Configurazione BYOK da un modulo di sicurezza hardware

Questo argomento spiega come utilizzare la tua chiave del modulo di sicurezza hardware (HSM) di Azure Key Vault per la crittografia a riposo su GKE su Azure.

Prima di iniziare

Prima di eseguire questi passaggi, assicurati di conoscere l'architettura di sicurezza di GKE su Azure.

Per eseguire questi passaggi, devi disporre di quanto segue:

• Un HSM supportato da Azure

• Un Azure Key Vault con il modello di autorizzazioni controllo degli accessi basato su ruoli di Azure.

• Una chiave protetta da HSM importata in Azure Key Vault

• La tua entità servizio GKE su Azure con autorizzazioni per gestire l'autorizzazione Azure Key Vault e criptare i dati con la chiave fornita.

  Il modo più semplice per concedere queste autorizzazioni è assegnare i Key Vault Crypto Officer e User Access Administrator ruoli predefiniti di Azure all'entità servizio.

Bring Your Own Key

Per utilizzare la tua chiave, segui questi passaggi:

1. Salva l'ID chiave di Azure Key Vault in una variabile di ambiente.

   export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
       --resource-group ${RESOURCE_GROUP} --query id -otsv)"
   export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
   

2. Trasferisci gli ID della chiave nel parametro --config-encryption-key-id quando crei un cluster.

   gcloud container azure clusters create CLUSTER_NAME \
       --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
       ...
   

3. Continua con i passaggi descritti in Creare un cluster.

Passaggi successivi

Consulta la sezione Informazioni sulle chiavi nella documentazione di Azure.