Konfigurera kundhanterade nycklar för Azure NetApp Files-volymkryptering

2025-06-20

Med kundhanterade nycklar för Azure NetApp Files-volymkryptering kan du använda dina egna nycklar i stället för en plattformshanterad nyckel när du skapar en ny volym. Med kundhanterade nycklar kan du helt hantera relationen mellan en nyckels livscykel, behörigheter för nyckelanvändning och granskningsåtgärder på nycklar.

Följande diagram visar hur kundhanterade nycklar fungerar med Azure NetApp Files:

Azure NetApp Files ger behörighet till krypteringsnycklar till en hanterad identitet. Den hanterade identiteten är antingen en användartilldelad hanterad identitet som du skapar och hanterar eller en systemtilldelad hanterad identitet som är associerad med NetApp-kontot.
Du konfigurerar kryptering med en kundhanterad nyckel för NetApp-kontot.
Du använder den hanterade identitet som Azure Key Vault-administratören beviljade behörigheter till i steg 1 för att autentisera åtkomst till Azure Key Vault via Microsoft Entra-ID.
Azure NetApp Files omsluter kontokrypteringsnyckeln med den kundhanterade nyckeln i Azure Key Vault.

Kundhanterade nycklar påverkar inte prestanda för Azure NetApp Files. Den enda skillnaden från plattformshanterade nycklar är hur nyckeln hanteras.
För läs-/skrivåtgärder skickar Azure NetApp Files begäranden till Azure Key Vault för att packa upp kontokrypteringsnyckeln för att utföra krypterings- och dekrypteringsåtgärder.

Kundhanterade nycklar för klientövergripande är tillgängliga i alla regioner som stöds av Azure NetApp Files.

Att tänka på

Om du vill skapa en volym med kundhanterade nycklar måste du välja standardnätverksfunktionerna. Du kan inte använda kundhanterade nyckelvolymer med volym konfigurerad med hjälp av grundläggande nätverksfunktioner. Följ anvisningarna i för att ange alternativet Nätverksfunktioner på sidan för att skapa volymer.
För ökad säkerhet kan du välja alternativet Inaktivera offentlig åtkomst i nätverksinställningarna för ditt nyckelvalv. När du väljer det här alternativet måste du också välja Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen för att tillåta azure NetApp Files-tjänsten att komma åt din krypteringsnyckel.
Kundhanterade nycklar stöder automatisk msi-certifikatförnyelse (Managed System Identity). Om certifikatet är giltigt behöver du inte uppdatera det manuellt.
Om Azure NetApp Files inte kan skapa en kundhanterad nyckelvolym visas felmeddelanden. Mer information finns i Felmeddelanden och felsökning.
Gör inga ändringar i den underliggande privata Azure Key Vault- eller Azure-slutpunkten när du har skapat en volym för kundhanterade nycklar. Att göra ändringar kan göra volymerna otillgängliga. Om du måste göra ändringar kan du läsa Uppdatera ip-adressen för den privata slutpunkten för kundhanterade nycklar.
Azure NetApp Files stöder möjligheten att överföra befintliga volymer från plattformshanterade nycklar (PMK) till kundhanterade nycklar (CMK) utan datamigrering. Detta ger flexibilitet med krypteringsnyckelns livscykel (förnyelser, rotationer) och extra säkerhet för reglerade branschkrav.
Om Azure Key Vault blir otillgängligt förlorar Azure NetApp Files sin åtkomst till krypteringsnycklarna och möjligheten att läsa eller skriva data till volymer som är aktiverade med kundhanterade nycklar. I sådant fall skapar du en supportbegäran för att få åtkomsten återställd manuellt för de berörda volymerna.
Azure NetApp Files stöder kundhanterade nycklar på källa och datareplicationvolymer med replikering mellan regioner eller relationer för replikering mellan zoner.
Användning av Azure-nätverkssäkerhetsgrupper (NSG) i det privata länkundernätet till Azure Key Vault stöds för kundhanterade Azure NetApp Files-nycklar. NSG:er påverkar inte anslutningen till privata länkar om inte en privat slutpunktsnätverksprincip är aktiverad i undernätet.
Wrap/unwrap stöds inte. Kundhanterade nycklar använder kryptering/dekryptering. Mer information finns i RSA-algoritmer.

Krav

Innan du skapar din första kundhanterade nyckelvolym måste du konfigurera:

Ett Azure Key Vault som innehåller minst en nyckel.
- Nyckelvalvet måste ha soft delete och rensningsskydd aktiverat.
- Nyckeln måste vara av typen RSA.
Nyckelvalvet måste ha en privat Azure-slutpunkt.
- Den privata slutpunkten måste finnas i ett annat undernät än den som delegeras till Azure NetApp Files. Undernätet måste finnas i samma virtuella nätverk som det som delegerats till Azure NetApp.

Mer information om Azure Key Vault och azure private endpoint finns i:

Konfigurera ett NetApp-konto för att använda kundhanterade nycklar

I Azure-portalen och under Azure NetApp Files väljer du Kryptering.

På sidan Kryptering kan du hantera krypteringsinställningar för ditt NetApp-konto. Den innehåller ett alternativ som gör att du kan ange att ditt NetApp-konto ska använda din egen krypteringsnyckel, som lagras i Azure Key Vault. Den här inställningen tillhandahåller en systemtilldelad identitet till NetApp-kontot och lägger till en åtkomstprincip för identiteten med nödvändiga nyckelbehörigheter.
När du anger att netApp-kontot ska använda kundhanterad nyckel kan du ange nyckel-URI:n på två sätt:
- Med alternativet Välj från nyckelvalv kan du välja ett nyckelvalv och en nyckel.
- Med alternativet Ange nyckel-URI kan du ange nyckel-URI:n manuellt.
Välj den identitetstyp som du vill använda för autentisering till Azure Key Vault. Om Azure Key Vault har konfigurerats för att använda åtkomstprincipen för valvet som behörighetsmodell är båda alternativen tillgängliga. Annars är endast det användartilldelade alternativet tillgängligt.
- Om du väljer Systemtilldelad väljer du knappen Spara . Azure Portal konfigurerar NetApp-kontot automatiskt genom att lägga till en systemtilldelad identitet till ditt NetApp-konto. En åtkomstprincip skapas också i ditt Azure Key Vault med nyckelbehörigheterna Get, Encrypt, Decrypt.
- Om du väljer Användartilldelad måste du välja en identitet. Välj Välj en identitet för att öppna ett kontextfönster där du väljer en användartilldelad hanterad identitet.
Om du har konfigurerat Azure Key Vault för att använda en åtkomstprincip för valv, konfigurerar Azure Portal NetApp-kontot automatiskt med följande process: Den användartilldelade identiteten som du väljer läggs till i ditt NetApp-konto. En åtkomstprincip skapas i ditt Azure Key Vault med nyckelbehörigheterna Get, Encrypt, Decrypt.

Om du har konfigurerat Azure Key Vault för att använda rollbaserad åtkomstkontroll i Azure måste du se till att den valda användartilldelade identiteten har en rolltilldelning i nyckelvalvet med behörigheter för åtgärder:
- Microsoft.KeyVault/vaults/keys/read
- Microsoft.KeyVault/vaults/keys/encrypt/action
- Microsoft.KeyVault/vaults/keys/decrypt/action Den användartilldelade identitet som du väljer läggs till i ditt NetApp-konto. På grund av den anpassningsbara karaktären hos rollbaserad åtkomstkontroll konfigurerar Azure-portalen inte åtkomst till nyckelvalvet. Mer information om hur du konfigurerar Azure Key Vault finns i Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure .
Välj Spara och observera sedan meddelandet som kommunicerar status för åtgärden. Om åtgärden inte lyckas visas ett felmeddelande. Mer information om hur du löser felet finns i felmeddelanden och felsökning.

Hur du konfigurerar ett NetApp-konto med kundhanterade nycklar med Azure CLI beror på om du använder en systemtilldelad identitet eller en användartilldelad identitet.

Använda en systemtilldelad identitet

Uppdatera ditt NetApp-konto så att det använder en systemtilldelad identitet.

az netappfiles account update \
    --name <account_name> \
    --resource-group <resource_group> \
    --identity-type SystemAssigned

Om du vill använda en åtkomstprincip skapar du en variabel som innehåller kontoidentitetens huvud-ID och sedan kör az keyvault set-policy och tilldelar behörigheter för "Get", "Encrypt" och "Decrypt".

netapp_account_principal=$(az netappfiles account show \
    --name <account_name> \
    --resource-group <resource_group> \
    --query identity.principalId \
    --output tsv)

az keyvault set-policy \
    --name <key_vault_name> \
    --resource-group <resource-group> \
    --object-id $netapp_account_principal \
    --key-permissions get encrypt decrypt

Uppdatera netapp-kontot genom ditt nyckelvalv.

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)
az netappfiles account update --name <account_name> \  
    --resource-group <resource_group> \
    --key-source Microsoft.Keyvault \
    --key-vault-uri $key_vault_uri \
    --key-name <key>

Använda en ny användartilldelad identitet

Skapa en ny användartilldelad identitet.

az identity create \
    --name <identity_name> \
    --resource-group <resource_group>

Ange en åtkomstprincip för nyckelvalvet.

user_assigned_identity_principal=$(az identity show \
    --name <identity_name> \
    --resource-group <resource_group> \
    --query properties.principalId \
    --output tsv)
az keyvault set-policy \
    --name <key_vault_name> \
    --resource-group <resource-group> \
    --object-id $user_assigned_identity_principal \
    --key-permissions get encrypt decrypt

Anteckning

Du kan också använda rollbaserad åtkomstkontroll för att bevilja åtkomst till nyckelvalvet.

Tilldela den användartilldelade identiteten till NetApp-kontot och uppdatera nyckelvalvskryptering.

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)
user_assigned_identity=$(az identity show \
    --name <identity_name> \
    --resource-group <resource_group> \
    --query id \
    --output tsv)
az netappfiles account update --name <account_name> \  
    --resource-group <resource_group> \
    --identity-type UserAssigned \
    --key-source Microsoft.Keyvault \
    --key-vault-uri $key_vault_uri \
    --key-name <key> \
    --keyvault-resource-id <key-vault> \   
    --user-assigned-identity $user_assigned_identity

Processen för att konfigurera ett NetApp-konto med kundhanterade nycklar i Azure CLI beror på om du använder en systemtilldelad identitet eller en användartilldelad identitet.

Aktivera åtkomst för systemtilldelad identitet

Uppdatera ditt NetApp-konto för att använda systemtilldelad identitet.

$netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity

Om du vill använda en åtkomstprincip kör Set-AzKeyVaultAccessPolicy du med nyckelvalvets namn, huvud-ID:t för kontoidentiteten och behörigheterna "Get", "Encrypt" och "Decrypt".
```
Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
```

Uppdatera ditt NetApp-konto med information om nyckelvalvet.

Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.Name -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>

Aktivera åtkomst för användartilldelad identitet

Skapa en ny användartilldelad identitet.

$userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName

Tilldela åtkomstpolicyn till nyckelvalvet.

Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
    -ResourceGroupname <resource_group> `
    -ObjectId $userId.PrincipalId `
    -PermissionsToKeys get,encrypt,decrypt `
    -BypassObjectIdValidation

Anteckning

Du kan också använda rollbaserad åtkomstkontroll för att bevilja åtkomst till nyckelvalvet.

Tilldela den användartilldelade identiteten till NetApp-kontot och uppdatera nyckelvalvskryptering.

$netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
    -Name <account_name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $userId.Id `
    -KeyVaultEncryption `
    -KeyVaultUri <keyVaultUri> `
    -KeyName <keyName> `
    -EncryptionUserAssignedIdentity $userId.Id

Använd rollbaserad åtkomstkontroll

Du kan använda ett Azure Key Vault som är konfigurerat för att använda rollbaserad åtkomstkontroll i Azure. För att konfigurera kundhanterade nycklar via Azure Portal måste du ange en användartilldelad identitet.

I ditt Azure-konto går du till Nyckelvalv och sedan Åtkomstprinciper.
Om du vill skapa en åtkomstprincip väljer du Rollbaserad åtkomstkontroll i Azure under Behörighetsmodell.

När du skapar den användartilldelade rollen krävs tre behörigheter för kundhanterade nycklar:

Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action

Även om det finns fördefinierade roller som innehåller dessa behörigheter, ger dessa roller fler privilegier än vad som krävs. Vi rekommenderar att du skapar en anpassad roll med endast de minsta behörigheter som krävs. Mer information finns i Anpassade Azure-roller.

{
    "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
    "properties": {
        "roleName": "NetApp account",
        "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
        "assignableScopes": [
            "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
        ],
        "permissions": [
          {
            "actions": [],
            "notActions": [],
            "dataActions": [
                "Microsoft.KeyVault/vaults/keys/read",
                "Microsoft.KeyVault/vaults/keys/encrypt/action",
                "Microsoft.KeyVault/vaults/keys/decrypt/action"
            ],
            "notDataActions": []
            }
        ]
      }
}

När den anpassade rollen har skapats och är tillgänglig för användning med nyckelvalvet tillämpar du den på den användartilldelade identiteten.

Skapa en Azure NetApp Files-volym med kundhanterade nycklar

Från Azure NetApp Files väljer du Volymer och sedan + Lägg till volym.
Följ anvisningarna i Konfigurera nätverksfunktioner för en Azure NetApp Files-volym:
- Ange alternativet Nätverksfunktioner på sidan för att skapa volymer.
- Nätverkssäkerhetsgruppen för volymens delegerade undernät måste tillåta inkommande trafik från NetApps virtuella lagringsdator.
För ett NetApp-konto som är konfigurerat för att använda en kundhanterad nyckel innehåller sidan Skapa volym alternativet för krypteringsnyckelkälla.

Om du vill kryptera volymen med din nyckel väljer du Customer-Managed Nyckel i listrutan Krypteringsnyckelkälla .

När du skapar en volym med en kundhanterad nyckel måste du också välja Standard för alternativet Nätverksfunktioner . Grundläggande nätverksfunktioner stöds inte.

Du måste välja en nyckelvalvets privata slutpunkt också. Den nedrullningsbara menyn visar privata slutpunkter i det valda virtuella nätverket. Om det inte finns någon privat slutpunkt för ditt nyckelvalv i det valda virtuella nätverket är listrutan tom och du kommer inte att kunna fortsätta. Om du stöter på det här scenariot kan du läsa Azure Private Endpoint.
Fortsätt att slutföra volymskapandeprocessen. Läs mer:
- Skapa en NFS-volym
- Skapa en SMB-volym
- Skapa en volym med dubbla protokoll

Överföra en Azure NetApp Files-volym till kundhanterade nycklar

Azure NetApp Files stöder möjligheten att flytta befintliga volymer med plattformshanterade nycklar till kundhanterade nycklar. När du har slutfört migreringen kan du inte återgå till plattformshanterade nycklar.

Övergångsvolymer

Anteckning

När du övergår volymer till att använda kundhanterade nycklar måste du utföra övergången för varje virtuellt nätverk där ditt Azure NetApp Files-konto har volymer.

Se till att du har konfigurerat ditt Azure NetApp Files-konto för att använda kundhanterade nycklar.
I Azure-portalen går du till Kryptering.
Välj fliken CMK-migrering .
I den nedrullningsbara menyn väljer du den privata slutpunkten för det virtuella nätverket och nyckelvalvet som du vill använda.
Azure genererar en lista över volymer som ska krypteras av din kundhanterade nyckel.
Välj Bekräfta för att initiera migreringen.

Ändra nyckelhantering för alla volymer under ett NetApp-konto

Om du redan har konfigurerat ditt NetApp-konto för kundhanterade nycklar och har en eller flera volymer krypterade med kundhanterade nycklar kan du ändra nyckeln som används för att kryptera alla volymer under NetApp-kontot. Du kan välja valfri nyckel som finns i samma nyckelvalv. Att byta nyckelvalv stöds inte.

Under ditt NetApp-konto går du till menyn Kryptering . Under fältet Aktuell nyckelinmatning väljer du länken Nyckel igen.
Välj en av de tillgängliga nycklarna i rullgardinsmenyn på Nyckel-menyn. Den valda nyckeln måste skilja sig från den aktuella nyckeln.
Välj OK för att spara. Omnycklingsoperationen kan ta några minuter.

Växla från systemtilldelad till användartilldelad identitet

Om du vill växla från systemtilldelad till användartilldelad identitet måste du ge målidentiteten åtkomst till nyckelvalvet som används med läs-/hämta-, krypterings- och dekrypteringsbehörigheter.

Uppdatera NetApp-kontot genom att skicka en PATCH-begäran med kommandot az rest :

az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json

Nyttolasten bör använda följande struktur:

{
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
     "<identity-resource-id>": {}
    }
  },
  "properties": {
    "encryption": {
      "identity": {
        "userAssignedIdentity": "<identity-resource-id>"
      }
    }
  }
}

Bekräfta att åtgärden har slutförts med az netappfiles account show kommandot . Utdata innehåller följande fält:

    "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
    "identity": {
        "principalId": null,
        "tenantId": null,
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                "clientId": "<client-id>",
                "principalId": "<principalId>",
                "tenantId": <tenantId>"
            }
        }
    },

Se till att du har gjort följande:

encryption.identity.principalId matchar värdet i identity.userAssignedIdentities.principalId
encryption.identity.userAssignedIdentity matchar värdet i identity.userAssignedIdentities[]

"encryption": {
    "identity": {
        "principalId": "<principal-id>",
        "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
    },
    "KeySource": "Microsoft.KeyVault",
},

Uppdatera den privata slutpunkten

Att göra ändringar i den privata Azure-slutpunkten när du har skapat en kundhanterad nyckelvolym kan göra volymen otillgänglig. Om du behöver göra ändringar måste du skapa en ny slutpunkt och uppdatera volymen så att den pekar på den nya slutpunkten.

Skapa en ny slutpunkt mellan det virtuella nätverket och Azure Key Vault.

Uppdatera alla volymer med den gamla slutpunkten för att använda den nya slutpunkten.

az netappfiles volume update --g $resource-group-name --account-name $netapp-account-name --pool-name $pool-name --name $volume-name --key-vault-private-endpoint-resource-id $newendpoint

Ta bort den gamla privata slutpunkten.

Nästa steg

Feedback

Var den här sidan till hjälp?

Dela via

Konfigurera kundhanterade nycklar för Azure NetApp Files-volymkryptering

Att tänka på

Krav

Konfigurera ett NetApp-konto för att använda kundhanterade nycklar

Använd rollbaserad åtkomstkontroll

Skapa en Azure NetApp Files-volym med kundhanterade nycklar

Överföra en Azure NetApp Files-volym till kundhanterade nycklar

Övergångsvolymer

Ändra nyckelhantering för alla volymer under ett NetApp-konto

Växla från systemtilldelad till användartilldelad identitet

Uppdatera den privata slutpunkten

Nästa steg

Feedback

Ytterligare resurser