Azure Data Explorer crittografa tutti i dati in un account di archiviazione a riposo. Per impostazione predefinita, usa chiavi gestite da Microsoft per la crittografia. Se si vuole un maggiore controllo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente per la crittografia dei dati.
È necessario archiviare le chiavi gestite dal cliente in un Azure Key Vault. È possibile creare le proprie chiavi e archiviarle in un vault delle chiavi oppure utilizzare un'API di Azure Key Vault per generare le chiavi. Il cluster di Azure Data Explorer e l'insieme di credenziali devono trovarsi nella stessa area, ma possono trovarsi in sottoscrizioni diverse. Per una spiegazione dettagliata delle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente con Azure Key Vault.
Questo articolo illustra come configurare le chiavi gestite dal cliente.
Per esempi di codice basati sulle versioni precedenti dell'SDK, vedere l'articolo archiviato.
Per configurare le chiavi gestite dal cliente con Azure Data Explorer, è necessario impostare due proprietà nell'Azure Key Vault: Eliminazione temporanea e Non eliminare definitivamente. Queste proprietà non sono abilitate per impostazione predefinita. Per abilitare queste proprietà, eseguire Abilitazione eliminazione temporanea e Abilitazione protezione dall'eliminazione definitiva in PowerShell o Azure CLI su un key vault nuovo o esistente. Esplora dati di Azure supporta RSA e chiavi di RSA-HSM di dimensioni 2048, 3072 e 4096. Per usare le chiavi RSA-HSM, usare i metodi C#, Azure CLI, PowerShell o modello ARM descritti in questo articolo. Per altre informazioni sulle chiavi, vedere Chiavi di Key Vault.
Annotazioni
Per informazioni sulle limitazioni dell'uso delle chiavi gestite dal cliente nei cluster leader e follower, vedere Limitazioni.
Assegnare un'identità gestita al cluster
Per abilitare le chiavi gestite dal cliente per il cluster, assegnare innanzitutto un'identità gestita assegnata dal sistema o assegnata dall'utente al cluster. Usa questa identità gestita per concedere al cluster i permessi per accedere al key vault. Per configurare le identità gestite, vedere Identità gestite.
Abilitare la crittografia usando chiavi gestite dal cliente
La procedura seguente illustra come abilitare la crittografia delle chiavi gestite dal cliente usando il portale di Azure. Per impostazione predefinita, la crittografia di Esplora dati di Azure usa chiavi gestite da Microsoft. Configurare il cluster di Esplora dati di Azure per usare le chiavi gestite dal cliente e specificare la chiave da associare al cluster.
Nel portale di Azure, vai alla risorsa Azure Data Explorer cluster.
Selezionare Impostazioni>Crittografia nel riquadro sinistro del portale.
Nel riquadro Crittografia selezionare Sì per l'impostazione Chiave gestita dal cliente .
Selezionare Seleziona chiave.
Nella finestra Seleziona chiave da Azure Key Vault, selezionare un Key Vault esistente dall'elenco a discesa. Se si seleziona Crea nuovo per creare un nuovo insieme di credenziali delle chiavi, si verrà indirizzati alla schermata Crea insieme di credenziali delle chiavi .
Selezionare Chiave.
Versione:
- Per assicurarsi che questa chiave usi sempre la versione della chiave più recente, selezionare la casella di controllo Usa sempre la versione della chiave corrente .
- In caso contrario, selezionare Versione.
Seleziona Seleziona.
In Tipo di identità selezionare Assegnata dal sistema o Assegnata dall'utente.
Se si seleziona Assegnato dall'utente, scegliere un'identità assegnata dall'utente dall'elenco a discesa.
Nel riquadro Crittografia che ora contiene la chiave selezionare Salva. Quando la creazione del CMK ha esito positivo, viene visualizzato un messaggio di successo in Notifiche.
Se si seleziona l'identità assegnata dal sistema quando si abilitano le chiavi gestite dal cliente per il cluster di Esplora dati di Azure, si crea un'identità assegnata dal sistema per il cluster, se non ne esiste una. Inoltre, fornisci le autorizzazioni get, wrapKey e unwrapKey necessarie al tuo cluster di Azure Data Explorer nel Key Vault selezionato e ottieni le proprietà del Key Vault.
Annotazioni
Selezionare Disattiva per rimuovere la chiave gestita dal cliente dopo che è stata creata.
Le sezioni seguenti illustrano come configurare la crittografia delle chiavi gestite dal cliente usando il client C# di Esplora dati di Azure.
Installare i pacchetti
Authentication
Per eseguire gli esempi in questo articolo, creare un'applicazione Microsoft Entra e un'entità servizio principale che possano accedere alle risorse. È possibile aggiungere un'assegnazione di ruolo nell'ambito della sottoscrizione e ottenere i necessari Microsoft Entra Directory (tenant) ID, Application ID e Application Secret.
Il frammento di codice seguente illustra come usare Microsoft Authentication Library (MSAL) per acquisire un token dell'applicazione Microsoft Entra per accedere al cluster. Affinché il flusso abbia esito positivo, l'applicazione deve essere registrata con Microsoft Entra ID ed è necessario disporre delle credenziali per l'autenticazione dell'applicazione, ad esempio una chiave dell'applicazione rilasciata dall'ID Microsoft Entra o un certificato X.509v2 registrato da Microsoft Entra.
Per impostazione predefinita, la crittografia di Esplora dati di Azure usa chiavi gestite da Microsoft. Configurare il cluster di Esplora dati di Azure per usare le chiavi gestite dal cliente e specificare la chiave da associare al cluster.
Aggiornare il cluster usando il codice seguente:
var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
var clientSecret = "PlaceholderClientSecret"; // Application secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
var credentials = new ClientSecretCredential(tenantId, clientId, clientSecret);
var resourceManagementClient = new ArmClient(credentials, subscriptionId);
var resourceGroupName = "testrg";
var clusterName = "mykustocluster";
var subscription = await resourceManagementClient.GetDefaultSubscriptionAsync();
var resourceGroup = (await subscription.GetResourceGroupAsync(resourceGroupName)).Value;
var clusters = resourceGroup.GetKustoClusters();
var cluster = (await clusters.GetAsync(clusterName)).Value;
var clusterPatch = new KustoClusterPatch(cluster.Data.Location)
{
KeyVaultProperties = new KustoKeyVaultProperties
{
KeyName = "<keyName>",
KeyVersion = "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
KeyVaultUri = new Uri("https://<keyVaultName>.vault.azure.net/"),
UserIdentity = "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
}
};
await cluster.UpdateAsync(WaitUntil.Completed, clusterPatch);
Eseguire il comando seguente per verificare se il cluster è stato aggiornato correttamente:
var clusterData = (await resourceGroup.GetKustoClusterAsync(clusterName)).Value.Data;
Se il risultato contiene ProvisioningState con il Succeeded valore , il cluster è stato aggiornato correttamente.
La procedura seguente illustra come abilitare la crittografia delle chiavi gestite dal cliente usando l'interfaccia della riga di comando di Azure. Per impostazione predefinita, la crittografia di Esplora dati di Azure usa chiavi gestite da Microsoft. Configurare il cluster di Esplora dati di Azure per usare le chiavi gestite dal cliente e specificare la chiave da associare al cluster.
Eseguire questo comando per accedere ad Azure:
az login
Impostare la sottoscrizione in cui è registrato il cluster. Sostituire MyAzureSub con il nome della sottoscrizione di Azure che si vuole usare.
az account set --subscription MyAzureSub
Eseguire il comando seguente per impostare la nuova chiave con l'identità assegnata dal sistema del cluster:
az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
In alternativa, impostare la nuova chiave usando un'identità assegnata dall'utente:
az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
Eseguire il comando seguente e controllare la keyVaultProperties proprietà per verificare che il cluster sia stato aggiornato correttamente.
az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
La procedura seguente illustra come abilitare la crittografia delle chiavi gestite dal cliente usando PowerShell. Per impostazione predefinita, la crittografia di Esplora dati di Azure usa chiavi gestite da Microsoft. Configurare il cluster di Esplora dati di Azure per usare le chiavi gestite dal cliente e specificare la chiave da associare al cluster.
Eseguire questo comando per accedere ad Azure:
Connect-AzAccount
Impostare la sottoscrizione in cui è registrato il cluster.
Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Eseguire il comando seguente per impostare la nuova chiave usando un'identità assegnata dal sistema.
Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
In alternativa, impostare la nuova chiave usando un'identità assegnata dall'utente.
Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
Eseguire il comando seguente e controllare le KeyVaultProperty... proprietà per verificare che il cluster sia stato aggiornato correttamente.
Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
I passaggi seguenti illustrano come configurare le chiavi gestite dal cliente usando i modelli di Azure Resource Manager. Per impostazione predefinita, la crittografia di Esplora dati di Azure usa chiavi gestite da Microsoft. In questo passaggio configurare il cluster di Esplora dati di Azure per usare le chiavi gestite dal cliente e specificare la chiave da associare al cluster.
Se si vuole usare un'identità assegnata dal sistema per accedere al Key Vault, lasciarlo userIdentity vuoto. In caso contrario, impostare l'ID risorsa dell'identità.
È possibile distribuire il modello di Azure Resource Manager usando il portale di Azure o PowerShell.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"clusterName": {
"type": "string",
"defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
"metadata": {
"description": "Name of the cluster to create"
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
}
},
"variables": {},
"resources": [
{
"name": "[parameters('clusterName')]",
"type": "Microsoft.Kusto/clusters",
"sku": {
"name": "Standard_E8ads_v5",
"tier": "Standard",
"capacity": 2
},
"apiVersion": "2019-09-07",
"location": "[parameters('location')]",
"properties": {
"keyVaultProperties": {
"keyVaultUri": "<keyVaultUri>",
"keyName": "<keyName>",
"keyVersion": "<keyVersion>",
"userIdentity": "<userIdentity>"
}
}
}
]
}
Aggiornare la versione della chiave
Quando si crea una nuova versione di una chiave, è necessario aggiornare il cluster per usare la nuova versione. Prima di tutto, chiamare Get-AzKeyVaultKey per ottenere la versione più recente della chiave. Aggiornare quindi le proprietà dell'insieme di credenziali delle chiavi del cluster per usare la nuova versione della chiave, come illustrato in Abilitare la crittografia usando chiavi gestite dal cliente.
Contenuti correlati