可以使用 Azure Key Vault 来控制用于加密 Azure HPC 缓存中的数据的密钥的所有权。 本文介绍如何使用客户管理的密钥进行缓存数据加密。
注释
默认情况下,存储在 Azure 中的所有数据(包括缓存磁盘上)都使用Microsoft管理的密钥进行静态加密。 如果想要管理用于加密数据的密钥,则只需按照本文中的步骤进行操作。
即使为缓存磁盘添加客户密钥,Azure HPC 缓存也受托管磁盘上的 VM 主机加密 保护。 为双重加密添加客户管理的密钥可为需要高安全性的客户提供额外的安全级别。 有关详细信息 ,请阅读 Azure 磁盘存储的服务器端加密 。
为 Azure HPC 缓存启用客户管理的密钥加密有三个步骤:
设置 Azure Key Vault 以存储密钥。
创建 Azure HPC 缓存时,请选择客户管理的密钥加密,并指定要使用的密钥保管库和密钥。 (可选)为缓存提供用于访问密钥保管库的托管标识。
根据在此步骤中所做的选择,你可能能够跳过步骤 3。 有关详细信息,请阅读选择缓存托管身份选项。
如果使用 系统分配的托管标识 或 未配置密钥保管库访问权限的用户分配标识:请转到新创建的缓存并授权它访问密钥保管库。
如果托管标识尚未获得访问 Azure Key Vault 的权限,那么您的加密在步骤 3 中通过新创建的缓存进行授权后才完全设置。
如果使用系统托管标识,则会在创建缓存时创建标识。 必须将缓存的标识传递给密钥保管库,才能在创建缓存后使其成为授权用户。
如果分配已有权访问密钥保管库的用户托管标识,则可以跳过此步骤。
创建缓存后,不能在客户管理的密钥和Microsoft管理的密钥之间更改。 但是,如果缓存使用客户管理的密钥,则可以根据需要 更改 加密密钥、密钥版本和密钥保管库。
了解密钥保管库和密钥要求
密钥保管库和密钥必须满足这些要求才能使用 Azure HPC 缓存。
密钥保管库属性:
- 订阅 - 使用用于缓存的同一订阅。
- 区域 - 密钥保管库必须与 Azure HPC 缓存位于同一区域。
- 定价层 - 标准层足以用于 Azure HPC 缓存。
- 软删除 - 如果尚未在密钥保管库上配置软删除,Azure HPC 缓存将启用软删除。
- 清除保护 - 必须启用清除保护。
- 访问策略 - 默认设置已足够。
- 网络连接 - 无论选择的终结点设置如何,Azure HPC 缓存都必须能够访问密钥保管库。
关键属性:
- 密钥类型 - RSA
- RSA 密钥大小 - 2048
- 启用 - 是
密钥保管库访问权限:
创建 Azure HPC 缓存的用户必须具有与 Key Vault 参与者角色等效的权限。 设置和管理 Azure Key Vault 需要相同的权限。
有关详细信息 ,请阅读对密钥保管库的安全访问 。
为缓存选择托管标识选项
HPC 缓存使用其托管标识凭据连接到密钥保管库。
Azure HPC 缓存可以使用两种类型的托管标识:
系统分配的 托管标识 - 为缓存自动创建的唯一标识。 此托管标识仅在 HPC 缓存存在时存在,并且不能直接进行管理或修改。
用户指定的 托管标识 - 一种独立于缓存,需单独管理的身份凭证。 可以配置用户分配的托管标识,该标识具有所需的访问权限,并在多个 HPC 缓存中使用。
如果在创建托管标识时未将托管标识分配给缓存,Azure 会自动为缓存创建系统分配的托管标识。
使用用户分配的托管标识,可以提供已有权访问密钥保管库的标识。 (例如,它已添加到密钥保管库访问策略或具有允许访问的 Azure RBAC 角色。如果使用系统分配的标识,或提供无权访问的托管标识,则需要在创建后从缓存请求访问权限。 这是在 步骤 3 中介绍的手动步骤。
详细了解 托管标识
1.设置 Azure Key Vault
可以在创建缓存之前设置密钥保管库和密钥,也可以将其作为缓存创建的一部分进行设置。 请确保这些资源满足 上述要求。
在缓存创建时,必须指定用于缓存加密的保管库、密钥和密钥版本。
有关详细信息,请阅读 Azure Key Vault 文档 。
注释
Azure Key Vault 必须使用同一订阅,并且与 Azure HPC 缓存位于同一区域中。 确保所选区域 支持这两种产品。
2.创建启用了客户管理的密钥的缓存
创建 Azure HPC 缓存时,必须指定加密密钥源。 按照 “创建 Azure HPC 缓存”中的说明操作,并在 “磁盘加密密钥 ”页中指定密钥保管库和密钥。 可以在创建缓存期间创建新的密钥保管库和密钥。
Tip
如果未显示 “磁盘加密密钥 ”页,请确保缓存位于 支持的区域之一。
创建缓存的用户必须具有等于 Key Vault 参与者角色 或更高版本的权限。
单击该按钮以启用专用管理的密钥。 更改此设置后,将显示密钥保管库设置。
单击 “选择密钥保管库 ”以打开密钥选择页。 选择或创建用于加密此缓存磁盘上的数据的密钥保管库和密钥。
如果 Azure Key Vault 未显示在列表中,请检查以下要求:
- 缓存是否与密钥保管库位于同一订阅中?
- 缓存是否与密钥保管库位于同一区域中?
- Azure 门户与密钥保管库之间是否存在网络连接?
选择保管库后,从可用选项中选择单个密钥,或创建新密钥。 密钥必须是 2048 位的 RSA 密钥。
指定所选密钥的版本。 详细了解 Azure Key Vault 文档中的版本控制。
这些设置是可选的:
若要使用自动密钥轮换,请选中“始终使用当前密钥版本”复选框。
如果要为此缓存使用特定的托管标识,请选择“托管标识”部分中分配的用户,然后选择要使用的标识。 阅读 托管标识文档 以获取帮助。
Tip
如果传递已配置为访问密钥保管库的标识,则用户分配的托管标识可以简化缓存创建。 在使用系统分配的托管标识时,在创建缓存后,你需要采取额外步骤,以便授权缓存的系统分配标识访问你的密钥保管库。
注释
创建缓存后,无法更改分配标识。
继续执行其余规范并创建缓存,如 “创建 Azure HPC 缓存”中所述。
3. 授权缓存中的 Azure Key Vault 加密(如果需要)
注释
如果在创建缓存时提供了具有密钥保管库访问权限的用户分配托管标识,则不需要执行此步骤。
几分钟后,新的 Azure HPC 缓存将显示在 Azure 门户中。 转到“ 概述 ”页,授权其访问 Azure Key Vault 并启用客户管理的密钥加密。
Tip
缓存可能会在“部署正在进行”消息清除之前显示在资源列表中。 在一两分钟后检查资源列表,而不是等待成功通知。
创建缓存后,必须在 90 分钟内授权加密。 如果未完成此步骤,缓存将超时并失败。 必须重新创建失败的缓存,无法修复。
缓存显示 正在等待密钥的状态。 单击页面顶部的 “启用加密 ”按钮,授权缓存访问指定的密钥保管库。
单击“ 启用加密 ”,然后单击“ 是 ”按钮授权缓存使用加密密钥。 此操作还会在密钥保管库上启用软删除和清除保护(如果尚未启用)。
缓存请求访问密钥保管库后,可以创建和加密存储缓存数据的磁盘。
授权加密后,Azure HPC 缓存会经过几分钟的安装,以创建加密的磁盘和相关基础结构。
更新密钥设置
可以从 Azure 门户更改缓存的密钥保管库、密钥或密钥版本。 单击缓存的 加密 设置链接以打开 “客户密钥设置” 页。
不能在客户管理的密钥和系统管理的密钥之间更改缓存。
单击 “更改密钥 ”链接,然后单击“ 更改密钥保管库”、“密钥”或“版本 ”以打开密钥选择器。
列表中的密钥保管库与此缓存位于同一订阅和同一区域。
选择新的加密密钥值后,单击 “选择”。 此时会显示一个包含新值的确认页。 单击“ 保存” 以完成选择。
详细了解 Azure 中的客户管理的密钥
这些文章详细介绍了如何使用 Azure Key Vault 和客户管理的密钥来加密 Azure 中的数据:
- Azure 存储加密概述
- 使用客户管理的密钥进行磁盘加密 - 有关将 Azure Key Vault 与托管磁盘配合使用的文档,这与 Azure HPC 缓存类似
后续步骤
创建 Azure HPC 缓存和基于 Key Vault 的授权加密后,通过授予缓存对数据源的访问权限,继续设置缓存。