgeler arası çoğaltma ilişkileri olan kaynak ve veri çoğaltma birimlerinde müşteri tarafından yönetilen anahtarları destekler.

Desteklenen bölgeler

Azure NetApp Files müşteri tarafından yönetilen anahtarlar aşağıdaki bölgeler için desteklenir:

  • Orta Avustralya
  • Orta Avustralya 2
  • Doğu Avustralya
  • Güneydoğu Avustralya
  • Güney Brezilya
  • Güneydoğu Brezilya
  • Orta Kanada
  • Doğu Kanada
  • Orta Hindistan
  • Central US
  • Doğu Asya
  • Doğu ABD
  • Doğu ABD 2
  • Orta Fransa
  • Kuzey Almanya
  • Orta Batı Almanya
  • Orta İsrail
  • Kuzey İtalya
  • Doğu Japonya
  • Batı Japonya
  • Güney Kore - Orta
  • Güney Kore - Güney
  • Orta Kuzey ABD
  • Kuzey Avrupa
  • Doğu Norveç
  • Batı Norveç
  • Katar Merkezi
  • Güney Afrika - Kuzey
  • Orta Güney ABD
  • Güney Hindistan
  • Güneydoğu Asya
  • İspanya Orta
  • Orta İsveç
  • Kuzey İsviçre
  • Batı İsviçre
  • BAE Orta
  • Kuzey BAE
  • Güney Birleşik Krallık
  • Batı Birleşik Krallık
  • US Gov Arizona
  • US Gov Teksas
  • US Gov Virginia
  • West Europe
  • Batı ABD
  • Batı ABD 2
  • Batı ABD 3

Gereksinimler

Müşteri tarafından yönetilen ilk anahtar biriminizi oluşturmadan önce şunları ayarlamanız gerekir:

  • En az bir anahtar içeren bir Azure Key Vault.
    • Anahtar kasasında geçici silme ve temizleme koruması etkinleştirilmelidir.
    • Anahtar RSA türünde olmalıdır.
  • Anahtar kasasının bir Azure Özel Uç Noktası olmalıdır.
    • Özel uç nokta, Azure NetApp Files'a temsilci olarak atanandan farklı bir alt ağda bulunmalıdır. Alt ağ, Azure NetApp'e temsilci olarak atanan ağ ile aynı sanal ağda olmalıdır.

Azure Key Vault ve Azure Özel Uç Noktası hakkında daha fazla bilgi için bkz:

NetApp hesabını müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırma

  1. Azure portalında ve Azure NetApp Files altında Şifreleme'yi seçin.

    Şifreleme sayfası, NetApp hesabınızın şifreleme ayarlarını yönetmenizi sağlar. NetApp hesabınızı Azure Key Vault'ta depolanan kendi şifreleme anahtarınızı kullanacak şekilde ayarlamanıza olanak tanıyan bir seçenek içerir. Bu ayar, NetApp hesabına sistem tarafından atanan bir kimlik sağlar ve kimlik için gerekli anahtar izinlerine sahip bir erişim ilkesi ekler.

    Şifreleme menüsünün ekran görüntüsü.

  2. NetApp hesabınızı müşteri tarafından yönetilen anahtarı kullanacak şekilde ayarladığınızda Anahtar URI'sini belirtmek için iki yolunuz vardır:

    • Anahtar kasasından seç seçeneği, bir anahtar kasası ve anahtar seçmenize olanak tanır. Anahtar arabirimi seçme işleminin ekran görüntüsü.

    • Anahtar URI'sini girin seçeneği, anahtar URI'sini el ile girmenizi sağlar. Anahtar URI alanını gösteren şifreleme menüsünün ekran görüntüsü.

  3. Azure Key Vault'ta kimlik doğrulaması için kullanmak istediğiniz kimlik türünü seçin. Azure Key Vault'unuz, izin modeli olarak Kasa erişim ilkesini kullanacak şekilde yapılandırılmışsa her iki seçenek de kullanılabilir. Aksi takdirde, yalnızca kullanıcı tarafından atanan seçenek kullanılabilir.

    • Sistem tarafından atanan'ı seçerseniz Kaydet düğmesini seçin. Azure portalı, NetApp hesabınıza sistem tarafından atanan bir kimlik ekleyerek NetApp hesabını otomatik olarak yapılandırıyor. Azure Key Vault'unuzda Alma, Şifreleme, Şifre Çözme anahtar izinlerine sahip bir erişim ilkesi de oluşturulur.

    Sistem tarafından atanan seçenekleri içeren şifreleme menüsünün ekran görüntüsü.

    • Kullanıcı tarafından atanan'ı seçerseniz bir kimlik seçmeniz gerekir. Kullanıcı tarafından atanan yönetilen kimliği seçtiğiniz bağlam bölmesini açmak için Kimlik seçin'i seçin.

    Kullanıcı tarafından atanan alt menünün ekran görüntüsü.

    Azure Key Vault'unuzu Kasa erişim ilkesini kullanacak şekilde yapılandırdıysanız, Azure portalı NetApp hesabını şu işlemle otomatik olarak yapılandırabilir: Seçtiğiniz kullanıcı tarafından atanan kimlik NetApp hesabınıza eklenir. Azure Key Vault'unuzda Alma, Şifreleme, Şifre Çözme anahtar izinlerine sahip bir erişim ilkesi oluşturulur.

    Azure Key Vault'unuzu Azure rol tabanlı erişim denetimini kullanacak şekilde yapılandırdıysanız, seçili kullanıcı tarafından atanan kimliğin anahtar kasasında eylemler için izinlere sahip bir rol ataması olduğundan emin olmanız gerekir:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/encrypt/action
    • Microsoft.KeyVault/vaults/keys/decrypt/action Seçtiğiniz kullanıcı tarafından atanan kimlik NetApp hesabınıza eklenir. Rol tabanlı erişim denetiminin (RBAC) özelleştirilebilir yapısı nedeniyle Azure portalı anahtar kasasına erişimi yapılandırmaz. Azure Key Vault'un yapılandırılmasıyla ilgili ayrıntılar için bkz . Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama.
  4. Kaydet'i seçin ve işlemin durumunu belirten bildirimi gözlemleyin. İşlem başarılı olmazsa bir hata iletisi görüntülenir. Hatayı çözme konusunda yardım almak için hata iletilerine ve sorun gidermeye bakın.

Rol tabanlı erişim denetimi kullanma

Azure rol tabanlı erişim denetimini kullanmak üzere yapılandırılmış bir Azure Key Vault kullanabilirsiniz. Azure portalı aracılığıyla müşteri tarafından yönetilen anahtarları yapılandırmak için kullanıcı tarafından atanan bir kimlik sağlamanız gerekir.

  1. Azure hesabınızda Anahtar kasaları'na ve ardından Erişim ilkeleri'ne gidin.

  2. Erişim ilkesi oluşturmak için İzin modeli'nin altında Azure rol tabanlı erişim denetimi'ni seçin. Erişim yapılandırma menüsünün ekran görüntüsü.

  3. Kullanıcı tarafından atanan rolü oluştururken, müşteri tarafından yönetilen anahtarlar için üç izin gerekir:

    1. Microsoft.KeyVault/vaults/keys/read
    2. Microsoft.KeyVault/vaults/keys/encrypt/action
    3. Microsoft.KeyVault/vaults/keys/decrypt/action

    Bu izinleri içeren önceden tanımlanmış roller olsa da, bu roller gerekenden daha fazla ayrıcalık verir. Yalnızca gerekli en düşük izinlere sahip bir özel rol oluşturmanız önerilir. Daha fazla bilgi için bkz . Azure özel rolleri.

    {
        "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
        "properties": {
            "roleName": "NetApp account",
            "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
            "assignableScopes": [
                "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
            ],
            "permissions": [
              {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/keys/encrypt/action",
                    "Microsoft.KeyVault/vaults/keys/decrypt/action"
                ],
                "notDataActions": []
                }
            ]
          }
    }
    
  4. Özel rol oluşturulduktan ve anahtar kasasıyla birlikte kullanılabilir duruma geçtikten sonra, bunu kullanıcı tarafından atanan kimliğe uygularsınız.

RBAC gözden geçirme ve atama menüsünün ekran görüntüsü.

Müşteri tarafından yönetilen anahtarları kullanarak Azure NetApp Files birimi oluşturma

  1. Azure NetApp Files'da Birimler'i ve ardından + Birim ekle'yi seçin.

  2. Azure NetApp Files birimi için ağ özelliklerini yapılandırma başlığı altındaki yönergeleri izleyin:

    • Birim oluşturma sayfasında Ağ Özellikleri seçeneğini ayarlayın.
    • Birimin temsilci alt ağı için ağ güvenlik grubu, NetApp'in depolama VM'sinden gelen trafiğe izin vermelidir.
  3. Müşteri tarafından yönetilen anahtar kullanacak şekilde yapılandırılmış bir NetApp hesabı için Birim Oluştur sayfasında Şifreleme Anahtarı Kaynağı seçeneği bulunur.

    Birimi anahtarınız ile şifrelemek için Şifreleme Anahtarı Kaynağı açılan menüsünde Müşteri Tarafından Yönetilen Anahtar'ı seçin.

    Müşteri tarafından yönetilen bir anahtar kullanarak birim oluşturduğunuzda, Ağ özellikleri seçeneği için Standart'ı da seçmeniz gerekir. Temel ağ özellikleri desteklenmez.

    Bir anahtar kasası özel uç noktası da seçmelisiniz. Açılan menüde seçili Sanal ağdaki özel uç noktalar görüntülenir. Seçili sanal ağda anahtar kasanız için özel uç nokta yoksa açılan menü boş olur ve devam edemeyeceksiniz. Öyleyse bkz . Azure Özel Uç Noktası.

    Birim oluştur menüsünün ekran görüntüsü.

  4. Birim oluşturma işlemini tamamlamaya devam edin. Şu belgelere bakın:

Azure NetApp Files birimini müşteri tarafından yönetilen anahtarlara geçirme (önizleme)

Azure NetApp Files, platform tarafından yönetilen anahtarları kullanarak mevcut birimleri müşteri tarafından yönetilen anahtarlara taşıma özelliğini destekler. Geçişi tamamladıktan sonra platform tarafından yönetilen anahtarlara geri dönemezsiniz.

Özelliği kaydetme

Azure NetApp Files için şifreleme anahtarı geçişi şu anda önizleme aşamasındadır. Bu özelliği ilk kez kullanmadan önce kaydetmeniz gerekir.

  1. Özelliği kaydedin:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk 
    
  2. Özellik kaydının durumunu denetleyin:

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk
    

    Not

    RegistrationState, olarak değiştirilmeden Registeredönce 60 dakikaya kadar durumunda olabilirRegistering. Devam etmeden önce durum Kayıtlı olana kadar bekleyin.

Ayrıca Azure CLI komutlarını az feature register az feature show kullanarak özelliği kaydedebilir ve kayıt durumunu görüntüleyebilirsiniz.

Geçiş birimleri

Not

Birimleri müşteri tarafından yönetilen anahtarları kullanacak şekilde geçirdiğinizde, Azure NetApp Files hesabınızın birimlerinin bulunduğu her sanal ağ için geçişi gerçekleştirmeniz gerekir.

  1. Azure NetApp Files hesabınızı müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırdığınızdan emin olun.
  2. Azure portalında Şifreleme'ye gidin.
  3. CMK Geçişi sekmesini seçin.
  4. Açılan menüden, kullanmak istediğiniz sanal ağı ve anahtar kasası özel uç noktasını seçin.
  5. Azure, müşteri tarafından yönetilen anahtarınız tarafından şifrelenecek birimlerin listesini oluşturur.
  6. Geçişi başlatmak için Onayla'yı seçin.

NetApp hesabı altındaki tüm birimleri yeniden anahtarlama

NetApp hesabınızı müşteri tarafından yönetilen anahtarlar için zaten yapılandırdıysanız ve müşteri tarafından yönetilen anahtarlarla şifrelenmiş bir veya daha fazla biriminiz varsa, NetApp hesabı altındaki tüm birimleri şifrelemek için kullanılan anahtarı değiştirebilirsiniz. Aynı anahtar kasasında bulunan herhangi bir anahtarı seçebilirsiniz. Anahtar kasalarının değiştirilmesi desteklenmez.

  1. NetApp hesabınızın altında Şifreleme menüsüne gidin. Geçerli anahtar girişi alanının altında Yeniden Anahtarla bağlantısını seçin. Şifreleme anahtarının ekran görüntüsü.

  2. Yeniden Anahtarla menüsünde, açılan menüden kullanılabilir tuşlardan birini seçin. Seçilen anahtar geçerli anahtardan farklı olmalıdır. Yeniden anahtar menüsünün ekran görüntüsü.

  3. Kaydetmek için Tamam’ı seçin. Yeniden anahtar işlemi birkaç dakika sürebilir.

Sistem tarafından atanan kimlikten kullanıcı tarafından atanan kimliğe geçiş yapma

Sistem tarafından atanan kimlikten kullanıcı tarafından atanan kimliğe geçmek için hedef kimliğe okuma/alma, şifreleme ve şifre çözme izinleriyle kullanılan anahtar kasasına erişim izni vermelisiniz.

  1. Komutunu kullanarak bir PATCH isteği göndererek NetApp hesabını güncelleştirin az rest :

    az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
    

    Yük aşağıdaki yapıyı kullanmalıdır:

    {
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
         "<identity-resource-id>": {}
        }
      },
      "properties": {
        "encryption": {
          "identity": {
            "userAssignedIdentity": "<identity-resource-id>"
          }
        }
      }
    }
    
  2. komutuyla işlemin başarıyla tamamlandığını az netappfiles account show onaylayın. Çıktı aşağıdaki alanları içerir:

        "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
        "identity": {
            "principalId": null,
            "tenantId": null,
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                    "clientId": "<client-id>",
                    "principalId": "<principalId>",
                    "tenantId": <tenantId>"
                }
            }
        },
    

    Şunlardan emin olun:

    • encryption.identity.principalId içindeki değerle eşleşir identity.userAssignedIdentities.principalId
    • encryption.identity.userAssignedIdentity içindeki değerle eşleşir identity.userAssignedIdentities[]
    "encryption": {
        "identity": {
            "principalId": "<principal-id>",
            "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
        },
        "KeySource": "Microsoft.KeyVault",
    },
    

Hata iletileri ve sorun giderme

Bu bölümde, Azure NetApp Files'ın müşteri tarafından yönetilen anahtar şifrelemesini yapılandıramaması veya müşteri tarafından yönetilen anahtar kullanarak birim oluşturması durumunda hata iletileri ve olası çözümler listelenmektedir.

NetApp hesabında müşteri tarafından yönetilen anahtar şifrelemesini yapılandırma hataları

Hata Koşulu Çözüm
The operation failed because the specified key vault key was not found Anahtar URI'sini el ile girerken URI'nin doğru olduğundan emin olun.
Azure Key Vault key is not a valid RSA key Seçili anahtarın RSA türünde olduğundan emin olun.
Azure Key Vault key is not enabled Seçili anahtarın etkinleştirildiğinden emin olun.
Azure Key Vault key is expired Seçili anahtarın süresinin dolmadığından emin olun.
Azure Key Vault key has not been activated Seçili anahtarın etkin olduğundan emin olun.
Key Vault URI is invalid Anahtar URI'sini el ile girerken URI'nin doğru olduğundan emin olun.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault Anahtar kasası kurtarma düzeyini şu şekilde güncelleştirin:
“Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault Anahtar kasasının NetApp hesabıyla aynı bölgede olduğundan emin olun.

Müşteri tarafından yönetilen anahtarlarla şifrelenmiş birim oluşturma hataları

Hata Koşulu Çözüm
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption NetApp hesabınızda müşteri tarafından yönetilen anahtar şifrelemesi etkinleştirilmemiş. NetApp hesabını müşteri tarafından yönetilen anahtarı kullanacak şekilde yapılandırın.
EncryptionKeySource cannot be changed Çözüm yok. Birimin EncryptionKeySource özelliği değiştirilemez.
Unable to use the configured encryption key, please check if key is active Aşağıdakileri denetleyin:
-Anahtar kasasında tüm erişim ilkeleri doğru mu: Al, Şifrele, Şifrele?
-Anahtar kasası için özel uç nokta var mı?
-VNet'te temsilci azure netapp files alt ağı etkinleştirilmiş bir Sanal Ağ NAT var mı?
Could not connect to the KeyVault Özel uç noktanın doğru ayarlandığından ve güvenlik duvarlarının Sanal Ağ KeyVault bağlantınızı engellemediğinden emin olun.

Sonraki adımlar