Поделиться через

Настройка ключей, управляемых клиентами нескольких клиентов, для шифрования томов Azure NetApp Files

Межтенантные ключи, управляемые пользователем (CMK) для шифрования томов Azure NetApp Files, позволяют поставщикам услуг на платформе Azure предлагать шифрование, управляемое ключами клиентов. В сценарии с несколькими клиентами учетная запись NetApp находится в клиенте, управляемом независимым поставщиком программного обеспечения, а ключ, используемый для шифрования томов в учетной записи NetApp, находится в хранилище ключей в управляемом клиенте.

Ключи, управляемые клиентами для разных арендаторов, доступны во всех поддерживаемых регионах Azure NetApp Files.

Общие сведения о межтенантных ключах, управляемых клиентом

На следующей схеме показана примерная конфигурация CMK для взаимодействия между арендаторами. На схеме показаны два тенанта Azure: тенант поставщика услуг (Тенант 1) и ваш тенант (Тенант 2). Арендатор 1 размещает учетную запись NetApp (исходный ресурс Azure). Арендатор 2 размещает ваше хранилище ключей.

Снимок экрана интерфейса создания группы томов приложения для расширения один.

Регистрация мультитенантного приложения создается поставщиком услуг в клиенте 1. Федеративные учетные данные удостоверения создаются в этом приложении с помощью пользовательски назначаемого управляемого удостоверения, а также частной конечной точки для хранилища ключей закрытого доступа. Затем используется общий доступ к имени и идентификатору приложения.

После выполнения этих действий вы установите приложение поставщика услуг в клиенте (клиент 2), а затем предоставьте субъекту-службе, связанному с установленным приложением доступ к хранилищу ключей. Вы также храните ключ шифрования (то есть управляемый клиентом ключ) в хранилище ключей. Вы также предоставляете общий доступ к расположению ключа (URI ключа) поставщику услуг. В следующей конфигурации поставщик услуг имеет следующее:

  • Идентификатор приложения для мультитенантного приложения, установленного в арендаторе клиента, которому предоставлен доступ к ключу, управляемому клиентом.
  • Управляемое удостоверение, сконфигурированное в качестве метода аутентификации в мультитенантном приложении. Расположение ключа в хранилище ключей.

С этими тремя параметрами поставщик услуг подготавливает ресурсы Azure в клиенте 1, которые можно зашифровать с помощью ключа, управляемого клиентом, в клиенте 2.

Настройка кросс-арендаторских ключей, управляемых клиентом, для Azure NetApp Files

Процесс конфигурации для ключей, управляемых клиентом в межарендных сценариях, включает части, которые можно выполнить только с помощью REST API и Azure CLI.

Настройка учетной записи NetApp для использования ключа из хранилища в другом клиенте

  1. Создайте регистрацию приложения.
    1. Перейдите к идентификатору Microsoft Entra на портале Azure
    2. В области слева выберите Управление > регистрацией приложений.
    3. Выберите +Создать регистрацию.
    4. Укажите имя регистрации приложения, а затем выберите учетную запись в любом каталоге организации.
    5. Выберите Зарегистрировать.
    6. Запишите идентификатор ApplicationID или ClientID приложения.
  2. Создайте управляемый идентификатор, назначенный пользователем.
    1. На портале Azure перейдите в раздел "Управляемые удостоверения".
    2. Нажмите кнопку +Создать.
    3. Укажите группу ресурсов, регион и имя для управляемого удостоверения.
    4. Выберите Review + create.
    5. При успешном развертывании запишите значение ResourceId Azure управляемого удостоверения, назначаемого пользователем, которое доступно в разделе Свойства. Например: /subscriptions/aaaaaaaa-0000-aaaa-0000-aaaa0000aaaa/resourcegroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityTitle>
  3. Настройте управляемую идентичность, назначенную пользователем, в качестве федеративных учетных данных в приложении.
    1. Перейдите к Microsoft Entra ID > Регистрация приложений > вашего приложения.
    2. Выберите Сертификаты и секреты.
    3. Выберите элемент Федеративные учетные данные.
    4. Выберите + Добавить учетные данные.
    5. В разделе "Федеративные учетные данные" выберите ключи, управляемые клиентом.
    6. Выберите управляемое удостоверение. На панели выберите подписку. В разделе Управляемое удостоверение выберите элемент Управляемое удостоверение, назначаемое пользователем. В поле "Select" найдите созданное ранее управляемое удостоверение, а затем выберите Выбрать в нижней части области.
    7. В разделе "Сведения об учетных данных" укажите имя и при желании введите описание учетных данных. Нажмите кнопку "Добавить".
  4. Создайте частную конечную точку в хранилище ключей:
    1. Предоставьте полный Azure ResourceId для их Key Vault.
    2. Перейдите к частным конечным точкам.
    3. Нажмите кнопку +Создать.
    4. Выберите подписку и группу ресурсов и введите имя частной конечной точки, а затем нажмите кнопку "Следующий > ресурс".
    5. На вкладке "Ресурс" введите следующее:
      • В разделе "Метод подключения " выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму".
      • В разделе "Идентификатор ресурса" или "Псевдоним" введите ResourceID хранилища ключей клиента.
      • В разделе целевого подресурса введите "vault". Затем выберите следующую > виртуальную сеть.
    6. На вкладке "Виртуальная сеть" выберите виртуальную сеть и подсеть для этой частной конечной точки. Конечная точка должна находиться в той же виртуальной сети, что и тома, которые вы хотите создать. Подсеть должна отличаться от той, которая делегирована Microsoft.NetApp/volumes.
    7. На следующих вкладках нажмите кнопку "Далее". Наконец, нажмите кнопку "Создать " на конечной вкладке.

Авторизация доступа к хранилищу ключей

  1. Установите приложение поставщика услуг в тентант клиента
    1. Получите URL-адрес согласия администратора от поставщика для его приложения, доступного нескольким арендаторам. В нашем примере URL-адрес будет выглядеть следующим образом: https://login.microsoftonline.com/<tenant1-tenantId>/adminconsent/client_id=<client/application-ID-for-the-cross-tenant-application> URL-адрес открывает страницу входа, запрашивающую ввод учетных данных. После ввода учетных данных может появиться сообщение об ошибке, указывающее, что URL-адрес перенаправления не настроен; Это нормально.
  2. Предоставьте приложению поставщика службы доступ к хранилищу ключей.
    1. Перейдите в свое хранилище ключей. Выберите элемент управления доступом (IAM) на левой панели.
    2. В разделе "Предоставление доступа к этому ресурсу" выберите "Добавить назначение ролей".
    3. Найдите и выберите Key Vault Crypto User.
    4. В разделе "Участники" выберите "Пользователь", "Группа" или "Субъект-служба".
    5. Выберите Участники. Найдите имя установленного приложения, полученного от поставщика службы.
    6. Выберите Проверить и Назначить.
  3. Примите подключение входящих частных конечных точек к хранилищу ключей.
    1. Перейдите в свое хранилище ключей. Выберите сеть в левой области.
    2. В разделе "Подключения к частной конечной точке" выберите частную входящую конечную точку из арендатора поставщика, а затем нажмите кнопку "Утвердить".
    3. При желании введите описание — или примите значение по умолчанию.

Настройка учетной записи NetApp для использования ключей

Замечание

Использование команды az rest — это единственный поддерживаемый способ настройки учетной записи NetApp для использования CMK в другом арендаторе.

  1. az rest С помощью команды настройте учетную запись NetApp для использования CMK в другом клиенте:

    az rest --method put --uri "/subscriptions/<subscription Id>/resourceGroups/<resourceGroupName>/providers/Microsoft.NetApp/netAppAccounts/<NetAppAccountName>?api-version=2025-01-01" --body 
'{  \"properties\":
    {    \"encryption\":
        {      \"keySource\": \"Microsoft.KeyVault\",   \"keyVaultProperties\":    
            {\"keyVaultUri\": \"<URI to the key vault>\",   \"keyVaultResourceId\": \"/<full resource ID of the key vault>\", \"keyName\": \"<customer’s key name>\"   },
            \"identity\":
                { \"userAssignedIdentity\": \"<full resource ID of the user-assigned identity>",  \"federatedClientId\": \"<clientId of multi-tenant application>\"
                }
            }
        },
    \"location\": \"southcentralus\",   \"identity\": 
        {\"type\": \"userAssigned\",   \"userAssignedIdentities\": 
            {  \"<full resource ID of the user-assigned identity>\": {
                }
            }
        }
    }'
 --verbose

    После отправки az rest команды учетная запись NetApp успешно настроена с помощью cmK между клиентами.

Создание тома

Замечание

Чтобы создать том с помощью межтенантного CMK, необходимо использовать Azure CLI.

  1. Создайте том с помощью CLI (интерфейса командной строки):
az netappfiles volume create -g <resource group name> --account-name <NetApp account name> --pool-name <pool name> --name <volume name> -l southcentralus --service-level premium --usage-threshold 100 --file-path "<file path>" --vnet <virtual network name> --subnet default --network-features Standard --encryption-key-source Microsoft.KeyVault --kv-private-endpoint-id <full resource ID to the private endpoint to the customer's vault> --debug

Дальнейшие шаги

  • Last updated on