Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure NetApp Files — шифрование томов с помощью ключей, управляемых клиентом, с использованием управляемого аппаратного модуля безопасности (HSM) — это расширение для функции шифрования томов Azure NetApp Files с ключами, управляемыми клиентом. Управляемые клиентом ключи с HSM позволяют хранить ключи шифрования в более безопасной службе FIPS 140-2 уровня 3 HSM вместо службы FIPS 140-2 уровня 1 или уровня 2, используемой Azure Key Vault (AKV).
Требования
- Ключи, управляемые клиентом, с управляемым HSM поддерживаются с помощью версии API 2022.11 или более поздней версии.
- Управляемые клиентом ключи с управляемым HSM поддерживаются только для учетных записей Azure NetApp Files, которые не имеют существующего шифрования.
Необходимые условия
Прежде чем создавать том Azure NetApp Files с помощью ключа, управляемого клиентом, с управляемым HSM, необходимо настроить следующие ресурсы:
-
Управляемый модуль HSM, содержащий по крайней мере один ключ.
- HSM должны быть включены функции мягкого удаления и защиты от окончательного удаления.
- Ключ должен иметь тип RSA.
- Виртуальная сеть (VNet) и подсеть, делегированные Microsoft.Netapp/volumes.
- Удостоверение пользователя или назначаемое системой для вашей учетной записи Azure NetApp Files.
-
Управляемый модуль HSM, содержащий по крайней мере один ключ.
Требования к сети для интеграции управляемого HSM
Azure NetApp Files обращается к Управляемому HSM Azure через частную конечную точку. Для этой интеграции доступ к общедоступной сети не поддерживается.
Применяются следующие требования к сети:
- Для управляемого экземпляра HSM требуется частная конечная точка.
- Частная конечная точка должна быть развернута в подсети отдельно от делегированной подсети Azure NetApp Files.
- Azure NetApp Files взаимодействует с управляемым HSM с помощью подключения к частному IP-адресу.
- Включите доверенные службы Майкрософт для обхода этого брандмауэра в конфигурации сети управляемого устройства HSM.
- Убедитесь, что группы безопасности сети (NSG) и таблицы маршрутов разрешают трафик между:
- Служба Azure NetApp Files
- Частная конечная точка управляемого HSM
Поддерживаемые регионы
- Центральная Австралия
- Центральная Австралия 2
- Восточная Австралия
- Юго-Восточная часть Австралии
- Южная Бразилия
- Юго-Восточная Бразилия
- Центральная Канада
- Восточная Канада
- Центральная Индия
- Центральная часть США
- Восточная Азия
- Восточная часть США
- Восточная часть США 2
- Центральная Франция
- Северная Германия
- Центрально-Западная Германия
- Израиль, центральный регион
- Северная Италия
- Восточная Япония
- Западная Япония
- Республика Корея, центральный регион
- Республика Корея, южный регион
- Западная Малайзия
- Северная часть Новой Зеландии
- Центрально-северная часть США
- Северная Европа
- Восточная Норвегия;
- Западная Норвегия
- Центральный Катар
- Северная часть ЮАР;
- Центрально-южная часть США
- Южная Индия
- Юго-Восточная Азия
- Центральная Испания
- Центральная Швеция
- Северная Швейцария
- Западная Швейцария
- Центральная часть ОАЭ
- Северная часть ОАЭ;
- южная часть Соединенного Королевства
- Западная часть Великобритании
- Западная Европа
- западная часть США
- западная часть США 2
- Запад США 3
Конфигурация ключей, управляемых клиентом, с управляемым HSM для идентичности, назначаемой системой
При настройке ключей, управляемых клиентом, с удостоверением, назначаемым системой, Azure автоматически настраивает учетную запись NetApp, добавив назначаемое системой удостоверение. Политика доступа создается на Azure Key Vault с разрешениями ключа Get, Encrypt и Decrypt.
Требования
Чтобы использовать назначаемое системой удостоверение, Azure Key Vault необходимо настроить для использования политики доступа Хранилища в качестве модели разрешений. В противном случае необходимо использовать удостоверение, назначенное пользователем.
Шаги
На портале Azure перейдите к Azure NetApp Files затем выберите Encryption.
В меню "Шифрование" укажите следующие значения:
- Для источника ключа шифрования выберите управляемый клиентом ключ.
- Для URI ключа выберите URI ключа ввод, а затем укажите универсальный код ресурса (URI) управляемого модуля HSM.
- Выберите подписку NetApp.
- Для Тип удостоверения выберите системой назначаемое.
Выберите Сохранить.
Настройка ключей, управляемых клиентом, с использованием управляемого HSM для автономно назначаемых пользователем удостоверений
На портале Azure перейдите к Azure NetApp Files затем выберите Encryption.
В меню "Шифрование" укажите следующие значения:
- Для источника ключа шифрования выберите управляемый клиентом ключ.
- Для URI ключа выберите URI ключа ввод, а затем укажите универсальный код ресурса (URI) управляемого модуля HSM.
- Выберите подписку NetApp.
- Для типа удостоверения выберите назначаемое пользователем.
При выборе пользователем назначенного откроется панель контекста для выбора удостоверения.
- Если ваша Azure Key Vault настроена на использование политики доступа к Хранилищу, Azure автоматически настраивает учетную запись NetApp и добавляет удостоверение, назначаемое пользователем, в учетную запись NetApp. Политика доступа создается на Azure Key Vault с разрешениями ключа Get, Encrypt и Decrypt.
- Если ваш Хранилище ключей Azure настроено на использование управления доступом на основе ролей Azure (RBAC), убедитесь, что назначенное пользователем удостоверение имеет назначение роли в хранилище ключей с разрешениями на действия с данными:
- Microsoft.KeyVault/vaults/keys/read
- "Microsoft.KeyVault/vaults/keys/encrypt/action"
- "Microsoft.KeyVault/vaults/keys/decrypt/action" Выбранное пользователем удостоверение добавляется в учетную запись NetApp. Из-за настраиваемого RBAC портал Azure не настраивает доступ к хранилищу ключей. Дополнительные сведения см. в разделе Использование разрешений секретов, ключей и сертификатов Azure RBAC с Key Vault
Выберите Сохранить.
