Dela via

Konfigurera kundhanterade nycklar mellan klientorganisationer för Azure NetApp Files-volymkryptering

Kundhanterade nycklar mellan klientorganisationer (CMK) för Azure NetApp Files-volymkryptering gör att tjänstleverantörer baserade på Azure kan erbjuda kundhanterad nyckelkryptering. I scenariot mellan klientorganisationer finns NetApp-kontot i en klientorganisation som hanteras av en oberoende programvaruleverantör, medan nyckeln som används för kryptering av volymer i det NetApp-kontot finns i ett nyckelvalv i en klientorganisation som du hanterar.

Kundhanterade nycklar för klientövergripande är tillgängliga i alla regioner som stöds av Azure NetApp Files.

Förstå kundhanterade nycklar mellan klientorganisationer

Följande diagram illustrerar ett exempel på cmk-konfiguration mellan klientorganisationer. I diagrammet finns det två Azure-klienter: en tjänstleverantörs klientorganisation (klientorganisation 1) och din klientorganisation (klientorganisation 2). Hyresgäst 1 hanterar NetApp-kontot (Azure-källresursen). Hyresgäst 2 är värd för ditt nyckelvalv.

Skärmbild av gränssnittet för att skapa programvolymgrupper för tillägg ett.

En applikationsregistrering för flera kunder skapas av tjänstleverantören i kund 1. En federerad identitetsautentiseringsuppgift skapas i det här programmet med hjälp av en användartilldelad hanterad identitet tillsammans med en privat slutpunkt till nyckelvalvet. Sedan delas appens namn och program-ID.

Med de här stegen installerar du tjänsteleverantörens applikation i klientorganisationen (klientorganisation 2) och beviljar sedan service principal som är associerad med den installerade applikationen åtkomst till nyckelvalvet. Du lagrar även krypteringsnyckeln (det vill: den kundhanterade nyckeln) i nyckelvalvet. Du delar även nyckelplatsen (nyckelns URI) med tjänstleverantören. Följande konfiguration har tjänsteleverantören:

  • Ett program-ID för ett program med flera klienter installerat i kundens klientorganisation, som har beviljats åtkomst till den kundhanterade nyckeln.
  • En hanterad identitet som konfigurerats som autentiseringsuppgift i en månganvändarapplikation. Platsen för nyckeln i nyckelvalvet.

Med dessa tre parametrar etablerar tjänstleverantören Azure-resurser i klientorganisation 1 som kan krypteras med den kundhanterade nyckeln i klient 2.

Konfigurera kundhanterade nycklar för flera klientorganisationer för Azure NetApp Files

Konfigurationsprocessen för kundhanterade nycklar mellan klientorganisationer har delar som bara kan slutföras med hjälp av REST-API:et och Azure CLI.

Konfigurera ett NetApp-konto för att använda en nyckel från ett valv i en annan klientorganisation

  1. Skapa applikationsregistreringen.
    1. Gå till Microsoft Entra-ID i Azure-portalen
    2. Välj Hantera > appregistreringar i det vänstra fönstret.
    3. Välj + Ny registrering.
    4. Ange namnet på programregistreringen och välj sedan Konto i valfri organisationskatalog.
    5. Välj Registrera.
    6. Anteckna ApplicationID/ClientID för programmet.
  2. Skapa en användartilldelad hanterad identitet.
    1. Gå till hanterade identiteter i Azure-portalen.
    2. Välj + Skapa.
    3. Ange resursgruppen, regionen och namnet för den hanterade identiteten.
    4. Välj Granska + skapa.
    5. Notera Azure ResourceId för den användartilldelade hanterade identiteten vid lyckad distribution, som är tillgängligt under Egenskaper. Till exempel: /subscriptions/aaaaaaaa-0000-aaaa-0000-aaaa0000aaaa/resourcegroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityTitle>
  3. Konfigurera den användartilldelade hanterade identiteten som en federerad autentiseringsuppgift i programmet
    1. Gå till Microsoft Entra ID > Appregistreringar > till ditt program.
    2. Välj Certifikat och hemligheter.
    3. Välj Federerade autentiseringsuppgifter.
    4. Välj + Lägg till autentiseringsuppgifter.
    5. Under Scenario med federerade autentiseringsuppgifter väljer du Kundhanterade nycklar.
    6. Välj Välj en hanterad identitet. Välj prenumerationen från panelen. Under Hanterad identitet väljer du Användartilldelad hanterad identitet. I rutan Välj söker du efter den hanterade identitet som du skapade tidigare och väljer sedan Välj längst ned i fönstret.
    7. Under Autentiseringsuppgifter anger du ett namn och en valfri beskrivning för autentiseringsuppgiften. Välj Lägg till.
  4. Skapa en privat slutpunkt till ditt nyckelvalv:
    1. Dela den fullständiga Azure-resource-ID:n för sin Key Vault.
    2. Gå till Privata slutpunkter.
    3. Välj + Skapa.
    4. Välj din prenumeration och resursgrupp och ange ett namn för den privata slutpunkten och välj sedan Nästa > resurs.
    5. På fliken Resurs anger du följande:
      • Under Anslutningsmetod väljer du Anslut till en Azure-resurs efter resurs-ID eller alias.
      • Under Resurs-ID eller alias anger du ResourceID för kundens nyckelvalv.
      • Under målunderresurs anger du "valv". Välj sedan Nästa > virtuella nätverk.
    6. På fliken Virtuellt nätverk väljer du ett virtuellt nätverk och ett undernät för den privata slutpunkten. Slutpunkten måste finnas i samma virtuella nätverk som de volymer som du vill skapa. Undernätet måste vara ett annat undernät än det som delegeras till Microsoft.NetApp/volumes.
    7. Välj Nästa på de närmaste flikarna. Välj slutligen Skapa på den sista fliken.

Auktorisera åtkomst till nyckelvalvet

  1. Installera tjänsteleverantörsprogrammet i kundens hyresgästdomän
    1. Hämta URL:en för administratörsmedgivande från leverantören för deras program för flera klientorganisationer. I vårt exempel skulle URL:en se ut så här: https://login.microsoftonline.com/<tenant1-tenantId>/adminconsent/client_id=<client/application-ID-for-the-cross-tenant-application>. URL:en öppnar en inloggningssida där du uppmanas att ange dina autentiseringsuppgifter. När du har angett dina autentiseringsuppgifter kan ett fel visas som anger att det inte finns någon konfigurerad omdirigerings-URL. Det här är OK.
  2. Ge tjänstleverantörens program åtkomst till nyckelvalvet.
    1. Gå till ditt nyckelvalv. Välj Åtkomstkontroll (IAM) i det vänstra fönstret.
    2. Under Bevilja åtkomst till den här resursen väljer du Lägg till rolltilldelning.
    3. Sök efter och välj sedan Key Vault Crypto User.
    4. Under Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.
    5. Välj Medlemmar. Sök efter programnamnet för det program som du installerade från tjänstleverantören.
    6. Välj Granska + Tilldela.
  3. Acceptera den inkommande privata slutpunktsanslutningen till nyckelvalvet.
    1. Gå till ditt nyckelvalv. Välj Nätverk i det vänstra fönstret.
    2. Under Privata slutpunktsanslutningar väljer du den inkommande privata slutpunkten från leverantörens klientorganisation och väljer sedan Godkänn.
    3. Ange en valfri beskrivning eller acceptera standardvärdet.

Konfigurera NetApp-kontot för att använda dina nycklar

Anmärkning

Att använda kommandot az rest är det enda stödda sättet att konfigurera ditt NetApp-konto för att använda CMK i en annan hyresgäst.

  1. az rest Med kommandot konfigurerar du NetApp-kontot för att använda CMK i en annan klientorganisation:

    az rest --method put --uri "/subscriptions/<subscription Id>/resourceGroups/<resourceGroupName>/providers/Microsoft.NetApp/netAppAccounts/<NetAppAccountName>?api-version=2025-01-01" --body 
'{  \"properties\":
    {    \"encryption\":
        {      \"keySource\": \"Microsoft.KeyVault\",   \"keyVaultProperties\":    
            {\"keyVaultUri\": \"<URI to the key vault>\",   \"keyVaultResourceId\": \"/<full resource ID of the key vault>\", \"keyName\": \"<customer’s key name>\"   },
            \"identity\":
                { \"userAssignedIdentity\": \"<full resource ID of the user-assigned identity>",  \"federatedClientId\": \"<clientId of multi-tenant application>\"
                }
            }
        },
    \"location\": \"southcentralus\",   \"identity\": 
        {\"type\": \"userAssigned\",   \"userAssignedIdentities\": 
            {  \"<full resource ID of the user-assigned identity>\": {
                }
            }
        }
    }'
 --verbose

    När du har skickat az rest kommandot har ditt NetApp-konto konfigurerats med CMK för flera klientorganisationer.

Skapa en volym

Anmärkning

För att skapa en volym med klientgränsöverskridande CMK måste du använda Azure CLI.

  1. Skapa volymen med hjälp av CLI:
az netappfiles volume create -g <resource group name> --account-name <NetApp account name> --pool-name <pool name> --name <volume name> -l southcentralus --service-level premium --usage-threshold 100 --file-path "<file path>" --vnet <virtual network name> --subnet default --network-features Standard --encryption-key-source Microsoft.KeyVault --kv-private-endpoint-id <full resource ID to the private endpoint to the customer's vault> --debug

Nästa steg