Kundhanterade nycklar för Azure Fluid Relay-kryptering

2025-10-04

Du kan använda din egen krypteringsnyckel för att skydda data i din Azure Fluid Relay-resurs. När du anger en kundhanterad nyckel (CMK) används den nyckeln för att skydda och kontrollera åtkomsten till den nyckel som krypterar dina data. CMK ger större flexibilitet för att hantera åtkomstkontroller.

Du måste använda något av följande Azure-nyckelarkiv för att lagra din CMK:

Du måste skapa en ny Azure Fluid Relay-resurs för att aktivera CMK. Du kan inte ändra CMK-aktivering/inaktivering på en befintlig Fluid Relay-resurs.

Dessutom förlitar sig CMK för Fluid Relay på hanterad identitet, och du måste tilldela en hanterad identitet till Fluid Relay-resursen när du aktiverar CMK. Endast användartilldelad identitet tillåts för Fluid Relay-resurs-CMK. Mer information om hanterade identiteter finns här.

Det går inte att konfigurera en Fluid Relay-resurs med CMK via Azure Portal ännu.

När du konfigurerar Fluid Relay-resursen med CMK konfigurerar Azure Fluid Relay-tjänsten lämpliga CMK-krypterade inställningar i Azure Storage-kontoomfånget där dina fluidsessionsartefakter lagras. Mer information om CMK i Azure Storage finns här.

För att verifiera att en Fluid Relay-resurs använder CMK kan du kontrollera resursens egenskap genom att skicka GET och se om den har en giltig, icke-tom egenskap för encryption.customerManagedKeyEncryption.

Prerequisites

Innan du konfigurerar CMK på din Azure Fluid Relay-resurs måste följande krav uppfyllas:

Nycklar måste lagras i ett Azure Key Vault.
Nycklar måste vara RSA-nyckel och inte EC-nyckel eftersom EC-nyckeln inte stöder WRAP och UNWRAP.
En användartilldelad hanterad identitet måste skapas med nödvändig behörighet (GET, WRAP och UNWRAP) till nyckelvalvet i steg 1. Mer information finns här. Bevilja GET, WRAP och UNWRAP under Nyckelbehörigheter i AKV.
Azure Key Vault, användartilldelad identitet och Fluid Relay-resursen måste finnas i samma region och i samma Microsoft Entra-klientorganisation.
Nyckelvalvet och nyckeln måste vara aktiva under hela livslängden för dina Fluid Relay-resurser.
- Ta INTE bort eller inaktivera nyckelvalvet eller nyckeln förrän alla associerade Fluid Relay-tjänster har tagits bort. I annat fall går Fluid Relay-resursen in i ett oanvändbart tillstånd. I det här fallet måste du återställa nyckeln eller nyckelvalvet först.
Om du anger nyckel-URL:en med en specifik nyckelversion används endast den versionen i CMK-syfte. Om du senare lägger till en ny nyckelversion måste du manuellt uppdatera nyckel-URL:en i CMK-inställningarna för Fluid Relay-resursen för att den nya versionen ska gälla. Fluid Relay-tjänsten misslyckas om den angivna nyckelversionen tas bort eller inaktiveras utan att resursen uppdateras för att använda en giltig version.
Om du vill tillåta att Fluid Relay-tjänsten automatiskt använder den senaste nyckelversionen av nyckeln från nyckelvalvet kan du utelämna nyckelversionen i krypteringsnyckelns URL. Den här inställningen gör Att Fluid Relay-tjänstens lagringsberoende kontrollerar nyckelvalvet dagligen efter en ny version av den kundhanterade nyckeln och uppdaterar automatiskt nyckeln till den senaste versionen. Du ansvarar dock fortfarande för att hantera och rotera nyckelversioner i ditt Key Vault.
- På grund av resursbegränsningar kan det hända att det inte går att växla till den här inställningen för automatisk uppdatering. Om det händer anger du en nyckelversion explicit och utför en manuell uppdatering av Fluid Relay-resursen för nya nyckelversioner .

Skapa en Fluid Relay-resurs med CMK

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"

Begär nyttolastformat:

{
    "location": "<the region you selected for Fluid Relay resource>",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            “<User assigned identity resource ID>": {}
        }
    },
    "properties": {
       "encryption": {
            "customerManagedKeyEncryption": {
                "keyEncryptionKeyIdentity": {
                    "identityType": "UserAssigned",
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>"
                },
                "keyEncryptionKeyUrl": "<key identifier>"
            }
        }
    }
}

Exempel på userAssignedIdentiteter och userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Exempel keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Notes:

Identity.type måste vara UserAssigned. Det är identitetstypen för den hanterade identiteten som är tilldelad till Fluid Relay-resursen.
Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType måste vara UserAssigned. Det är identitetstypen för den hanterade identiteten som ska användas för CMK.
Även om du kan ange mer än en i Identity.userAssignedIdentiteter, används endast en användaridentitet som tilldelats den angivna Fluid Relay-resursen för CMK-åtkomst till nyckelvalvet för kryptering.
Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId är resurs-ID för den användartilldelade identiteten som ska användas för CMK. Observera att det bör vara en av identiteterna i Identity.userAssignedIdentiteter (du måste tilldela identiteten till Fluid Relay-resursen innan den kan använda den för CMK). Dessutom bör den ha nödvändiga behörigheter för nyckeln (tillhandahålls av keyEncryptionKeyUrl).
Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl är nyckelidentifieraren som används för CMK.

Du måste installera Azure Fluid Relay-modulen först.

Install-Module Az.FluidRelay

Och se till att du slutför alla nödvändiga steg.

Exempel på hur du skapar en Fluid Relay-tjänst med CMK aktiverat:

New-AzFluidRelayServer -Name <Fluid Relay Service name> -ResourceGroup <resource group name> -SubscriptionId "<subscription id>" -Location "<region>" -KeyEncryptionKeyIdentityType UserAssigned -KeyEncryptionKeyIdentityUserAssignedIdentityResourceId "<user assigned resource id>" -CustomerManagedKeyEncryptionKeyUrl "<key URL>" -UserAssignedIdentity "<user assigned resource id>"

Mer information om kommandot finns i New-AzFluidRelayServer

Notes:

Måste KeyEncryptionKeyIdentityTypevaraUserAssigned eftersom SystemAssigned identiteten inte stöds för CMK. Det anger den identitetstyp som ska användas för Customer-Managed-nyckelkryptering (CMK).
Även om flera identiteter kan anges i UserAssignedIdentity argumentet används endast den identitet som definierats i KeyEncryptionKeyIdentityUserAssignedIdentityResourceId för att komma åt Key Vault för CMK-kryptering.
Fältet KeyEncryptionKeyIdentityUserAssignedIdentityResourceId ska anges till resurs-ID för den användartilldelade identitet som är avsedd för CMK-åtkomst.
- Den här identiteten måste redan anges i fältet UserAssignedIdentity .
- Dessutom behöver den nödvändiga behörigheter för nyckeln som anges i CustomerManagedKeyEncryptionKeyUrl.
CustomerManagedKeyEncryptionKeyUrl är nyckelidentifieraren som används för CMK.

Om du vill skapa Fluid Relay med CMK aktiverat med Azure CLI måste du först installera tillägg för vätskerelä . Se instruktioner.

Och se till att du slutför alla nödvändiga steg.

Exempel på hur du skapar en Fluid Relay-tjänst med CMK aktiverat:

az fluid-relay server create --server-name <Fluid Relay Service name> --resource-group <resource group name> --identity '{"type":"UserAssigned","user-assigned-identities":{"<user assigned resource id>":{}}}' --key-identity '{"identity-type":"UserAssigned","user-assigned-identities":"<user assigned resource id>"}' --key-url "<key URL>" --location <location> --sku <standard or basic>

Mer information om kommandot finns i az fluid-relay server create

Notes:

Dessa argument måste anges i strängifierat JSON-format .
- identity, key-identity
Fältet type under identitymåste varaUserAssigned. Den anger identitetstypen för den hanterade identitet som tilldelats till Fluid Relay-resursen.
Fältet identity-type under key-identitymåste också varaUserAssigned. Det anger den identitetstyp som ska användas för Customer-Managed-nyckelkryptering (CMK).
Även om flera identiteter kan anges i identity argumentet används endast den identitet som definierats i key-identity för att komma åt Key Vault för CMK-kryptering.
Fältet user-assigned-identities under key-identity ska anges till resurs-ID för den användartilldelade identitet som är avsedd för CMK-åtkomst.
- Den här identiteten måste redan anges i fältet identity .
- Dessutom behöver den nödvändiga behörigheter för nyckeln som anges i key-url.
key-url är nyckelidentifieraren som används för CMK.

Uppdatera CMK-inställningarna för en befintlig Fluid Relay-resurs

Du kan uppdatera följande CMK-inställningar på en befintlig Fluid Relay-resurs:

Ändra den identitet som används för åtkomst till nyckelkrypteringsnyckeln.
Ändra nyckelkrypteringsnyckelidentifieraren (nyckel-URL).
Ändra nyckelversionen av nyckelkrypteringsnyckeln.

Du kan inte inaktivera CMK på en befintlig Fluid Relay-resurs när den är aktiverad.

Innan du uppdaterar nyckelkrypteringsnyckeln (efter identifierare eller version) kontrollerar du att den tidigare nyckelversionen fortfarande är aktiverad och inte har upphört att gälla i nyckelvalvet. Annars misslyckas uppdateringsåtgärden.

När du använder uppdateringskommandot kan du bara ange de parametrar som ändras – oförändrade argument kan utelämnas.

Alla uppdateringar måste uppfylla de krav som beskrivs på den här sidan.

Begär URL:

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"

Exempel på begäran om nyttolast för uppdatering av nyckelkrypteringsnyckelns URL:

{
    "properties": {
       "encryption": {
            "customerManagedKeyEncryption": {
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
            }
        }
    }
}

Du måste installera Azure Fluid Relay-modulen först.

Install-Module Az.FluidRelay

Under en uppdatering behöver du bara ange de parametrar som behöver ändras.

Uppdatera url för krypteringsnyckel

Update-AzFluidRelayServer -Name <Fluid Relay Service name> -ResourceGroup <resource group name> -SubscriptionId "<subscription id>" -CustomerManagedKeyEncryptionKeyUrl "<new key URL>"

Uppdatera tilldelad identitet för CMK

Update-AzFluidRelayServer -Name <Fluid Relay Service name> -ResourceGroup <resource group name> -SubscriptionId "<subscription id>" -KeyEncryptionKeyIdentityUserAssignedIdentityResourceId "<new user assigned resource id>"

Mer information om kommandot finns i Update-AzFluidRelayServer

Uppdatera url för krypteringsnyckel

az fluid-relay server update --server-name <Fluid Relay Service name> --resource-group <resource group> --key-url <new key URL>

Uppdaterar identity och key-identity följer samma format som när du skapar resursen. Under en uppdatering behöver du dock bara ange de parametrar som behöver ändras.

Uppdatera tilldelad identitet för CMK

az fluid-relay server update --server-name <Fluid Relay Service name> --resource-group <resource group> --key-identity '{"user-assigned-identities":"<new user assigned resource id>"}'

Mer information om kommandot finns i az fluid-relay server update

Ta bort en Azure Fluid Relay-resurs med CMK aktiverat

Om du tar bort en Customer-Managed Key(CMK) aktiverad Azure Fluid Relay-resurs följer samma process som när du tar bort en standard fluidreläresurs. Du måste dock se till att Fluid Relay-resursen tas bort innan dess CMK-beroenden, till exempel krypteringsnyckeln, Key Vault och eventuella användartilldelade hanterade identiteter.

Om du etablerar Fluid Relay-resursen och dess CMK-beroenden (Key Vault och användartilldelad identitet) i samma resursgrupp måste du uttryckligen ta bort Fluid Relay-resursen först. Annars misslyckas försöket att ta bort hela resursgruppen samtidigt eftersom Fluid Relay-resursen inte kan tas bort efter att dess beroenden har tagits bort.

Troubleshooting

Fel: Oväntat fel uppstod när CMK konfigureras

Se till att konfigurationen uppfyller alla krav som anges i avsnittet krav .
Kontrollera om du har brandväggsregler aktiverade i Azure Key Vault. I så fall aktiverar du alternativet "Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen". Se endast Key Vault-brandväggsaktiverade betrodda tjänster
För befintliga Fluid Relay-resurser kontrollerar du att nyckeln – eller den specifika nyckelversionen, om en har angetts i CMK-inställningarna – fortfarande är aktiverad och inte har upphört att gälla i ditt Key Vault.

Se även

Feedback

Var den här sidan till hjälp?