Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Volume-Verschlüsselung für Azure NetApp Files mit vom Kunden verwalteten Schlüsseln unter Verwendung des verwalteten Hardware-Sicherheitsmoduls (HSM) ist eine Erweiterung der Funktion Vom Kunden verwaltete Schlüssel für die Volume-Verschlüsselung in Azure NetApp Files. Kundenverwaltete Schlüssel mit HSM ermöglichen es Ihnen, Ihre Verschlüsselungsschlüssel in einem sichereren FIPS 140-2 Level 3 HSM anstelle des FIPS 140-2 Level 1- oder Level 2-Diensts zu speichern, der von Azure Key Vault (AKV) verwendet wird.
Anforderungen
- Kundenseitig verwaltete Schlüssel mit einem verwalteten HSM werden ab API-Version 2022.11 unterstützt.
- Vom Kunden verwaltete Schlüssel mit verwaltetem HSM werden nur für Azure NetApp Files Konten unterstützt, die nicht über eine vorhandene Verschlüsselung verfügen.
Voraussetzungen
Bevor Sie ein Azure NetApp Files-Volume mithilfe des vom Kunden verwalteten Schlüssels mit verwaltetem HSM erstellen, müssen Sie die folgenden Ressourcen einrichten:
- Ein verwaltetes HSM, das mindestens einen Schlüssel enthält.
- Vorläufiges Löschen und Bereinigungsschutz müssen für HSM aktiviert sein.
- Der Schlüssel muss vom Typ RSA sein.
- Ein VNet und ein Subnetz, das an Microsoft.Netapp/Volumes delegiert wurde.
- Ein Benutzer oder eine vom System zugewiesene Identität für Ihr Azure NetApp Files-Konto.
- Ein verwaltetes HSM, das mindestens einen Schlüssel enthält.
Netzwerkanforderungen für die Integration von verwaltetem HSM
Azure NetApp Files greift über einen privaten Endpunkt auf azure Managed HSM zu. Der Zugriff auf öffentliche Netzwerke wird für diese Integration nicht unterstützt.
Die folgenden Netzwerkanforderungen gelten:
- Für die verwaltete HSM-Instanz ist ein privater Endpunkt erforderlich.
- Der private Endpunkt muss in einem subnetz getrennt vom delegierten Subnetz von Azure NetApp Files bereitgestellt werden.
- Azure NetApp Files kommuniziert mit verwaltetem HSM mithilfe privater IP-Konnektivität.
- Aktivieren Sie zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall in der verwalteten HSM-Netzwerkkonfiguration umgehen können.
- Stellen Sie sicher, dass Netzwerksicherheitsgruppen (NSGs) und Routingtabellen den Datenverkehr zwischen den vorgesehenen Systemen zulassen.
- Der Azure NetApp Files-Dienst
- Der private Endpunkt des verwalteten HSM
Unterstützte Regionen
- Australien, Mitte
- Australia Central 2
- Australien (Osten)
- Australien, Südosten
- Brasilien Süd
- Brasilien, Südosten
- Kanada, Mitte
- Kanada, Osten
- Indien, Mitte
- USA (Mitte)
- Asien, Osten
- Ost-USA
- Ost-USA 2
- Frankreich, Mitte
- Deutschland, Norden
- Deutschland, Westen-Mitte
- Israel, Mitte
- Italien, Norden
- Japan, Osten
- Japan, Westen
- Korea, Mitte
- Korea, Süden
- Malaysia, Westen
- Neuseeland, Norden
- USA Nord Mitte
- Nordeuropa
- Norwegen, Osten
- Norwegen, Westen
- Katar, Mitte
- Südafrika, Norden
- USA Süd Mitte
- Indien (Süden)
- Asien, Südosten
- Spanien, Mitte
- Schweden, Mitte
- Schweiz, Norden
- Schweiz, Westen
- VAE-Zentrale
- Vereinigte Arabische Emirate, Norden
- UK, Süden
- Westen des Vereinigten Königreichs
- Europa, Westen
- Westen der USA
- USA, Westen 2
- USA, Westen 3
Konfigurieren Sie kundenseitig verwaltete Schlüssel mit verwaltetem HSM für systemzugewiesene Identitäten
Wenn Sie vom Kunden verwaltete Schlüssel mit einer vom System zugewiesenen Identität konfigurieren, konfiguriert Azure das NetApp-Konto automatisch durch Hinzufügen einer vom System zugewiesenen Identität. Die Zugriffsrichtlinie wird auf Ihrem Azure Key Vault mit Schlüsselberechtigungen für "Abrufen", "Verschlüsseln" und "Entschlüsseln" erstellt.
Anforderungen
Um eine vom System zugewiesene Identität zu verwenden, muss die Azure Key Vault für die Verwendung der Vault-Zugriffsrichtlinie als Berechtigungsmodell konfiguriert werden. Andernfalls müssen Sie eine benutzerseitig zugewiesene Identität verwenden.
Schritte
Navigieren Sie im Azure-Portal zu Azure NetApp Files und wählen Sie dann Encryption aus.
Geben Sie im Menü Verschlüsselung die folgenden Werte an:
- Wählen Sie für Verschlüsselungsschlüsselquelle die Option Kundenseitig verwalteter Schlüssel aus.
- Wählen Sie für Schlüssel-URI die Option Schlüssel-URI eingeben aus, und geben Sie dann den URI für das verwaltete HSM an.
- Wählen Sie das NetApp-Abonnement aus.
- Wählen Sie für Identitätstyp die Option Systemseitig zugewiesen aus.
Wählen Sie Speichern.
Konfigurieren von kundengesteuerten Schlüsseln mit einem verwalteten HSM für eine benutzerdefinierte Identität
Navigieren Sie im Azure-Portal zu Azure NetApp Files und wählen Sie dann Encryption aus.
Geben Sie im Menü Verschlüsselung die folgenden Werte an:
- Wählen Sie für Verschlüsselungsschlüsselquelle die Option Kundenseitig verwalteter Schlüssel aus.
- Wählen Sie für Schlüssel-URI die Option Schlüssel-URI eingeben aus, und geben Sie dann den URI für das verwaltete HSM an.
- Wählen Sie das NetApp-Abonnement aus.
- Wählen Sie für Identitätstyp die Option Benutzerseitig zugewiesen aus.
Wenn Sie Benutzerseitig zugewiesen auswählen, wird ein Kontextbereich geöffnet, in dem Sie die Identität auswählen können.
- Wenn Ihre Azure Key Vault für die Verwendung einer Tresorzugriffsrichtlinie konfiguriert ist, konfiguriert Azure das NetApp-Konto automatisch und fügt die vom Benutzer zugewiesene Identität zu Ihrem NetApp-Konto hinzu. Die Zugriffsrichtlinie wird auf Ihrem Azure Key Vault mit Schlüsselberechtigungen für "Abrufen", "Verschlüsseln" und "Entschlüsseln" erstellt.
- Wenn Ihr Azure Key Vault für die Verwendung der rollenbasierten Zugriffssteuerung (RBAC) von Azure konfiguriert ist, stellen Sie sicher, dass die ausgewählte, dem Benutzer zugewiesene Identität über eine Rollenzuweisung für den Key Vault verfügt, die Berechtigungen für Datenaktionen umfasst:
- „Microsoft.KeyVault/vaults/keys/read“
- „Microsoft.KeyVault/vaults/keys/encrypt/action“
- "Microsoft.KeyVault/vaults/keys/decrypt/action" Die vom Benutzer zugewiesene Identität wird Ihrem NetApp-Konto hinzugefügt. Da RBAC anpassbar ist, konfiguriert das Azure Portal keinen Zugriff auf den Schlüsseltresor. Weitere Informationen finden Sie unter Verwendung von Azure RBAC-Geheimnis-, Schlüssel- und Zertifikatberechtigungen mit Key Vault
Wählen Sie Speichern.
