Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar Azure Key Vault para controlar la propiedad de las claves usadas para cifrar los datos en Azure HPC Cache. En este artículo se explica cómo usar claves administradas por el cliente para el cifrado de datos en caché.
Note
Todos los datos almacenados en Azure, incluidos los discos de caché, se cifran en reposo mediante claves administradas por Microsoft de forma predeterminada. Solo tiene que seguir los pasos descritos en este artículo si desea administrar las claves usadas para cifrar los datos.
Azure HPC Cache también está protegido por el cifrado de host de máquina virtual en los discos administrados que contienen los datos almacenados en caché, incluso si agrega una clave de cliente para los discos de caché. Agregar una clave administrada por el cliente para el cifrado doble proporciona un nivel adicional de seguridad para los clientes con necesidades de alta seguridad. Lea Cifrado del lado servidor de Azure Disk Storage para más información.
Hay tres pasos para habilitar el cifrado de claves administradas por el cliente para Azure HPC Cache:
Configure una instancia de Azure Key Vault para almacenar las claves.
Al crear Azure HPC Cache, elija cifrado de claves administradas por el cliente y especifique el almacén de claves y la clave que se van a usar. Opcionalmente, proporcione una identidad administrada para que la memoria caché la use para acceder al almacén de claves.
En función de las opciones que realice en este paso, es posible que pueda omitir el paso 3. Lea Elegir una opción de identidad administrada para la memoria caché para obtener más información.
Si usa una identidad administrada asignada por el sistema o una identidad asignada por el usuario que no está configurada con acceso al almacén de claves: vaya a la memoria caché recién creada y autorícela para acceder al almacén de claves.
Si la identidad administrada aún no tiene acceso a Azure Key Vault, el cifrado no se configura completamente hasta después de autorizarlo desde la memoria caché recién creada (paso 3).
Si usa una identidad administrada por el sistema, la identidad se crea cuando se crea la memoria caché. Debe pasar la identidad de la memoria caché al almacén de claves para que sea un usuario autorizado después de la creación de la memoria caché.
Puede omitir este paso si asigna una identidad gestionada por el usuario que ya tiene acceso a la bóveda de claves.
Después de crear la memoria caché, no puede cambiar entre claves administradas por el cliente y claves administradas por Microsoft. Sin embargo, si la memoria caché usa claves administradas por el cliente, puede cambiar la clave de cifrado, la versión de la clave y el almacén de claves según sea necesario.
Descripción del almacén de claves y los requisitos de clave
La bóveda de claves y la clave deben cumplir estos requisitos para trabajar con Azure HPC Cache.
Propiedades del almacén de claves
- Suscripción : use la misma suscripción que se usa para la memoria caché.
- Región : el almacén de claves debe estar en la misma región que Azure HPC Cache.
- Plan de tarifa : el nivel estándar es suficiente para su uso con Azure HPC Cache.
- Eliminación temporal - Azure HPC Cache habilitará la eliminación temporal si aún no está configurada en el almacén de claves.
- Protección de purga: la protección de purga debe estar habilitada.
- Directiva de acceso : la configuración predeterminada es suficiente.
- Conectividad de red : Azure HPC Cache debe poder acceder al almacén de claves, independientemente de la configuración del punto de conexión que elija.
Propiedades clave:
- Tipo de clave: RSA
- Tamaño de la clave RSA: 2048
- Habilitado: Sí
Permisos de acceso al almacén de claves:
El usuario que crea Azure HPC Cache debe tener permisos equivalentes al rol de colaborador de Key Vault. Se necesitan los mismos permisos para configurar y administrar Azure Key Vault.
Lea Acceso seguro a un almacén de claves para obtener más información.
Elección de una opción de identidad administrada para la memoria caché
HPC Cache usa su credencial de identidad administrada para conectarse a la bóveda de claves.
Azure HPC Cache puede usar dos tipos de identidades administradas:
Identidad administrada asignada por el sistema : una identidad única creada automáticamente para la memoria caché. Esta identidad administrada solo existe mientras existe HPC Cache y no se puede administrar ni modificar directamente.
Identidad administrada asignada por el usuario : una credencial de identidad independiente que administra por separado de la memoria caché. Puede configurar una identidad administrada asignada por el usuario que tenga exactamente el acceso que desee y usarla en varias instancias de HPC Cache.
Si no asigna una identidad administrada a la memoria caché al crearla, Azure crea automáticamente una identidad administrada asignada por el sistema para la memoria caché.
Con una identidad administrada asignada por el usuario, puede proporcionar una identidad que ya tenga acceso a su bóveda de claves. (Por ejemplo, se ha agregado a una política de acceso del Azure Key Vault o tiene un rol de RBAC de Azure que permite el acceso). Si usa una identidad asignada por el sistema o proporciona una identidad administrada que no tiene acceso, deberá solicitar acceso a la memoria caché después de la creación. Este es un paso manual, que se describe a continuación en el paso 3.
Más información sobre las identidades administradas
Información sobre los conceptos básicos de Azure Key Vault
1. Configuración de Azure Key Vault
Puede configurar un almacén de claves y una clave antes de crear la memoria caché o hacerlo como parte de la creación de la memoria caché. Asegúrese de que estos recursos cumplen los requisitos descritos anteriormente.
En el momento de la creación de la memoria caché, debe especificar una bóveda, una clave y una versión de clave que se usarán para el cifrado de la memoria caché.
Lea la documentación de Azure Key Vault para más información.
Note
Azure Key Vault debe usar la misma suscripción y estar en la misma región que Azure HPC Cache. Asegúrese de que la región que elija admite ambos productos.
2. Creación de la caché con claves administradas por el cliente habilitadas
Debe especificar el origen de la clave de cifrado al crear la instancia de Azure HPC Cache. Siga las instrucciones de Creación de una instancia de Azure HPC Cache y especifique el almacén de claves y la clave en la página Claves de cifrado de disco . Puede crear un nuevo almacén de claves y una clave durante la creación de la memoria caché.
Sugerencia
Si la página Claves de cifrado de disco no aparece, asegúrese de que la caché está en una de las regiones admitidas.
El usuario que crea la memoria caché debe tener privilegios iguales al rol colaborador de Key Vault o superior.
Haga clic en el botón para habilitar claves administradas de forma privada. Después de cambiar esta configuración, aparecen las configuraciones de la bóveda de claves.
Haga clic en Seleccionar un almacén de claves para abrir la página de selección de claves. Elija o cree el almacén de claves y la clave para cifrar los datos en los discos de esta caché.
Si Azure Key Vault no aparece en la lista, verifique estos requisitos:
- ¿La memoria caché está en la misma suscripción que el almacén de claves?
- ¿La memoria caché está en la misma región que la bóveda de claves?
- ¿Hay conectividad de red entre Azure Portal y el almacén de claves?
Después de seleccionar una bóveda, seleccione la clave específica de las opciones disponibles o cree una nueva clave. Debe ser una clave RSA de 2048 bits.
Especifique la versión de la clave seleccionada. Obtenga más información sobre el control de versiones en la documentación de Azure Key Vault.
Esta configuración es opcional:
Active la casilla Always use current key version (Usar siempre la versión actual de la clave) si quiere usar la rotación automática de claves.
Si desea usar una identidad administrada específica para esta caché, seleccione Usuario asignado en la sección Identidades administradas y seleccione la identidad que se va a usar. Lea la documentación de identidades administradas para obtener ayuda.
Sugerencia
Una identidad administrada asignada por el usuario puede simplificar la creación de caché si empleas una identidad que ya está configurada para acceder a tu almacén de claves. Con una identidad administrada asignada por el sistema, debe realizar un paso adicional una vez creada la caché para autorizar la identidad administrada por el sistema recién creada para la caché a usar su almacén de claves.
Note
No es posible cambiar la identidad asignada tras crear la memoria caché.
Continúe con el resto de las especificaciones y cree la memoria caché como se describe en Creación de una instancia de Azure HPC Cache.
3. Autorización del cifrado de Azure Key Vault desde la memoria caché (si es necesario)
Note
Este paso no es necesario si proporcionó una identidad administrada asignada por el usuario con acceso al almacén de claves al crear la memoria caché.
Después de unos minutos, la nueva Azure HPC Cache aparece en tu portal de Azure. Vaya a la página Información general para autorizarlo a acceder a Azure Key Vault y habilitar el cifrado de claves administradas por el cliente.
Sugerencia
La memoria caché puede aparecer en la lista de recursos antes de que se borren los mensajes de "implementación en curso". Compruebe la lista de recursos después de un minuto o dos en lugar de esperar una notificación de éxito.
Debe autorizar el cifrado en un plazo de 90 minutos después de crear la memoria caché. Si no completa este paso, se agotará el tiempo de espera y se producirá un error en la memoria caché. Se debe volver a crear una caché fallida; no se puede corregir.
La memoria caché muestra el estado Esperando clave. Haga clic en el botón Habilitar cifrado en la parte superior de la página para autorizar a la memoria caché para acceder al almacén de claves especificado.
Haga clic en Habilitar cifrado y, a continuación, haga clic en el botón Sí para autorizar a la memoria caché a usar la clave de cifrado. Esta acción también habilita la eliminación suave y la protección contra purga en el almacén de claves (si aún no está habilitada).
Después de que la caché solicite acceso al almacén de claves, puede crear y cifrar los discos que almacenan los datos almacenados en caché.
Después de autorizar el cifrado, Azure HPC Cache pasa por varios minutos más de configuración para crear los discos cifrados y la infraestructura relacionada.
Actualizar la configuración de la clave
Puede cambiar el almacén de claves, la clave o la versión de la clave de la memoria caché desde Azure Portal. Haga clic en el vínculo Configuración de cifrado de la memoria caché para abrir la página Configuración de la clave del cliente .
No se puede cambiar una caché entre claves administradas por el cliente y claves administradas por el sistema.
Haga clic en el vínculo Cambiar clave y, a continuación, haga clic en Cambiar el almacén de claves, la clave o la versión para abrir el selector de claves.
Las bóvedas de claves de la misma suscripción y la misma región que esta caché se muestran en la lista.
Después de elegir los nuevos valores de clave de cifrado, haga clic en Seleccionar. Aparece una página de confirmación con los nuevos valores. Haga clic en Guardar para finalizar la selección.
Más información sobre las claves administradas por el cliente en Azure
En estos artículos se explica más sobre el uso de Azure Key Vault y las claves administradas por el cliente para cifrar datos en Azure:
- Información general del cifrado de almacenamiento en Azure
- Cifrado de disco con claves administradas por el cliente: documentación sobre el uso de Azure Key Vault con discos administrados, que es un escenario similar a Azure HPC Cache
Pasos siguientes
Después de haber creado el Azure HPC Cache y el cifrado autorizado basado en Key Vault, continúe configurando el sistema de caché concediéndole acceso a sus orígenes de datos.