O produto descrito nesta documentação, GKE no Azure, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Traga sua própria chave de um módulo de segurança de hardware

Este tópico explica como você pode usar sua própria chave de módulo de segurança de hardware (HSM) do Azure Key Vault para criptografia em repouso no GKE no Azure.

Antes de começar

Antes de executar essas etapas, verifique se você está familiarizado com a arquitetura de segurança do GKE no Azure.

Para executar essas etapas, você deve ter o seguinte:

Um HSM com suporte do Azure
Um Azure Key Vault com o modelo de permissão de controle de acesso baseado em função do Azure .
Uma chave protegida por HSM importada para o Azure Key Vault
Sua entidade de serviço do GKE no Azure com permissões para gerenciar a autorização do Azure Key Vault e criptografar dados com a chave fornecida.
A maneira mais fácil de conceder essas permissões é atribuir as funções integradas do Azure de Key Vault Crypto Officer e User Access Administrator à entidade de serviço.

Traga sua própria chave

Para trazer sua própria chave, siga os seguintes passos:

Salve sua ID de chave do Azure Key Vault em uma variável de ambiente.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Passe os IDs da chave no parâmetro --config-encryption-key-id ao criar um cluster .

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Continue com as etapas em Criar um cluster .

O que vem a seguir

Consulte Sobre chaves na documentação do Azure.