配置客户管理的密钥

项目
12/22/2023

Azure 数据资源管理器对静态存储帐户中的所有数据进行加密。默认情况下，数据使用 Microsoft 管理的密钥进行加密。为了更进一步控制加密密钥，可以提供客户管理的密钥来用于对数据进行加密。

客户管理的密钥必须存储在 Azure 密钥保管库中。可以创建自己的密钥并将其存储在 Key Vault 中，或者使用 Azure Key Vault API 来生成密钥。 Azure 数据资源管理器群集和密钥保管库必须在同一个区域中，但可以在不同的订阅中。有关客户管理的密钥的详细说明，请参阅客户管理的密钥与 Azure 密钥保管库。

本文将介绍如何配置客户管理的密钥。

有关基于以前的 SDK 版本的代码示例，请参阅存档的文章。

配置 Azure Key Vault

若要使用 Azure 数据资源管理器配置客户管理的密钥，必须在密钥保管库上设置两个属性：“软删除”和“不清除” 。默认情况下未启用这些属性。若要启用这些属性，请在 PowerShell 或 Azure CLI 中对新的或现有的密钥保管库执行“启用软删除”和“启用清除保护” 。仅支持大小为 2048 的 RSA 密钥。有关密钥的详细信息，请参阅密钥保管库密钥。

注意

有关在主群集和子群集上使用客户托管密钥的限制，请参阅限制。

为群集分配托管标识

若要为群集启用客户管理的密钥，请先将系统分配的托管标识或用户分配的托管标识分配给该群集。你将使用此托管标识授予群集访问密钥保管库的权限。若要配置托管标识，请参阅托管标识。

使用客户托管密钥启用加密

以下部分介绍如何使用 Azure 门户启用客户管理的密钥加密。默认情况下，Azure 数据资源管理器加密使用 Microsoft 托管密钥。将 Azure 数据资源管理器群集配置为使用客户托管密钥，并指定要与群集关联的密钥。

在 Azure 门户中，转到你的 Azure 数据资源管理器群集资源。
在门户左侧窗格中选择“设置”>“加密” 。
在“加密”窗格中，选择“客户管理的密钥”设置对应的“打开” 。
选择“选择密钥”。
在“从 Azure 密钥保管库中选择密钥”窗口中，从下拉列表中选择现有的密钥保管库。如果选择“新建”以创建新的密钥保管库，则会路由到“创建密钥保管库”屏幕。
选择“密钥”。
版本：
- 为了确保此密钥始终使用最新密钥版本，请选中“始终使用当前密钥版本”复选框。
- 否则请选择“版本”。
选择“选择” 。
在“标识类型”下，选择“系统分配”或“用户分配” 。
如果选择“用户分配”，请从下拉列表中选取用户分配的标识。
在现已包含你的密钥的“加密”窗格中，选择“保存” 。成功创建 CMK 后，“通知”中会显示一条成功消息。

如果在为 Azure 数据资源管理器群集启用客户管理的密钥时选择了系统分配的标识，则将为该群集创建系统分配的标识（如果不存在）。此外，你需要为 Azure 数据资源管理器群集提供对所选密钥保管库的所需 get、wrapKey 和 unwrapKey 权限，并获取密钥保管库属性。

注意

创建客户管理的密钥后，选择“关闭”会将其删除。

以下部分说明如何使用 Azure 数据资源管理器 C# 客户端配置客户管理密钥加密。

安装包

安装 Azure 数据资源管理器 (Kusto) NuGet 包。
安装 Azure.Identity NuGet 包，以便使用 Microsoft Entra ID 进行身份验证。

身份验证

若要运行本文中的示例，请创建 Microsoft Entra 应用程序和可以访问资源的服务主体。可以在订阅范围添加角色分配，并获取所需的 Microsoft Entra Directory (tenant) ID、Application ID 和 Application Secret。

以下代码片段演示如何使用 Microsoft 身份验证库 (MSAL) 获取 Microsoft Entra 应用程序令牌以访问你的群集。若要此流成功，应用程序必须注册到 Microsoft Entra ID，并且你必须有用于应用程序身份验证的凭据，例如 Microsoft Entra ID 颁发的应用程序密钥或向 Microsoft Entra 注册的 X.509v2 证书。

配置客户管理的密钥

默认情况下，Azure 数据资源管理器加密使用 Microsoft 托管密钥。将 Azure 数据资源管理器群集配置为使用客户托管密钥，并指定要与群集关联的密钥。

使用以下代码更新群集：

var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
var clientSecret = "PlaceholderClientSecret"; // Application secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
var clusterName = "mykustocluster";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var clusters = resourceGroup.GetKustoClusters();
var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
{
    KeyVaultProperties = new KustoKeyVaultProperties
    {
        KeyName = "<keyName>",
        KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
        KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.cn/"),
        UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
    }
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);

运行以下命令，检查群集是否已成功更新：
```
var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
```
如果结果包含带 Succeeded 值的 ProvisioningState，则表示已成功更新群集。

以下部分介绍如何使用 Azure CLI 客户端启用客户管理的密钥加密。默认情况下，Azure 数据资源管理器加密使用 Microsoft 托管密钥。将 Azure 数据资源管理器群集配置为使用客户托管密钥，并指定要与群集关联的密钥。

运行以下命令来登录到 Azure：
```
az login
```
设置群集注册到的订阅。将 MyAzureSub 替换为要使用的 Azure 订阅的名称。
```
az account set --subscription MyAzureSub
```

运行以下命令，以使用群集的系统分配的标识设置新密钥

az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"

或者，使用用户分配的标识设置新密钥。

az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"

运行以下命令并检查“keyVaultProperties”属性，以验证群集是否已成功更新。
```
az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
```

以下部分介绍如何使用 PowerShell 启用客户管理的密钥加密。默认情况下，Azure 数据资源管理器加密使用 Microsoft 托管密钥。将 Azure 数据资源管理器群集配置为使用客户托管密钥，并指定要与群集关联的密钥。

运行以下命令来登录到 Azure：

Connect-AzAccount -Environment AzureChinaCloud

设置群集注册到的订阅。

Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

运行以下命令，以使用系统分配的标识设置新密钥。

Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"

或者，使用用户分配的标识设置新密钥。

Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"

运行以下命令并检查“KeyVaultProperty...”属性，以验证群集是否已成功更新。
```
Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
```

以下步骤说明如何使用 Azure 资源管理器模板配置客户管理的密钥。默认情况下，Azure 数据资源管理器加密使用 Microsoft 托管密钥。此步骤将 Azure 数据资源管理器群集配置为使用客户托管密钥，并指定要与群集关联的密钥。

如果你要使用系统分配的标识来访问密钥保管库，请将 userIdentity 留空。否则请设置标识的资源 ID。

可以使用 Azure 门户或 PowerShell 部署 Azure 资源管理器模板。

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
      "metadata": {
        "description": "Name of the cluster to create"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "name": "[parameters('clusterName')]",
      "type": "Microsoft.Kusto/clusters",
      "sku": {
        "name": "Standard_D13_v2",
        "tier": "Standard",
        "capacity": 2
      },
      "apiVersion": "2019-09-07",
      "location": "[parameters('location')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "<keyVaultUri>",
          "keyName": "<keyName>",
          "keyVersion": "<keyVersion>",
          "userIdentity": "<userIdentity>"
        }
      }
    }
  ]
}

更新密钥版本

创建密钥的新版本时，需将群集更新为使用新版本。首先调用 Get-AzKeyVaultKey 以获取最新密钥版本。然后，将群集的密钥保管库属性更新为使用新的密钥版本，如使用客户管理的密钥启用加密中所示。

通过

配置客户管理的密钥

配置 Azure Key Vault

为群集分配托管标识

使用客户托管密钥启用加密

安装包

身份验证

配置客户管理的密钥

更新密钥版本

其他资源

通过

配置客户管理的密钥

配置 Azure Key Vault

为群集分配托管标识

使用客户托管密钥启用加密

更新密钥版本

相关内容

其他资源