Freigeben über

Konfigurieren von kundenseitig verwalteten Schlüsseln für die Azure NetApp Files-Volumeverschlüsselung

Mit den kundenseitig verwalteten Schlüsseln für die Volumeverschlüsselung von Azure NetApp Files können Sie bei der Erstellung eines neuen Volumes Ihre eigenen Schlüssel anstelle eines von der Plattform verwalteten Schlüssels verwenden. Mit kundenseitig verwalteten Schlüsseln können Sie die Beziehung zwischen dem Lebenszyklus eines Schlüssels, den Schlüsselverwendungsberechtigungen und den Prüfvorgängen für Schlüssel vollständig verwalten.

Das folgende Diagramm zeigt, wie kundenseitig verwaltete Schlüssel mit Azure NetApp Files funktionieren:

Konzeptionelles Diagramm von vom Kunden verwalteten Schlüsseln.

  1. Azure NetApp Files erteilt einer verwalteten Identität Berechtigungen für Verschlüsselungsschlüssel. Bei der verwalteten Identität handelt es sich um eine vom Benutzer zugewiesene verwaltete Identität, die Sie erstellen und verwalten, oder um eine vom System zugewiesene verwaltete Identität, die dem Speicherkonto zugeordnet ist.

  2. Sie konfigurieren die Verschlüsselung mit einem kundenseitig verwalteten Schlüssel für das NetApp Konto.

  3. Sie verwenden die verwaltete Identität, für die der Azure Key Vault-Administrator in Schritt 1 Berechtigungen erteilt hat, um den Zugriff auf Azure Key Vault über Microsoft Entra ID zu authentifizieren.

  4. Azure NetApp Files umschließt den Kontoverschlüsselungsschlüssel mit dem kundenseitig verwalteten Schlüssel in Azure Key Vault.

    Vom Kunden verwaltete Schlüssel wirken sich nicht auf die Leistung von Azure NetApp Files aus. Der einzige Unterschied zu plattformseitig verwalteten Schlüsseln besteht darin, wie der Schlüssel verwaltet wird.

  5. Bei Lese-/Schreibvorgängen sendet Azure NetApp Files Anforderungen an Azure Key Vault, um die Umschließung für den Kontoverschlüsselungsschlüssel aufzuheben und so Verschlüsselungs- und Entschlüsselungsvorgänge durchzuführen.

Mandantenübergreifend vom Kunden verwaltete Schlüssel sind in allen unterstützten Regionen von Azure NetApp Files verfügbar.

Überlegungen

  • Um ein Volume mit vom Kunden verwalteten Schlüsseln zu erstellen, müssen Sie die Standardnetzwerkfunktionen auswählen. Sie können keine Volumes mit kundenseitig verwalteten Schlüsseln verwenden, die mit grundlegenden Netzwerkfeatures konfiguriert sind. Folgen Sie den Anweisungen zum Festlegen der Option „Netzwerkfeatures“ auf der Seite zum Erstellen eines Volumes.
  • Um die Sicherheit zu erhöhen, können Sie die Option " Öffentlichen Zugriff deaktivieren " in den Netzwerkeinstellungen Ihres Schlüsseltresors auswählen. Wenn Sie diese Option auswählen, müssen Sie auch " Vertrauenswürdige Microsoft-Dienste zulassen" auswählen, um diese Firewall zu umgehen , damit der Azure NetApp Files-Dienst auf Ihren Verschlüsselungsschlüssel zugreifen kann.
  • Kundenseitig verwaltete Schlüssel unterstützen die automatische Erneuerung von MSI-Zertifikaten (Managed System Identity). Wenn Ihr Zertifikat gültig ist, müssen Sie es nicht manuell aktualisieren.
  • Wenn Azure NetApp Files kein Volume mit kundenseitig verwalteten Schlüsseln erstellt, werden Fehlermeldungen angezeigt. Weitere Informationen finden Sie unter Fehlermeldungen und Problembehandlung.
  • Nehmen Sie nach dem Erstellen eines kundenseitig verwalteten Schlüsselvolumes keine Änderungen am zugrunde liegenden Azure Key Vault-Tresor oder privaten Azure-Endpunkt vor. Das Vornehmen von Änderungen kann die Volumes unzugänglich machen. Wenn Sie Änderungen vornehmen müssen, lesen Sie "Aktualisieren der IP des privaten Endpunkts für vom Kunden verwaltete Schlüssel".
  • Azure NetApp Files unterstützt die Möglichkeit, vorhandene Volumes von plattformverwalteten Schlüsseln (PMK) zu kundenverwalteten Schlüsseln (CMK) ohne Datenmigration zu übertragen. Dies bietet Flexibilität beim Lebenszyklus des Verschlüsselungsschlüssels (Verlängerungen, Rotationen) und zusätzliche Sicherheit für regulierte Branchenanforderungen.
  • Wenn nicht mehr auf Azure Key Vault zugegriffen werden kann, verliert Azure NetApp Files den Zugriff auf die Verschlüsselungsschlüssel und die Möglichkeit, Daten in Volumes zu lesen oder zu schreiben, die mit kundenseitig verwalteten Schlüsseln aktiviert sind. Erstellen Sie in diesem Fall ein Supportticket, damit der Zugriff für die betroffenen Volumes manuell wiederhergestellt werden kann.
  • Azure NetApp Files unterstützt kundenseitig verwaltete Schlüssel auf Quell- und Datenreplikatvolumes mit regionsübergreifender Replikation oder zonenübergreifenden Replikationsbeziehungen.
  • Das Anwenden von Azure-Netzwerksicherheitsgruppen (NSG) auf das Subnetz des privaten Links zu Azure Key Vault wird für kundenverwaltete Keys von Azure NetApp Files unterstützt. NSGs wirken sich nicht auf die Konnektivität mit privaten Links aus, es sei denn, eine richtlinie für ein privates Endpunktnetzwerk ist im Subnetz aktiviert.
  • Umschließen/Umschließen aufheben wird nicht unterstützt. Vom Kunden verwaltete Schlüssel verwenden Verschlüsselung/Entschlüsselung. Weitere Informationen finden Sie unter RSA-Algorithmen.

Anforderungen

Bevor Sie Ihr erstes Volume mit kundenseitig verwalteten Schlüsseln erstellen, müssen Sie Folgendes einrichten:

  • Ein Azure Key Vault mit mindestens einem Schlüssel.
    • Vorläufiges Löschen und Bereinigungsschutz müssen für den Schlüsseltresor aktiviert sein.
    • Der Schlüssel muss vom Typ RSA sein.
  • Der Schlüsseltresor muss über einen privaten Azure-Endpunkt verfügen.
    • Der private Endpunkt muss sich in einem anderen Subnetz als dem an Azure NetApp Files delegierten befinden. Das Subnetz muss sich im selben virtuellen Netzwerk befinden wie das subnetz, das an Azure NetApp delegiert wurde.

Weitere Informationen zu Azure Key Vault und dem privaten Azure-Endpunkt finden Sie unter:

Konfigurieren eines NetApp-Kontos für die Verwendung von kundenseitig verwalteten Schlüsseln

  1. Wählen Sie im Azure-Portal und unter Azure NetApp-Dateien "Verschlüsselung" aus.

    Auf der Seite " Verschlüsselung " können Sie Verschlüsselungseinstellungen für Ihr NetApp-Konto verwalten. Es enthält eine Option, mit der Sie Ihr NetApp-Konto so festlegen können, dass Ihr eigener Verschlüsselungsschlüssel verwendet wird, der in Azure Key Vault gespeichert ist. Mit dieser Einstellung wird dem NetApp-Konto eine vom System zugewiesene Identität zugeordnet, und es wird eine Zugriffsrichtlinie für die Identität mit den erforderlichen Schlüsselberechtigungen hinzugefügt.

    Screenshot des Verschlüsselungsmenüs.

  2. Wenn Sie Ihr NetApp-Konto auf die Verwendung eines kundenseitig verwalteten Schlüssels einstellen, haben Sie zwei Möglichkeiten, den Schlüssel-URI anzugeben:

    • Mit der Option "Aus Schlüsseltresor auswählen " können Sie einen Schlüsseltresor und einen Schlüssel auswählen. Screenshot der Schnittstelle zur Auswahl einer Taste.

    • Mit der URI-Option "Schlüssel eingeben " können Sie den Schlüssel-URI manuell eingeben. Screenshot des Verschlüsselungsmenüs mit Schlüssel-URI-Feld.

  3. Wählen Sie den Identitätstyp aus, den Sie für die Authentifizierung im Azure Key Vault verwenden möchten. Wenn Ihr Azure Key Vault so konfiguriert ist, dass er die Vault-Zugriffsrichtlinie als Berechtigungsmodell verwendet, sind beide Optionen verfügbar. Andernfalls ist nur die benutzerseitig zugewiesene Option verfügbar.

    • Wenn Sie "System zugewiesen" auswählen, wählen Sie die Schaltfläche " Speichern " aus. Das Azure-Portal konfiguriert das NetApp-Konto automatisch, indem Ihrem NetApp-Konto eine systemseitig zugewiesene Identität hinzugefügt wird. Außerdem wird eine Zugriffsrichtlinie in Ihrer Azure Key Vault-Instanz mit den Schlüsselberechtigungen „Abrufen“, „Verschlüsseln“ und „Entschlüsseln“ erstellt.

    Screenshot des Verschlüsselungsmenüs mit vom System zugewiesenen Optionen.

    • Wenn Sie "Benutzer zugewiesen" auswählen, müssen Sie eine Identität auswählen. Wählen Sie "Identität auswählen " aus, um einen Kontextbereich zu öffnen, in dem Sie eine vom Benutzer zugewiesene verwaltete Identität auswählen.

    Screenshot des vom Benutzer zugewiesenen Untermenüs.

    Wenn Sie Ihren Azure Key Vault für die Verwendung der Vault-Zugriffsrichtlinie konfiguriert haben, konfiguriert das Azure-Portal das NetApp-Konto automatisch wie folgt: Die benutzerseitig zugewiesene Identität, die Sie auswählen, wird zu Ihrem NetApp-Konto hinzugefügt. Eine Zugriffsrichtlinie wird auf Ihrem Azure Key Vault mit Schlüsselberechtigungen „Abrufen“, „Verschlüsseln“, „Entschlüsseln“ erstellt.

    Wenn Sie Ihren Azure Key Vault so konfiguriert haben, dass er die rollenbasierte Zugriffssteuerung von Azure verwendet, müssen Sie sicherstellen, dass die ausgewählte, benutzerseitig zugewiesene Identität eine Rollenzuweisung für den Schlüsseltresor mit Berechtigungen für Aktionen hat:

  4. Wählen Sie "Speichern" aus, und beobachten Sie dann die Benachrichtigung, die den Status des Vorgangs kommuniziert. Wenn der Vorgang nicht erfolgreich war, wird eine Fehlermeldung angezeigt. Hilfe beim Beheben des Fehlers finden Sie unter Fehlermeldungen und Problembehandlung.

Verwenden der rollenbasierten Zugriffssteuerung

Sie können einen Azure Key Vault verwenden, der für die Verwendung der rollenbasierten Zugriffssteuerung von Azure konfiguriert ist. Um kundenseitig verwaltete Schlüssel über das Azure-Portal zu konfigurieren, müssen Sie eine benutzerseitig zugewiesene Identität bereitstellen.

  1. Navigieren Sie in Ihrem Azure-Konto zu Key Vaults und dann zu Zugriffsrichtlinien.

  2. Um eine Zugriffsrichtlinie zu erstellen, wählen Sie unter dem Berechtigungsmodell die rollenbasierte Zugriffssteuerung für Azure aus. Screenshot des Zugriffskonfigurationsmenüs.

  3. Beim Erstellen der benutzerseitig zugewiesenen Rolle sind drei Berechtigungen für kundenseitig verwaltete Schlüssel erforderlich:

    1. Microsoft.KeyVault/vaults/keys/read
    2. Microsoft.KeyVault/vaults/keys/encrypt/action
    3. Microsoft.KeyVault/vaults/keys/decrypt/action

    Obwohl es vordefinierte Rollen gibt, die diese Berechtigungen enthalten, gewähren diese Rollen mehr Berechtigungen als erforderlich. Es wird empfohlen, eine benutzerdefinierte Rolle mit nur den minimal erforderlichen Berechtigungen zu erstellen. Weitere Informationen finden Sie unter Benutzerdefinierte Azure-Rollen.

    {
    "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
    "properties": {
        "roleName": "NetApp account",
        "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
        "assignableScopes": [
            "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
        ],
        "permissions": [
          {
            "actions": [],
            "notActions": [],
            "dataActions": [
                "Microsoft.KeyVault/vaults/keys/read",
                "Microsoft.KeyVault/vaults/keys/encrypt/action",
                "Microsoft.KeyVault/vaults/keys/decrypt/action"
            ],
            "notDataActions": []
            }
        ]
      }
}

  4. Nachdem die benutzerdefinierte Rolle erstellt und für die Verwendung mit dem Schlüsseltresor verfügbar ist, wenden Sie sie auf die vom Benutzer zugewiesene Identität an.

Screenshot der Überprüfung der rollenbasierten Zugriffssteuerung und des Zuordnungsmenüs.

Erstellen eines Azure NetApp Files-Volumes mit kundenseitig verwalteten Schlüsseln

  1. Wählen Sie in Azure NetApp-Dateien "Volumes " und dann "Volume hinzufügen" aus.

  2. Befolgen Sie die Anweisungen unter Konfigurieren von Netzwerkfeatures für ein Azure NetApp Files-Volume:

  3. Für ein NetApp-Konto, das für die Verwendung eines kundenseitig verwalteten Schlüssels konfiguriert ist, enthält die Seite „Volume erstellen“ eine Option für die Verschlüsselungsschlüsselquelle.

    Um das Volume mit Ihrem Schlüssel zu verschlüsseln, wählen Sie Customer-Managed Schlüssel im Dropdownmenü "Verschlüsselungsschlüsselquelle " aus.

    Wenn Sie ein Volume mit einem vom Kunden verwalteten Schlüssel erstellen, müssen Sie auch "Standard " für die Option "Netzwerkfeatures " auswählen. Grundlegende Netzwerkfeatures werden nicht unterstützt.

    Sie müssen auch einen privaten Endpunkt für den Schlüsseltresor auswählen. Im Dropdownmenü werden private Endpunkte im ausgewählten virtuellen Netzwerk angezeigt. Wenn kein privater Endpunkt für Ihren Schlüsseltresor im ausgewählten virtuellen Netzwerk vorhanden ist, ist die Dropdownliste leer, und Sie können nicht fortfahren. Wenn dieses Szenario auftritt, lesen Sie Azure Private Endpoint.

    Screenshot des Menüs

  4. Fahren Sie fort, um den Volumeerstellungsprozess abzuschließen. Weitere Informationen finden Sie unter:

Übertragen eines Azure NetApp Files-Volumes auf vom Kunden verwaltete Schlüssel

Azure NetApp Files unterstützt die Möglichkeit, vorhandene Volumes mithilfe von plattformverwalteten Schlüsseln auf kundenseitig verwaltete Schlüssel zu verschieben. Nachdem Sie die Migration abgeschlossen haben, können Sie nicht mehr zu plattformseitig verwalteten Schlüsseln zurückkehren.

Übertragen von Volumes

Hinweis

Wenn Sie Volumes für die Verwendung von kundenseitig verwalteten Schlüsseln übertragen, müssen Sie den Übergang für jedes virtuelle Netzwerk ausführen, in dem Ihr Azure NetApp Files-Konto Volumes aufweist.

  1. Stellen Sie sicher, dass Sie Ihr Azure NetApp Files-Konto für die Verwendung von vom Kunden verwalteten Schlüsseln konfiguriert haben.
  2. Navigieren Sie im Azure-Portal zu "Verschlüsselung".
  3. Wählen Sie die Registerkarte CMK-Migration aus.
  4. Wählen Sie im Dropdownmenü den privaten Endpunkt des virtuellen Netzwerks und den Schlüsseltresor aus, den Sie verwenden möchten.
  5. Azure generiert eine Liste von Volumes, die von Ihrem kundenseitig verwalteten Schlüssel verschlüsselt werden sollen.
  6. Wählen Sie "Bestätigen " aus, um die Migration zu initiieren.

Alle Volumes unter einem NetApp-Konto erneut eingeben

Wenn Sie Ihr NetApp-Konto bereits für kundenseitig verwaltete Schlüssel konfiguriert haben und ein oder mehrere Volumes mit kundenseitig verwalteten Schlüsseln verschlüsselt haben, können Sie den Schlüssel ändern, der zum Verschlüsseln aller Volumes unter dem NetApp-Konto verwendet wird. Sie können einen beliebigen Schlüssel auswählen, der sich im selben Schlüsseltresor befindet. Das Ändern von Schlüsseltresoren wird nicht unterstützt.

  1. Navigieren Sie unter Ihrem NetApp-Konto zum Menü "Verschlüsselung ". Wählen Sie unter dem Eingabefeld „Aktueller Schlüssel“ den Link „Erneut schlüssel“ aus. Screenshot des Verschlüsselungsschlüssels.

  2. Wählen Sie im Neuschlüssel-Menü eine der verfügbaren Tasten aus dem Dropdownmenü aus. Der ausgewählte Schlüssel muss sich vom aktuellen Schlüssel unterscheiden. Screenshot des Menüs

  3. Wählen Sie "OK" aus, um sie zu speichern. Die Schlüsselerneuerung kann einige Minuten dauern.

Von systemseitig auf benutzerseitig zugewiesene Identität wechseln

Um von der systemseitig zugewiesenen identität zu wechseln, müssen Sie der Zielidentität Zugriff auf den Schlüsseltresor gewähren, der mit Lese-/Abruf-, Verschlüsselungs- und Entschlüsselungsberechtigungen verwendet wird.

  1. Aktualisieren Sie das NetApp-Konto, indem Sie eine PATCH-Anforderung mithilfe des az rest-Befehls senden:

    az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json

    Die Nutzdaten sollten die folgende Struktur verwenden:

    {
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
     "<identity-resource-id>": {}
    }
  },
  "properties": {
    "encryption": {
      "identity": {
        "userAssignedIdentity": "<identity-resource-id>"
      }
    }
  }
}

  2. Vergewissern Sie sich, dass der Vorgang erfolgreich mit dem az netappfiles account show-Befehl abgeschlossen wurde. Die Ausgabe enthält die folgenden Felder:

        "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
    "identity": {
        "principalId": null,
        "tenantId": null,
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                "clientId": "<client-id>",
                "principalId": "<principalId>",
                "tenantId": <tenantId>"
            }
        }
    },

    Stellen Sie Folgendes sicher:

    • encryption.identity.principalId entspricht dem Wert in identity.userAssignedIdentities.principalId
    • encryption.identity.userAssignedIdentity entspricht dem Wert in identity.userAssignedIdentities[]
    "encryption": {
    "identity": {
        "principalId": "<principal-id>",
        "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
    },
    "KeySource": "Microsoft.KeyVault",
},

Aktualisieren des privaten Endpunkts

Wenn Sie Änderungen am privaten Azure-Endpunkt vornehmen, nachdem Sie ein vom Kunden verwaltetes Schlüsselvolume erstellt haben, kann auf das Volume nicht zugegriffen werden. Wenn Sie Änderungen vornehmen müssen, müssen Sie einen neuen Endpunkt erstellen und das Volume so aktualisieren, dass es auf den neuen Endpunkt verweist.

  1. Erstellen Sie einen neuen Endpunkt zwischen dem virtuellen Netzwerk und Azure Key Vault.
  2. Aktualisieren Sie alle Volumes, die den alten Endpunkt verwenden, sodass sie den neuen Endpunkt nutzen. 
    az netappfiles volume update --g $resource-group-name --account-name $netapp-account-name --pool-name $pool-name --name $volume-name --key-vault-private-endpoint-resource-id $newendpoint
  3. Löschen Sie den alten privaten Endpunkt.

Nächste Schritte