Produk yang dijelaskan dalam dokumentasi ini, GKE di Azure, kini dalam mode pemeliharaan dan akan dihentikan pada 17 Maret 2027.

Halaman ini diterjemahkan oleh Cloud Translation API.

Membawa kunci Anda sendiri dari modul keamanan hardware

Topik ini menjelaskan cara menggunakan kunci modul keamanan hardware (HSM) Azure Key Vault Anda sendiri untuk enkripsi saat istirahat di GKE di Azure.

Sebelum memulai

Sebelum melakukan langkah-langkah ini, pastikan Anda memahami arsitektur Security GKE di Azure.

Untuk melakukan langkah-langkah ini, Anda harus memiliki hal berikut:

HSM yang didukung Azure
Azure Key Vault dengan model izin Azure role-based access control.
Kunci yang dilindungi HSM yang diimpor ke Azure Key Vault
Principal layanan GKE di Azure Anda dengan izin untuk mengelola otorisasi Azure Key Vault dan mengenkripsi data dengan kunci yang disediakan.

Cara termudah untuk memberikan izin ini adalah dengan menetapkan Key Vault Crypto Officer dan User Access Administrator peran bawaan Azure ke principal layanan.

Membawa kunci Anda sendiri

Untuk menggunakan kunci Anda sendiri, lakukan langkah-langkah berikut:

Simpan ID kunci Azure Key Vault Anda ke dalam variabel lingkungan.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Teruskan ID kunci dalam parameter --config-encryption-key-id saat Anda Membuat cluster.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Lanjutkan langkah-langkah di Membuat cluster.

Langkah berikutnya

Lihat Tentang kunci dalam dokumentasi Azure.