Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шифрование томов Azure NetApp Files с ключами, управляемыми клиентом, с помощью управляемого модуля безопасности оборудования (HSM) — это расширение для ключей, управляемых клиентом, для функции шифрования томов Azure NetApp Files. Управляемые клиентом ключи с HSM позволяют хранить ключи шифрования в более безопасной службе FIPS 140-2 уровня 3 HSM вместо службы FIPS 140-2 уровня 1 или уровня 2, используемой в Azure Key Vault (AKV).
Требования
- Ключи, управляемые клиентом, с управляемым HSM поддерживаются с помощью версии API 2022.11 или более поздней версии.
- Ключи, управляемые клиентом, с управляемым HSM поддерживаются только для учетных записей Azure NetApp Files, которые не имеют существующего шифрования.
- Прежде чем создавать том с помощью ключа, управляемого клиентом, с управляемым томом HSM, необходимо:
- создал Azure Key Vault, содержащий по крайней мере один ключ.
- Для хранилища ключей должны быть включены обратимое удаление и защита от очистки.
- Ключ должен иметь тип RSA.
- была создана виртуальная сеть с подсетью, делегированной для Microsoft.Netapp/volumes.
- идентификатор, назначаемый пользователем или системой для вашей учетной записи Azure NetApp Files.
- был подготовлен и активирован управляемый аппаратный модуль безопасности (HSM).
- создал Azure Key Vault, содержащий по крайней мере один ключ.
Поддерживаемые регионы
- Центральная Австралия
- Центральная Австралия 2
- Восточная Австралия
- Юго-Восточная часть Австралии
- Южная Бразилия
- Юго-Восточная Бразилия
- Центральная Канада
- Восточная Канада
- Центральная Индия
- Центральная часть США
- Восточная Азия
- Восточная часть США
- Восточная часть США 2
- Центральная Франция
- Северная Германия
- Центрально-Западная Германия
- Израиль, центральный регион
- Северная Италия
- Восточная Япония
- Западная Япония
- Республика Корея, центральный регион
- Республика Корея, южный регион
- Северная часть Новой Зеландии
- Центрально-северная часть США
- Северная Европа
- Восточная Норвегия;
- Западная Норвегия
- Центральный Катар
- Северная часть ЮАР;
- Центрально-южная часть США
- Южная Индия
- Юго-Восточная Азия
- Центральная Испания
- Центральная Швеция
- Северная Швейцария
- Западная Швейцария
- Центральная часть ОАЭ
- Северная часть ОАЭ;
- южная часть Соединенного Королевства
- Западная часть Великобритании
- Западная Европа
- западная часть США
- западная часть США 2
- Запад США 3
Конфигурация ключей, управляемых клиентом, с управляемым HSM для идентичности, назначаемой системой
При настройке ключей, управляемых клиентом, с удостоверением, назначаемым системой, Azure автоматически настраивает учетную запись NetApp, добавив назначаемое системой удостоверение. Политика доступа создается в хранилище ключей Azure с разрешениями на получение, шифрование и расшифровку.
Требования
Чтобы использовать удостоверение, назначенное системой, необходимо настроить Azure Key Vault для использования политики доступа к хранилищу в качестве модели разрешений. В противном случае необходимо использовать удостоверение, назначенное пользователем.
Шаги
В портал Azure перейдите к Azure NetApp Files и выберите "Шифрование".
В меню "Шифрование" укажите следующие значения:
- Для источника ключа шифрования выберите управляемый клиентом ключ.
- Для URI ключа выберите URI ключа ввод, а затем укажите универсальный код ресурса (URI) управляемого модуля HSM.
- Выберите подписку NetApp.
- Для Тип удостоверения выберите системой назначаемое.
Выберите Сохранить.
Настройка ключей, управляемых клиентом, с использованием управляемого HSM для автономно назначаемых пользователем удостоверений
В портал Azure перейдите к Azure NetApp Files и выберите "Шифрование".
В меню "Шифрование" укажите следующие значения:
- Для источника ключа шифрования выберите управляемый клиентом ключ.
- Для URI ключа выберите URI ключа ввод, а затем укажите универсальный код ресурса (URI) управляемого модуля HSM.
- Выберите подписку NetApp.
- Для типа удостоверения выберите назначаемое пользователем.
При выборе пользователем назначенного откроется панель контекста для выбора удостоверения.
- Если ваш Azure Key Vault настроен на использование политики доступа к хранилищу ключей, Azure автоматически настраивает учетную запись NetApp и добавляет пользовательскую назначенную идентичность в вашу учетную запись NetApp. Политика доступа создается в хранилище ключей Azure с разрешениями на получение, шифрование и расшифровку.
- Если Azure Key Vault настроено на использование управления доступом на основе ролей Azure (RBAC), убедитесь, что выбранное удостоверение, назначаемое пользователем, имеет назначение роли в хранилище ключей с разрешениями для действий с данными:
- "Microsoft.KeyVault/vaults/keys/read"
- "Microsoft.KeyVault/vaults/keys/encrypt/action"
- "Microsoft.KeyVault/vaults/keys/decrypt/action" Выбранное пользователем удостоверение добавляется в учетную запись NetApp. Из-за настраиваемого RBAC портал Azure не настраивает доступ к хранилищу ключей. Дополнительные сведения см. в статье "Использование секрета, ключа и сертификата Azure RBAC с помощью Key Vault"
Выберите Сохранить.
