Настройка ключей, управляемых клиентом, для шифрования томов Azure NetApp Files

Межтенантные ключи, управляемые клиентами (Customer-Managed Keys, CMK) для шифрования томов Azure NetApp Files, позволяют поставщикам услуг на базе Azure предлагать шифрование ключей, управляемых клиентом. В сценарии с несколькими клиентами учетная запись NetApp находится в клиенте, управляемом независимым поставщиком программного обеспечения, а ключ, используемый для шифрования томов в учетной записи NetApp, находится в хранилище ключей в управляемом клиенте.

Ключи, управляемые клиентом и доступные между арендаторами, доступны во всех регионах, поддерживаемых Azure NetApp Files.

Общие сведения о межтенантных ключах, управляемых клиентом

На следующей схеме показана примерная конфигурация CMK для взаимодействия между арендаторами. На диаграмме показаны два тенанта Azure: тенант поставщика услуг (Тенант 1) и ваш тенант (Тенант 2). Арендатор 1 содержит учетную запись NetApp (исходный ресурс Azure). Арендатор 2 размещает ваше хранилище ключей.

Регистрация мультитенантного приложения создается поставщиком услуг в клиенте 1. Федеративные учетные данные удостоверения создаются в этом приложении с помощью пользовательски назначаемого управляемого удостоверения, а также частной конечной точки для хранилища ключей закрытого доступа. Затем используется общий доступ к имени и идентификатору приложения.

После выполнения этих действий вы установите приложение поставщика услуг в клиенте (клиент 2), а затем предоставьте субъекту-службе, связанному с установленным приложением доступ к хранилищу ключей. Вы также храните ключ шифрования (то есть управляемый клиентом ключ) в хранилище ключей. Вы также предоставляете общий доступ к расположению ключа (URI ключа) поставщику услуг. В следующей конфигурации поставщик услуг имеет следующее:

Идентификатор приложения для мультитенантного приложения, установленного в арендаторе клиента, которому предоставлен доступ к ключу, управляемому клиентом.
Управляемое удостоверение, сконфигурированное в качестве метода аутентификации в мультитенантном приложении. Расположение ключа в хранилище ключей.

С этими тремя параметрами поставщик услуг подготавливает ресурсы Azure в клиенте 1, которые можно зашифровать с помощью ключа, управляемого клиентом, в клиенте 2.

Необходимые условия

Междутенантный рабочий процесс CMK основан на той же модели шифрования, поведении обработки ключей и операционных ограничениях, которые описаны для однотенантных ключей, управляемых клиентом. В результате соображения и требования, описанные для CMK в одноарендаторной архитектуре, также применяются к кросс-арендаторским сценариям.

Перед настройкой межтенантных ключей, управляемых клиентом (CMK) для Azure NetApp Files, ознакомьтесь с рекомендациями, требованиями и инструкциями по настройке учетной записи NetApp для использования ключей, управляемых клиентом.

В этих разделах описываются необходимые условия, такие как поддерживаемые типы ключей, требования к удостоверениям, конфигурация сети, разрешения ключей и параметры хранилища ключей, которые должны быть удовлетворены при использовании ключей, управляемых клиентом, независимо от того, находится ли ключ в одном клиенте или в другом клиенте.

Настройка ключей, управляемых клиентом, для Azure NetApp Files

Процесс конфигурации для ключей, управляемых клиентами в разных арендаторах, включает части, которые можно выполнить только с помощью REST API и Azure CLI.

Настройка учетной записи NetApp для использования ключа из хранилища в другом клиенте

Создайте регистрацию приложения.
1. Перейдите к Microsoft Entra ID на портале Azure
2. Выберите Manage > App registrations на левой панели.
3. Выберите +Создать регистрацию.
4. Укажите имя регистрации приложения, а затем выберите учетную запись в любом каталоге организации.
5. Выберите Зарегистрировать.
6. Запишите идентификатор ApplicationID или ClientID приложения.
Создайте управляемый идентификатор, назначенный пользователем.
1. Перейдите к Управляемым Идентификациям в портале Azure.
2. Нажмите кнопку +Создать.
3. Укажите группу ресурсов, регион и имя для управляемого удостоверения.
4. Выберите Review + create.
5. При успешном развертывании обратите внимание на Azure ResourceId управляемого удостоверения, назначаемого пользователем, которое доступно в разделе "Свойства". Например: /subscriptions/aaaaaaaa-0000-aaaa-0000-aaaa0000aaaa/resourcegroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityTitle>
Настройте управляемую идентичность, назначенную пользователем, в качестве федеративных учетных данных в приложении.
1. Перейдите к Microsoft Entra ID > регистрации приложений > вашего приложения.
2. Выберите Сертификаты и секреты.
3. Выберите элемент Федеративные учетные данные.
4. Выберите + Добавить учетные данные.
5. В разделе "Федеративные учетные данные" выберите ключи, управляемые клиентом.
6. Выберите управляемое удостоверение. На панели выберите подписку. В разделе Управляемое удостоверение выберите элемент Управляемое удостоверение, назначаемое пользователем. В поле "Select" найдите созданное ранее управляемое удостоверение, а затем выберите Выбрать в нижней части области.
7. В разделе "Сведения об учетных данных" укажите имя и при желании введите описание учетных данных. Нажмите кнопку "Добавить".
Создайте частную конечную точку в хранилище ключей:
1. Поделитесь полным идентификатором ресурса Azure для их Key Vault.
2. Перейдите к частным конечным точкам.
3. Нажмите кнопку +Создать.
4. Выберите подписку и группу ресурсов и введите имя частной конечной точки, а затем нажмите кнопку "Следующий > ресурс".
5. На вкладке "Ресурс" введите следующее:
  - В разделе "Метод подключения" выберите Connect к ресурсу Azure по идентификатору ресурса или псевдониму.
  - В разделе "Идентификатор ресурса" или "Псевдоним" введите ResourceID хранилища ключей клиента.
  - Введите в поле целевого подресурса значение "vault". Затем выберите Next > Virtual Network.
6. На вкладке Virtual Network выберите virtual network и подсеть для частной конечной точки. Конечная точка должна находиться в той же виртуальной сети, что и тома, которые вы хотите создать. Подсеть должна отличаться от той, которая делегирована Microsoft.NetApp/volumes.
7. На следующих вкладках нажмите кнопку "Далее". Наконец, нажмите кнопку "Создать " на конечной вкладке.

Авторизация доступа к хранилищу ключей

Установите приложение поставщика услуг в тентант клиента
1. Получите URL-адрес согласия администратора от поставщика для его приложения, доступного нескольким арендаторам. В нашем примере URL-адрес будет выглядеть следующим образом: https://login.microsoftonline.com/<tenant1-tenantId>/adminconsent/client_id=<client/application-ID-for-the-cross-tenant-application> URL-адрес открывает страницу входа, запрашивающую ввод учетных данных. После ввода учетных данных может появиться сообщение об ошибке, указывающее, что URL-адрес перенаправления не настроен; Это нормально.
Предоставьте приложению поставщика службы доступ к хранилищу ключей.
1. Перейдите в свое хранилище ключей. Выберите Access Control (IAM) на левой панели.
2. В разделе "Предоставление доступа к этому ресурсу" выберите "Добавить назначение ролей".
3. Найдите и выберите Key Vault Crypto User.
4. В разделе "Участники" выберите "Пользователь", "Группа" или "Субъект-служба".
5. Выберите Участники. Нaйдите название установленного приложения, полученного от поставщика сервиса.
6. Выберите Проверить и Назначить.
Примите подключение входящего частного конечного узла к хранилищу ключей.
1. Перейдите в свое хранилище ключей. Выберите сеть в левой области.
2. В разделе "Подключения к частной конечной точке" выберите частную входящую конечную точку из арендатора поставщика, а затем нажмите кнопку "Утвердить".
3. При желании введите описание — или примите значение по умолчанию.

Настройка учетной записи NetApp для использования ключей

Это важно

Если учетная запись NetApp настроена с помощью ключей, управляемых клиентом, необходимо переключить учетную запись обратно в управляемые Корпорацией Майкрософт ключи, прежде чем настраивать межтенантную CMK. Чтобы переключиться, перейдите к Encryption на портале Azure и измените источник ключа шифрования на Управляемый ключMicrosoft.

Портал
Azure CLI

На портале Azure перейдите к учетной записи NetApp и выберите Encryption.
Выберите управляемый клиентом ключ в качестве источника ключа шифрования.
Под URI ключа выберите Ввести URI ключа и укажите универсальный код ресурса (URI) ключа шифрования.
В разделе Тип удостоверения выберите Назначаемый пользователем.
Выберите удостоверение, а затем выберите управляемое удостоверение, назначаемое пользователем.
В разделе "Федеративный идентификатор клиента" введите идентификатор приложения (клиента) мультитенантного приложения.
Нажмите Сохранить.

Убедитесь, чтобы federatedClientId присутствовал в свойствах шифрования.

az rest С помощью команды настройте учетную запись NetApp для использования CMK в другом клиенте:

az rest --method put --uri "/subscriptions/<subscription Id>/resourceGroups/<resourceGroupName>/providers/Microsoft.NetApp/netAppAccounts/<NetAppAccountName>?api-version=2025-01-01" --body 
'{  \"properties\":
    {    \"encryption\":
        {      \"keySource\": \"Microsoft.KeyVault\",   \"keyVaultProperties\":    
            {\"keyVaultUri\": \"<URI to the key vault>\",   \"keyVaultResourceId\": \"/<full resource ID of the key vault>\", \"keyName\": \"<customer’s key name>\"   },
            \"identity\":
                { \"userAssignedIdentity\": \"<full resource ID of the user-assigned identity>",  \"federatedClientId\": \"<clientId of multi-tenant application>\"
                }
            }
        },
    \"location\": \"southcentralus\",   \"identity\": 
        {\"type\": \"userAssigned\",   \"userAssignedIdentities\": 
            {  \"<full resource ID of the user-assigned identity>\": {
                }
            }
        }
    }'
 --verbose

После отправки az rest команды учетная запись NetApp успешно настроена с помощью cmK между клиентами.

Проверьте конфигурацию, выполнив следующую команду:

az netappfiles account show --resource-group <resourceGroupName> --name <NetAppAccountName> --query "{encryption: properties.encryption}" -o json

Выходные данные должны включать federatedClientId в свойства идентификации шифрования.

На портале Azure выберите Volumes и затем выберите Add volume.
Следуйте инструкциям в Конфигурирование сетевых функций тома Azure NetApp Files:
- Задайте параметр "Сетевые функции" на странице создания тома.
- Группа безопасности сети для делегированной подсети тома должна разрешить входящий трафик из виртуальной машины хранилища NetApp.
Для учетной записи NetApp, настроенной с помощью ключей, управляемых клиентом, выполните следующие действия.
- Выберите Customer-Managed Key в раскрывающемся меню Источник ключа шифрования.
- Выберите "Стандартный " в качестве параметра "Сетевые функции ".
- Выберите частную конечную точку хранилища ключей.
Продолжайте создание тома. См:

Создайте том с помощью CLI (интерфейса командной строки):

az netappfiles volume create -g <resource group name> --account-name <NetApp account name> --pool-name <pool name> --name <volume name> -l southcentralus --service-level premium --usage-threshold 100 --file-path "<file path>" --vnet <virtual network name> --subnet default --network-features Standard --encryption-key-source Microsoft.KeyVault --kv-private-endpoint-id <full resource ID to the private endpoint to the customer's vault> --debug

Устранение неполадок с ключами, управляемыми клиентом, несколькими клиентами

В этом разделе описываются проблемы, возникающие при настройке кросс-арендодательского CMK, и информация для их решения.

Проверьте конфигурацию CMK между клиентами

Чтобы проверить правильность настройки учетной записи NetApp для cmK между клиентами, проверьте наличие federatedClientId в свойствах шифрования учетной записи.

Портал
Azure CLI

Перейдите к учетной записи NetApp, выберите "Обзор", а затем выберите "Представление JSON".

Если межтенантная CMK настроена правильно, свойства шифрования должны включать federatedClientId.

Выполните следующую команду:

az netappfiles account show \
    --resource-group <resourceGroupName> \
    --name <NetAppAccountName> \
    --query "{keySource: encryption.keySource, federatedClientId: encryption.identity.federatedClientId, userAssignedIdentity: encryption.identity.userAssignedIdentity}" \
    -o json

Если federatedClientId отсутствует, учетная запись настраивается с помощью CMK в пределах одного клиента, а не с помощью CMK между клиентами.

Отсутствует URI ключа или параметр источника ключа шифрования

При создании тома на портале Azure раскрывающееся меню Encryption Key Source не отображает Customer-Managed Key, а также поля для Key URI, subscription или тип идентификатора не видны.

Резолюция:

Убедитесь, правильно ли настроена учетная запись NetApp для межтенантной CMK, как описано в разделе «Проверка конфигурации CMK между клиентами».
Если у учетной записи нет federatedClientId, переключите учетную запись на ключи, управляемые корпорацией Майкрософт:
1. На портале Azure перейдите на страницу Encryption.
2. Измените источник ключа шифрования на ключ, управляемый корпорацией Майкрософт.
3. Нажмите Сохранить.
Перенастройте учетную запись для межклиентского CMK, следуя шагам в разделе «Настройка учетной записи NetApp для использования ключей».

Дальнейшие шаги

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-23