Konfigurowanie kluczy zarządzanych przez klienta na potrzeby testowania obciążenia platformy Azure za pomocą usługi Azure Key Vault

Testowanie obciążenia platformy Azure automatycznie szyfruje wszystkie dane przechowywane w zasobie testowania obciążenia przy użyciu kluczy zapewnianych przez firmę Microsoft (kluczy zarządzanych przez usługę). Opcjonalnie możesz dodać drugą warstwę zabezpieczeń, podając również własne (zarządzane przez klienta) klucze. Klucze zarządzane przez klienta zapewniają większą elastyczność kontrolowania dostępu i używania zasad rotacji kluczy.

Podane klucze są bezpiecznie przechowywane przy użyciu usługi Azure Key Vault. Dla każdego zasobu testowania obciążenia platformy Azure można utworzyć oddzielny klucz, który można włączyć za pomocą kluczy zarządzanych przez klienta.

W przypadku korzystania z kluczy szyfrowania zarządzanych przez klienta należy określić tożsamość zarządzaną przypisaną przez użytkownika, aby pobrać klucze z usługi Azure Key Vault.

Usługa Azure Load Testing używa klucza zarządzanego przez klienta do szyfrowania następujących danych w zasobie testowania obciążenia:

• Testowanie plików skryptu i konfiguracji
• Tajemnice
• Zmienne środowiskowe

Wymagania wstępne

• Konto Azure z aktywną subskrypcją. Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

• Istniejąca tożsamość zarządzana przypisana przez użytkownika. Aby uzyskać więcej informacji na temat tworzenia tożsamości zarządzanej przypisanej przez użytkownika, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Ograniczenia

• Klucze zarządzane przez klienta są dostępne tylko dla nowych zasobów testowania obciążenia platformy Azure. Klucz należy skonfigurować podczas tworzenia zasobów.

• Po włączeniu szyfrowania kluczy zarządzanych przez klienta w zasobie nie można go wyłączyć.

• Testowanie obciążenia platformy Azure nie może automatycznie obracać klucza zarządzanego przez klienta w celu użycia najnowszej wersji klucza szyfrowania. Należy zaktualizować identyfikator URI klucza w zasobie po rotacji klucza w usłudze Azure Key Vault.

Konfigurowanie usługi Azure Key Vault

Aby używać kluczy szyfrowania zarządzanych przez klienta z usługą Azure Load Testing, musisz przechowywać klucz w usłudze Azure Key Vault. Możesz użyć istniejącego magazynu kluczy lub utworzyć nowy. Zasób do testowania obciążenia i magazyn kluczy mogą znajdować się w różnych regionach lub w różnych subskrypcjach w ramach tej samej dzierżawy.

Pamiętaj, aby skonfigurować następujące ustawienia magazynu kluczy podczas korzystania z kluczy szyfrowania zarządzanych przez klienta.

Konfigurowanie ustawień sieci magazynu kluczy

Jeśli ograniczysz dostęp do usługi Azure Key Vault przez zaporę lub sieć wirtualną, musisz udzielić dostępu do usługi Azure Load Testing w celu pobierania kluczy zarządzanych przez klienta. Wykonaj następujące kroki, aby udzielić dostępu do zaufanych usług platformy Azure.

Konfigurowanie miękkiego usuwania i ochrony przed usuwaniem ostatecznym

Musisz ustawić właściwości Usuwanie nietrwałe i Ochrona przed czyszczeniem w swoim magazynie kluczy, aby używać kluczy zarządzanych przez klienta w usłudze Azure Load Testing. Domyślnie miękkie usuwanie jest włączone przy tworzeniu nowej przechowalni kluczy i wyłączenie jest niemożliwe. Ochronę przeczyszczania można włączyć w dowolnym momencie. Dowiedz się więcej na temat miękkiego usuwania i ochrony przed usunięciem w usłudze Azure Key Vault.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Dodawanie klucza zarządzanego przez klienta do usługi Azure Key Vault

Następnie umieść klucz w magazynie kluczy. Szyfrowanie testowania obciążenia platformy Azure obsługuje klucze RSA. Aby uzyskać więcej informacji na temat obsługiwanych typów kluczy w usłudze Azure Key Vault, zobacz About keys (Informacje o kluczach).

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Dodaj zasadę dostępu do magazynu kluczy

W przypadku używania kluczy szyfrowania zarządzanych przez klienta należy określić tożsamość zarządzaną przypisaną przez użytkownika. Tożsamość zarządzana przypisana przez użytkownika do uzyskiwania dostępu do kluczy zarządzanych przez klienta w usłudze Azure Key Vault musi mieć odpowiednie uprawnienia dostępu do magazynu kluczy.

1. W portalu Azure przejdź do instancji usługi Azure Key Vault, której planujesz użyć do hostowania kluczy szyfrowania.

2. Wybierz pozycję Zasady dostępu z menu po lewej stronie.

   

3. Wybierz pozycję + Dodaj zasady dostępu.

4. W menu rozwijanym Uprawnienia do klucza wybierz pozycję Pobierz, Odpakuj klucz, i Owiń klucz.

   

5. W Wybierz główny podmiot wybierz pozycję Brak wybranego.

6. Wyszukaj utworzoną wcześniej tożsamość zarządzaną przypisaną przez użytkownika i wybierz ją z listy.

7. Wybierz Wybierz u dołu.

8. Wybierz pozycję Dodaj , aby dodać nowe zasady dostępu.

9. Wybierz pozycję Zapisz w wystąpieniu magazynu kluczy, aby zapisać wszystkie zmiany.

Używanie kluczy zarządzanych przez klienta z usługą Azure Load Testing

Klucze szyfrowania zarządzane przez klienta można skonfigurować tylko podczas tworzenia nowego zasobu testowania obciążenia platformy Azure. Po określeniu szczegółów klucza szyfrowania należy również wybrać tożsamość zarządzaną przypisaną przez użytkownika, aby pobrać klucz z usługi Azure Key Vault.

Aby skonfigurować klucze zarządzane przez klienta dla nowego zasobu testowania obciążenia, wykonaj następujące kroki:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Zmienianie tożsamości zarządzanej na potrzeby pobierania klucza szyfrowania

Możesz zmienić tożsamość zarządzaną dla kluczy zarządzanych przez klienta w istniejącym zasobie do testowania obciążenia w dowolnej chwili.

1. W witrynie Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.

2. Na stronie Ustawienia wybierz pozycję Szyfrowanie.

   Typ szyfrowania przedstawia typ szyfrowania, który został użyty do utworzenia zasobu testowania obciążenia.

3. Jeśli typ szyfrowania to Klucze zarządzane przez klienta, wybierz typ tożsamości, która ma być używana do uwierzytelniania w magazynie kluczy. Opcje obejmują przypisany przez system (domyślnie) lub przypisany przez użytkownika.

   Aby dowiedzieć się więcej o każdym typie tożsamości zarządzanej, zobacz Typy tożsamości zarządzanych.

   • Jeśli wybierzesz Tożsamość zarządzaną przypisaną przez system, to ta tożsamość musi być włączona na zasobie i mieć przyznany dostęp do AKV przed zmianą tożsamości dla kluczy zarządzanych przez klienta.
   • W przypadku wybrania opcji przypisana przez użytkownika, musisz wybrać istniejącą tożsamość przypisaną przez użytkownika, która ma uprawnienia do dostępu do magazynu kluczy. Aby dowiedzieć się, jak utworzyć tożsamość przypisaną przez użytkownika, zobacz Używanie tożsamości zarządzanych na potrzeby testowania obciążenia platformy Azure w wersji zapoznawczej.

4. Zapisz zmiany.

Aktualizowanie klucza szyfrowania zarządzanego przez klienta

W dowolnym momencie możesz zmienić klucz używany na potrzeby szyfrowania usługi Azure Load Testing. Aby zmienić klucz w witrynie Azure Portal, wykonaj następujące kroki:

1. W witrynie Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.

2. Na stronie Ustawienia wybierz pozycję Szyfrowanie. Typ szyfrowania pokazuje szyfrowanie wybrane dla zasobu podczas tworzenia.

3. Jeśli wybrany typ szyfrowania to Klucze zarządzane przez klienta, możesz edytować pole Identyfikator URI klucza przy użyciu nowego identyfikatora URI klucza.

4. Zapisz zmiany.

Obracanie kluczy szyfrowania

Możesz rotować klucz zarządzany przez klienta w platformie Azure Key Vault zgodnie z zasadami zgodności. Aby obrócić klucz:

1. W usłudze Azure Key Vault zaktualizuj wersję klucza lub utwórz nowy klucz.
2. Zaktualizuj klucz szyfrowania zarządzanego przez klienta dla zasobu testowania obciążenia.

Najczęściej zadawane pytania

Czy jest naliczana dodatkowa opłata za włączenie kluczy zarządzanych przez klienta?

Nie, nie ma opłat za włączenie tej funkcji.

Czy klucze zarządzane przez klienta są obsługiwane dla istniejących zasobów testowania obciążenia platformy Azure?

Ta funkcja jest obecnie dostępna tylko dla nowych zasobów testowania obciążenia platformy Azure.

Jak sprawdzić, czy klucze zarządzane przez klienta są włączone w zasobie testowania obciążenia platformy Azure?

1. W witrynie Azure Portal przejdź do zasobu testowania obciążenia platformy Azure.
2. Przejdź do elementu Szyfrowanie na pasku nawigacyjnym po lewej stronie.
3. Typ szyfrowania można sprawdzić na swoim zasobie.

Jak mogę odwołać klucz szyfrowania?

Klucz można odwołać, wyłączając najnowszą wersję klucza w usłudze Azure Key Vault. Alternatywnie, aby unieważnić wszystkie klucze z instancji magazynu kluczy, można usunąć politykę dostępu przyznaną tożsamości zarządzanej zasobu testowania obciążenia.

Po odwołaniu klucza szyfrowania może być możliwe uruchomienie testów przez około 10 minut, po którym jedyną dostępną operacją jest usunięcie zasobu. Zaleca się obracanie klucza zamiast odwołowywania go w celu zarządzania zabezpieczeniami zasobów i przechowywania danych.

Treści powiązane

• Dowiedz się, jak monitorować metryki aplikacji po stronie serwera.
• Dowiedz się, jak sparametryzować test obciążeniowy za pomocą tajnych wpisów i zmiennych środowiskowych.