Az Azure Batch-fiók ügyfél által felügyelt kulcsainak konfigurálása az Azure Key Vaulttal és a felügyelt identitással

Az Azure Batch alapértelmezés szerint platform által felügyelt kulcsokkal titkosítja az Azure Batch szolgáltatásban tárolt összes ügyféladatot, például tanúsítványokat, feladat-/feladat metaadatokat. Igény szerint használhatja a saját kulcsait, vagyis az ügyfél által felügyelt kulcsokat az Azure Batchben tárolt adatok titkosításához.

A megadott kulcsokat az Azure Key Vaultban kell létrehozni, és azOkat az Azure-erőforrások felügyelt identitásaival kell elérni.

A felügyelt identitások két típusa létezik: a rendszer által hozzárendelt és a felhasználó által hozzárendelt.

Létrehozhatja Batch-fiókját rendszer által hozzárendelt felügyelt identitással, vagy létrehozhat egy külön, felhasználó által hozzárendelt felügyelt identitást, amely hozzáfér az ügyfél által felügyelt kulcsokhoz. Az összehasonlító táblázat áttekintésével megismerheti a különbségeket, és áttekintheti, hogy melyik lehetőség működik a legjobban a megoldáshoz. Ha például ugyanazt a felügyelt identitást szeretné használni több Azure-erőforrás eléréséhez, felhasználó által hozzárendelt felügyelt identitásra van szükség. Ha nem, elegendő lehet a Batch-fiókhoz társított rendszer által hozzárendelt felügyelt identitás. A felhasználó által hozzárendelt felügyelt identitás használata lehetővé teszi az ügyfél által felügyelt kulcsok kényszerítését a Batch-fiók létrehozásakor, ahogy az a következő képen is látható.

Batch-fiók létrehozása rendszer által hozzárendelt felügyelt identitással

Ha nincs szüksége külön felhasználó által hozzárendelt felügyelt identitásra, a Batch-fiók létrehozásakor engedélyezheti a rendszer által hozzárendelt felügyelt identitást.

Azure Portal

Az Azure Portalon a Batch-fiókok létrehozásakor válassza a Speciális lap identitástípusában hozzárendelt rendszert.

A fiók létrehozása után a Tulajdonságok szakasz Identitásnév azonosítója mezőjében talál egy egyedi GUID azonosítót. Az identitástípus megjelenik System assigned.

Erre az értékre azért van szükség, hogy a Batch-fiók hozzáférjen a Key Vaulthoz.

Azure CLI

Új Batch-fiók létrehozásakor adja meg SystemAssigned a --identity paramétert.

resourceGroupName='myResourceGroup'
accountName='mybatchaccount'

az batch account create \
    --name $accountName \
    --resource-group $resourceGroupName \
    --locations regionName='West US 2' \
    --identity 'SystemAssigned'

A fiók létrehozása után ellenőrizheti, hogy a rendszer által hozzárendelt felügyelt identitás engedélyezve van-e ezen a fiókon. Ügyeljen arra, hogy jegyezze fel ezt az PrincipalIdértéket, mivel ez az érték szükséges ahhoz, hogy a Batch-fiók hozzáférést biztosítson a Key Vaulthoz.

az batch account show \
    --name $accountName \
    --resource-group $resourceGroupName \
    --query identity

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Tetszés szerint létrehozhat egy felhasználó által hozzárendelt felügyelt identitást , amely az ügyfél által felügyelt kulcsok eléréséhez használható.

Az identitás ügyfélazonosító-értékére van szükség ahhoz, hogy hozzáférhessen a Key Vaulthoz.

Az Azure Key Vault-példány konfigurálása

A kulcsokat létrehozó Azure Key Vaultot ugyanabban a bérlőben kell létrehozni, mint a Batch-fiókot. Nem kell ugyanabban az erőforráscsoportban vagy akár ugyanabban az előfizetésben lennie.

Azure Key Vault létrehozása;

Ha azure Key Vault-példányt hoz létre az Azure Batch ügyfél által felügyelt kulcsaival, győződjön meg arról, hogy a Helyreállítható törlés és a Törlés elleni védelem is engedélyezve van.

Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz

Az Azure Portalon a Key Vault létrehozása után a Beállítás alatti Hozzáférési szabályzatban adja hozzá a Batch-fiókhoz való hozzáférést felügyelt identitással. A Kulcsengedélyek csoportban válassza a Lekérés, a Tördelés és a Kulcs kibontása lehetőséget.

Az Egyszerű elem alatti Kiválasztás mezőben adja meg az alábbiak egyikét:

• Rendszer által hozzárendelt felügyelt identitás esetén: Adja meg a principalId korábban lekért nevet vagy a Batch-fiók nevét.
• Felhasználó által hozzárendelt felügyelt identitás esetén: Adja meg a korábban lekért ügyfél-azonosítót vagy a felhasználó által hozzárendelt felügyelt identitás nevét.

Kulcs létrehozása az Azure Key Vaultban

Az Azure Portalon lépjen a Key Vault-példányra a kulcsszakaszban, és válassza a Létrehozás/Importálás lehetőséget. Válassza ki a kívánt RSA kulcstípust, és az RSA-kulcsméret legyen legalább 2048 bit. EC A kulcstípusok jelenleg nem támogatottak ügyfél által felügyelt kulcsként a Batch-fiókban.

A kulcs létrehozása után kattintson az újonnan létrehozott kulcsra és az aktuális verzióra, másolja a kulcsazonosítót a Tulajdonságok szakaszba. Győződjön meg arról, hogy az Engedélyezett műveletek területen a Wrap Key és a Unwrap Key is be van jelölve.

Ügyfél által felügyelt kulcsok engedélyezése Batch-fiókban

Most, hogy az előfeltételek teljesülnek, engedélyezheti az ügyfél által felügyelt kulcsokat a Batch-fiókban.

Azure Portal

Az Azure Portalon lépjen a Batch-fiók lapjára. A Titkosítás szakaszban engedélyezze az ügyfél által felügyelt kulcsot. Használhatja közvetlenül a kulcsazonosítót, vagy kiválaszthatja a kulcstartót, majd kattintson a Kulcstartó és kulcs kiválasztása parancsra.

Azure CLI

Miután a Batch-fiók rendszer által hozzárendelt felügyelt identitással lett létrehozva, és meg lett adva a Key Vaulthoz való hozzáférés, frissítse a Batch-fiókot a {Key Identifier} paraméter alatti keyVaultProperties URL-címmel. Emellett állítsa be --encryption-key-source a következőt: Microsoft.KeyVault.

az batch account set \
    --name $accountName \
    --resource-group $resourceGroupName \
    --encryption-key-source Microsoft.KeyVault \
    --encryption-key-identifier {YourKeyIdentifier}

Batch-fiók létrehozása felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt kulcsokkal

A Batch felügyeleti .NET-ügyfelet használó példaként létrehozhat egy Olyan Batch-fiókot, amely felhasználó által hozzárendelt felügyelt identitással és ügyfél által felügyelt kulcsokkal rendelkezik.

string subscriptionId = "Your SubscriptionID";
string resourceGroupName = "Your ResourceGroup name";
         
var credential = new DefaultAzureCredential();
ArmClient _armClient = new ArmClient(credential);

ResourceIdentifier resourceGroupResourceId = ResourceGroupResource.CreateResourceIdentifier(subscriptionId, resourceGroupName);
ResourceGroupResource resourceGroupResource = _armClient.GetResourceGroupResource(resourceGroupResourceId);

var data = new BatchAccountCreateOrUpdateContent(AzureLocation.EastUS)
{
    Encryption = new BatchAccountEncryptionConfiguration()
    {
        KeySource = BatchAccountKeySource.MicrosoftKeyVault,
        KeyIdentifier = new Uri("Your Key Azure Resource Manager Resource ID"),
    },

    Identity = new ManagedServiceIdentity(ManagedServiceIdentityType.UserAssigned)
    {
        UserAssignedIdentities = {
            [new ResourceIdentifier("Your Identity Azure Resource Manager ResourceId")] = new UserAssignedIdentity(),
        },
    }
};

var lro = resourceGroupResource.GetBatchAccounts().CreateOrUpdate(WaitUntil.Completed, "Your BatchAccount name", data);
BatchAccountResource batchAccount = lro.Value;

Az ügyfél által felügyelt kulcsverzió frissítése

A kulcs új verziójának létrehozásakor frissítse a Batch-fiókot az új verzió használatára. Tegye a következők egyikét:

1. Lépjen a Batch-fiókjára az Azure Portalon, és jelenítse meg a titkosítási beállításokat.
2. Adja meg az új kulcsverzió URI-jának nevét. A verzió frissítéséhez másik lehetőségként kiválaszthatja a Key Vaultot és a kulcsot.
3. Mentse a módosításokat.

Az Azure CLI-vel is frissítheti a verziót.

az batch account set \
    --name $accountName \
    --resource-group $resourceGroupName \
    --encryption-key-identifier {YourKeyIdentifierWithNewVersion}

Másik kulcs használata a Batch-titkosításhoz

A Batch-titkosításhoz használt kulcs módosításához kövesse az alábbi lépéseket:

1. Lépjen a Batch-fiókhoz, és jelenítse meg a titkosítási beállításokat.
2. Adja meg az új kulcs URI-jának nevét. Másik lehetőségként kiválaszthatja a Key Vaultot, és kiválaszthat egy új kulcsot.
3. Mentse a módosításokat.

Az Azure CLI-vel másik kulcsot is használhat.

az batch account set \
    --name $accountName \
    --resource-group $resourceGroupName \
    --encryption-key-identifier {YourNewKeyIdentifier}

Gyakori kérdések

• Támogatottak az ügyfél által kezelt kulcsok a meglévő Batch-fiókok esetében? Szám Az ügyfél által felügyelt kulcsok csak az új Batch-fiókok esetében támogatottak.
• Választhatok 2048 bitesnél nagyobb RSA-kulcsméreteket? Igen, az RSA-kulcsok 3072 mérete és 4096 bitjei is támogatottak.
• Milyen műveletek érhetők el az ügyfél által felügyelt kulcsok visszavonása után? Az egyetlen engedélyezett művelet a fiók törlése, ha a Batch elveszíti a hozzáférést az ügyfél által kezelt kulcshoz.
• Hogyan állíthatom vissza a Batch-fiókomhoz való hozzáférést, ha véletlenül törölöm a Key Vault-kulcsot? Mivel a törlés elleni védelem és a helyreállítható törlés engedélyezve van, visszaállíthatja a meglévő kulcsokat. További információ: Azure Key Vault helyreállítása.
• Letilthatom az ügyfél által kezelt kulcsokat? A Batch-fiók titkosítási típusát bármikor visszaállíthatja a "Microsoft által kezelt kulcs" értékre. Ezután szabadon törölheti vagy módosíthatja a kulcsot.
• Hogyan forgathatom el a kulcsaimat? Az ügyfél által felügyelt kulcsok csak akkor váltanak automatikusan, ha a kulcs verzió nélküli, és a Key Vaultban beállított megfelelő kulcsforgató házirend van beállítva. A kulcs manuális elforgatásához frissítse a fiókhoz társított kulcsazonosítót.
• A hozzáférés visszaállítása után mennyi ideig tart a Batch-fiók újbóli működése? A hozzáférés visszaállítása után akár 10 percet is igénybe vehet, amíg a fiók ismét elérhető lesz.
• Amíg a Batch-fiók nem érhető el, mi történik az erőforrásaimmal? Minden olyan készlet, amely akkor aktív, ha a Batch hozzáférése elveszik az ügyfél által felügyelt kulcshoz, továbbra is futni fog. A készletek csomópontjai azonban elérhetetlen állapotba kerülnek, és a tevékenységek leállnak (és újra le lesznek kérdezve). A hozzáférés visszaállítása után a csomópontok ismét elérhetővé válnak, és a feladatok újraindulnak.
• Ez a titkosítási mechanizmus vonatkozik a Batch-készletben lévő virtuálisgép-lemezekre? Szám A Cloud Services konfigurációs készleteinél (amelyek elavultak) a rendszer nem alkalmaz titkosítást az operációs rendszerre és az ideiglenes lemezre. A virtuálisgép-konfigurációs készletek esetében az operációs rendszer és a megadott adatlemezek alapértelmezés szerint microsoftos platform által felügyelt kulccsal vannak titkosítva. Jelenleg nem adhatja meg a saját kulcsát ezekhez a lemezekhez. Ha microsoftos platform által felügyelt kulccsal szeretné titkosítani egy Batch-készlet virtuális gépeinek ideiglenes lemezét, engedélyeznie kell a diskEncryptionConfiguration tulajdonságot a virtuálisgép-konfigurációs készletben. A rendkívül érzékeny környezetek esetében javasoljuk az ideiglenes lemeztitkosítás engedélyezését, valamint a bizalmas adatok operációs rendszeren és adatlemezeken való tárolásának elkerülését. További információ: Készlet létrehozása engedélyezett lemeztitkosítással
• Elérhető a rendszer által hozzárendelt felügyelt identitás a Batch-fiókban a számítási csomópontokon? Szám A rendszer által hozzárendelt felügyelt identitás jelenleg csak az ügyfél által felügyelt kulcs Azure Key Vaultjának eléréséhez használható. Ha felhasználó által hozzárendelt felügyelt identitást szeretne használni a számítási csomópontokon, olvassa el a Felügyelt identitások konfigurálása a Batch-készletekben című témakört.

Következő lépések

• További információ az Azure Batch biztonsági ajánlott eljárásairól.
• További információ az Azure Key Vaultról.