Müşteri tarafından yönetilen anahtarları yapılandırma

Aşağıdaki adımlarda, Azure portal kullanarak müşteri tarafından yönetilen anahtar şifrelemesinin nasıl etkinleştirileceği açıklanmaktadır. Azure Veri Gezgini şifrelemesi varsayılan olarak Microsoft tarafından yönetilen anahtarları kullanır. Azure Veri Gezgini kümenizi müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırın ve kümeyle ilişkilendirilecek anahtarı belirtin.

1. Azure portalAzure Veri Gezgini küme kaynağınıza gidin.

2. Portalın sol bölmesinde Ayarlar>Şifreleme'yi seçin.

3. Şifreleme bölmesinde, Müşteri tarafından yönetilen anahtar ayarı için Açık'ı seçin.

4. Anahtar Seç'i seçin.

   

5. Azure Key Vault anahtarı seçin penceresinde açılan listeden mevcut bir Anahtar kasası seçin. Yeni bir Key Vault oluşturmak için Yeni oluştur'u seçerseniz, Key Vault oluştur ekranına yönlendirilirsiniz.

6. Anahtar'ı seçin.

7. Sürüm:

   • Bu anahtarın her zaman en son anahtar sürümünü kullandığından emin olmak için Her zaman geçerli anahtar sürümünü kullan onay kutusunu seçin.
   • Aksi takdirde Sürüm'i seçin.

8. Seç’i seçin.

   

9. Kimlik türü'nin altında Sistem Tarafından Atanan'ı veya Kullanıcı Tarafından Atanan'ı seçin.

10. Kullanıcı Tarafından Atanan'ı seçerseniz açılan listeden kullanıcı tarafından atanan kimliği seçin.

    

11. Anahtarınızı içeren Şifreleme bölmesinde Kaydet'i seçin. CMK oluşturma işlemi başarılı olduğunda Bildirimler'de bir başarı iletisi görürsünüz.

    

Azure Veri Gezgini kümeniz için müşteri tarafından yönetilen anahtarları etkinleştirirken sistem tarafından atanan kimliği seçerseniz, yoksa küme için sistem tarafından atanan bir kimlik oluşturursunuz. Ayrıca, seçili Key Vault Azure Veri Gezgini kümenizde gerekli get, wrapKey ve unwrapKey izinlerini sağlayacak ve Key Vault özelliklerini alacaksınız.

Aşağıdaki bölümlerde Azure Veri Gezgini C# istemcisi kullanılarak müşteri tarafından yönetilen anahtar şifrelemesinin nasıl yapılandırılır açıklanmaktadır.

Paketleri yükleme

• Azure Veri Gezgini (Kusto) NuGet paketini yükleyin.
• Microsoft Entra kimliğiyle kimlik doğrulaması için Azure.Identity NuGet paketini yükleyin.

Kimlik Doğrulaması

Bu makaledeki örnekleri çalıştırmak için kaynaklara erişebilen bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturun. Abonelik kapsamında rol ataması ekleyebilir ve gerekli Microsoft Entra Directory (tenant) ID, Application IDve Application Secret'yi alabilirsiniz.

Aşağıdaki kod parçacığı, kümenize erişmek üzere bir Microsoft Entra uygulama belirteci almak için Microsoft Authentication Library'nin (MSAL) nasıl kullanılacağını gösterir. Akışın başarılı olması için uygulamanın Microsoft Entra kimliğiyle kaydedilmesi ve Microsoft Entra kimliği verilmiş uygulama anahtarı veya Microsoft Entra kayıtlı X.509v2 sertifikası gibi uygulama kimlik doğrulaması kimlik bilgilerine sahip olmanız gerekir.

Müşteri tarafından yönetilen anahtarları yapılandırma

Azure Veri Gezgini şifrelemesi varsayılan olarak Microsoft tarafından yönetilen anahtarları kullanır. Azure Veri Gezgini kümenizi müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırın ve kümeyle ilişkilendirilecek anahtarı belirtin.

1. Aşağıdaki kodu kullanarak kümenizi güncelleştirin:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
   var clientSecret = "PlaceholderClientSecret"; // Application secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
   var resourceManagementClient = new ArmClient(credentials, subscriptionId);
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
   var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
   var clusters = resourceGroup.GetKustoClusters();
   var cluster = (await clusters.GetAsync(clusterName)).Value;
   var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
   {
       KeyVaultProperties = new KustoKeyVaultProperties
       {
           KeyName = "<keyName>",
           KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
           KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
           UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
       }
   };
   await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
   

2. Kümenizin başarıyla güncelleştirilip güncelleştirilmediğini denetlemek için aşağıdaki komutu çalıştırın:

   var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
   

   Sonuç değeriyle birlikte Succeeded içeriyorsa ProvisioningState kümeniz başarıyla güncelleştirildi.

Aşağıdaki adımlarda Azure CLI istemcisi kullanılarak müşteri tarafından yönetilen anahtar şifrelemesinin nasıl etkinleştirileceği açıklanmaktadır. Azure Veri Gezgini şifrelemesi varsayılan olarak Microsoft tarafından yönetilen anahtarları kullanır. Azure Veri Gezgini kümenizi müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırın ve kümeyle ilişkilendirilecek anahtarı belirtin.

1. Azure'da oturum açmak için aşağıdaki komutu çalıştırın:

   az login
   

2. Kümenizin kayıtlı olduğu aboneliği ayarlayın. MyAzureSub değerini kullanmak istediğiniz Azure aboneliğinin adıyla değiştirin.

   az account set --subscription MyAzureSub
   

3. Kümenin sistem tarafından atanan kimliğiyle yeni anahtarı ayarlamak için aşağıdaki komutu çalıştırın

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
   

   Alternatif olarak, yeni anahtarı kullanıcı tarafından atanan kimlikle ayarlayın.

   az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
   

4. Kümenin başarıyla güncelleştirildiğinden emin olmak için aşağıdaki komutu çalıştırın ve 'keyVaultProperties' özelliğini denetleyin.

   az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
   

Aşağıdaki adımlarda, PowerShell kullanarak müşteri tarafından yönetilen anahtar şifrelemesinin nasıl etkinleştirileceği açıklanmaktadır. Azure Veri Gezgini şifrelemesi varsayılan olarak Microsoft tarafından yönetilen anahtarları kullanır. Azure Veri Gezgini kümenizi müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırın ve kümeyle ilişkilendirilecek anahtarı belirtin.

1. Azure'da oturum açmak için aşağıdaki komutu çalıştırın:

   Connect-AzAccount
   

2. Kümenizin kayıtlı olduğu aboneliği ayarlayın.

   Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   

3. Sistem tarafından atanan kimliği kullanarak yeni anahtarı ayarlamak için aşağıdaki komutu çalıştırın.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
   

   Alternatif olarak, kullanıcı tarafından atanan kimliği kullanarak yeni anahtarı ayarlayın.

   Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
   

4. Aşağıdaki komutu çalıştırın ve 'KeyVaultProperty...' öğesini denetleyin kümenin başarıyla güncelleştirildiğinden emin olmak için özellikler.

   Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
   

Aşağıdaki adımlar, Azure Resource Manager şablonlarını kullanarak müşteri tarafından yönetilen anahtarların nasıl yapılandırileceğini açıklar. Azure Veri Gezgini şifrelemesi varsayılan olarak Microsoft tarafından yönetilen anahtarları kullanır. Bu adımda, Azure Veri Gezgini kümenizi müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırın ve kümeyle ilişkilendirilecek anahtarı belirtin.

Anahtar kasasına erişmek için sistem tarafından atanan bir kimlik kullanmak istiyorsanız boş bırakın userIdentity . Aksi takdirde, kimliğin kaynak kimliğini ayarlayın.

Azure Resource Manager şablonunu Azure portal veya PowerShell kullanarak dağıtabilirsiniz.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_E8ads_v5",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}