Das in dieser Dokumentation beschriebene Produkt GKE on Azure befindet sich jetzt im Wartungsmodus und wird am 17. März 2027 eingestellt.

Diese Seite wurde von der Cloud Translation API übersetzt.

Eigenen Schlüssel aus einem Hardware-Sicherheitsmodul verwenden

In diesem Thema wird erläutert, wie Sie Ihren eigenen Azure Key Vault HSM-Schlüssel (Azure Key Vault Hardwaresicherheitsmodul-Schlüssel) für die Verschlüsselung ruhender Daten in GKE on Azure verwenden können.

Hinweise

Machen Sie sich vor diesen Schritten mit der Sicherheitsarchitektur von GKE in Azure vertraut.

Für Durchführen dieser Schritte ist Folgendes erforderlich:

Ein von Azure unterstütztes HSM
Ein Azure Key Vault mit dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung von Azure
Ein HSM-geschützter Schlüssel, der in Azure Key Vault importiert wurde
Ihr Diensthauptkonto für GKE on Azure mit Berechtigungen zum Verwalten der Azure Key Vault-Autorisierung und zum Verschlüsseln von Daten mit dem bereitgestellten Schlüssel

Am einfachsten erteilen Sie diese Berechtigungen, indem Sie dem Diensthauptkonto die integrierten Azure-Rollen Key Vault Crypto Officer und User Access Administrator zuweisen.

Eigenen Schlüssel nutzen

Führen Sie folgende Schritte aus, um Ihren eigenen Schlüssel zu verwenden:

Speichern Sie die Azure Key Vault-Schlüssel-ID in einer Umgebungsvariablen.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Übergeben Sie die IDs des Schlüssels im Parameter --config-encryption-key-id, wenn Sie einen Cluster erstellen.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Fahren Sie mit den Schritten unter Cluster erstellen fort.

Nächste Schritte

Weitere Informationen finden Sie in der Azure-Dokumentation unter Informationen zu Schlüsseln.