Traiga su propia llave de un módulo de seguridad de hardware
Este tema explica cómo puede usar su propia clave de módulo de seguridad de hardware (HSM) de Azure Key Vault para el cifrado en reposo en GKE en Azure.
Antes de empezar
Antes de realizar estos pasos, asegúrese de estar familiarizado con la arquitectura de seguridad de GKE en Azure.
Para realizar estos pasos, debes contar con lo siguiente:
Un Azure Key Vault con el modelo de permisos de control de acceso basado en roles de Azure .
Su entidad de servicio de GKE en Azure con permisos para administrar la autorización de Azure Key Vault y cifrar datos con la clave proporcionada.
La forma más sencilla de otorgar estos permisos es asignar los roles integrados de Azure de
Key Vault Crypto OfficeryUser Access Administratora la entidad de servicio.
Trae tu propia llave
Para traer su propia llave, realice los siguientes pasos:
Guarde su identificador de clave de Azure Key Vault en una variable de entorno.
export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \ --resource-group ${RESOURCE_GROUP} --query id -otsv)" export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"Pase los ID de la clave en el parámetro
--config-encryption-key-idcuando cree un clúster .gcloud container azure clusters create CLUSTER_NAME \ --config-encryption-key-id ${KEY_VAULT_KEY_ID} \ ...Continúe con los pasos en Crear un clúster .
¿Qué sigue?
Consulte Acerca de las claves en la documentación de Azure.