Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Todos os dados armazenados no Azure são criptografados em repouso por padrão com chaves gerenciadas pela Microsoft. Você pode usar o Azure Key Vault para controlar a propriedade das chaves usadas para criptografar seus dados armazenados em um sistema de arquivos do Azure Managed Lustre. Este artigo descreve como usar chaves gerenciadas pelo cliente para criptografia de dados com o Managed Lustre.
A criptografia de host de máquina virtual protege todas as informações nos discos gerenciados em um sistema de arquivos Managed Lustre. Mesmo se você adicionar uma chave gerenciada pelo cliente para discos Managed Lustre para obter um nível extra de segurança em cenários de alta segurança, seus dados serão criptografados. Para obter mais informações, consulte Criptografia do lado do servidor do armazenamento em disco do Azure.
Etapas de visão geral para habilitar a criptografia de chave gerenciada pelo cliente para o Managed Lustre:
- Configure um cofre de chaves para armazenar as chaves.
- Crie uma identidade gerenciada que possa acessar o cofre de chaves.
- Ao criar o sistema de arquivos, escolha a criptografia de chave gerenciada pelo cliente e especifique o cofre de chaves, a chave e a identidade gerenciada a serem usados.
As próximas seções descrevem as etapas com mais detalhes.
Depois de criar o sistema de arquivos, não é possível alternar de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft.
Pré-requisitos
Você pode usar um cofre de chaves e uma chave existentes ou pode criar um novo cofre de chaves e uma nova chave para usar com o Managed Lustre. Consulte as seguintes configurações necessárias para garantir que configure corretamente o seu cofre de chaves e a chave.
Criar um cofre de chaves e uma chave
Configure um cofre de chaves no Azure para armazenar suas chaves de criptografia. Para trabalhar com o Managed Lustre, o cofre de chaves e a chave devem atender aos requisitos descritos nas próximas seções.
Propriedades do cofre da chave
Para usar um cofre de chaves com o Managed Lustre, algumas configurações são necessárias. Você pode configurar outras opções conforme necessário.
Configurações básicas:
- Assinatura: Use a mesma assinatura que utilizas para o cluster do Managed Lustre.
- Região: O cofre de chaves deve estar na mesma região que o cluster do Managed Lustre.
- Nível de preço: o nível Standard é suficiente para usar com o Managed Lustre.
- Exclusão suave: o Managed Lustre permite a exclusão suave se você não configurá-la no cofre de chaves.
- Proteção contra purga: Ativar proteção contra purga.
Configurações de política de acesso:
- Configuração de acesso: defina como controle de acesso baseado em função do Azure (Azure RBAC).
Configurações de rede:
- Acesso Público: Deve estar habilitado.
- Permitir acesso: selecione Todas as redes. Para restringir o acesso, você pode escolher Redes selecionadas. Se você escolher Redes selecionadas, deverá habilitar a opção Permitir que serviços confiáveis da Microsoft ignorem esse firewall na seção Exceção .
Nota
Se você usar um cofre de chaves existente, revise a seção de configurações de rede para verificar se Permitir acesso de está definido como Permitir acesso público de todas as redes. Você também pode fazer outras alterações.
Propriedades chave
- Tipo de chave: RSA
- Tamanho da chave RSA: 2048
- Ativado: Sim
Permissões de acesso ao cofre de chaves:
- O usuário que cria o sistema Managed Lustre deve ter permissões equivalentes à função de colaborador do Cofre de Chaves. Você deve ter as mesmas permissões para configurar e gerenciar o Azure Key Vault. Para obter mais informações, consulte Acesso seguro a um cofre de chaves.
Saiba mais sobre as noções básicas do Azure Key Vault.
Criar uma identidade gerida atribuída pelo utilizador
Para acessar o cofre de chaves, o sistema de arquivos Managed Lustre requer uma identidade gerenciada atribuída pelo usuário.
Uma identidade gerenciada atribuída pelo usuário é uma credencial de identidade autônoma que substitui uma identidade de usuário quando um usuário acessa os serviços do Azure por meio da ID do Microsoft Entra. Como outras identidades de usuário, as identidades gerenciadas podem receber funções e permissões. Saiba mais sobre identidades gerenciadas.
Antes de criar o sistema de ficheiros, é necessário criar essa identidade e conceder à identidade acesso ao cofre de chaves.
Para obter mais informações, consulte Criar uma identidade gerenciada atribuída pelo usuário.
Crie o sistema de arquivos Managed Lustre com chaves de criptografia gerenciadas pelo cliente
Ao criar seu sistema de arquivos Managed Lustre, na guia Chaves de criptografia de disco , em Tipo de chave de criptografia de disco, selecione Gerenciado pelo cliente. Em seguida, outras configurações aparecem em Configurações de chave do cliente e Identidades gerenciadas.
Você pode configurar chaves gerenciadas pelo cliente somente quando criar o sistema de arquivos. Não é possível alterar o tipo de chaves de criptografia usadas para um sistema de arquivos Managed Lustre existente.
Configurações de chave do cliente
Em Configurações da chave do cliente, selecione o link para selecionar o cofre de chaves, a chave e as configurações de versão. Você também pode criar um novo cofre de chaves neste painel. Se criar um novo cofre de chaves, certifique-se de que concede à sua identidade gerida acesso ao cofre de chaves.
Se o cofre de chaves não aparecer na lista, verifique estes requisitos:
- O sistema de arquivos está na mesma assinatura que o cofre de chaves?
- O sistema de arquivos está na mesma região do cofre de chaves?
- Existe conectividade de rede entre o portal do Azure e o cofre da chave?
Depois de selecionar um cofre, selecione uma chave individual a partir das opções disponíveis ou crie uma nova chave. A chave deve ser uma chave RSA de 2.048 bits.
Especifique a versão para a chave selecionada. Para obter mais informações sobre controle de versão, consulte a documentação do Azure Key Vault.
Configurações de identidades gerenciadas
Em Identidades gerenciadas, selecione o link. Em seguida, selecione a identidade que o sistema de arquivos Managed Lustre usa para acesso ao cofre de chaves.
Depois de definir essas configurações de chave de criptografia, selecione a guia Revisar + criar e conclua a criação do sistema de arquivos para implantação.