Configurazione BYOK da un modulo di sicurezza hardware

Questo argomento spiega come utilizzare la tua chiave del modulo di sicurezza hardware (HSM) di Azure Key Vault per la crittografia a riposo su GKE su Azure.

Prima di iniziare

Prima di eseguire questi passaggi, assicurati di conoscere l'architettura di sicurezza di GKE su Azure.

Per eseguire questi passaggi, devi disporre di quanto segue:

• Un HSM supportato da Azure

• Un'istanza di Azure Key Vault con il modello di autorizzazione del controllo dell'accesso basato su ruoli di Azure.

• Una chiave protetta da HSM importata in Azure Key Vault

• L'entità servizio GKE on Azure con le autorizzazioni per gestire l'autorizzazione di Azure Key Vault e criptare i dati con la chiave fornita.

  Il modo più semplice per concedere queste autorizzazioni è assegnare i ruoli predefiniti di Azure Key Vault Crypto Officer e User Access Administrator al principale del servizio.

Porta la tua chiave

Per portare la tua chiave, svolgi i seguenti passaggi:

1. Salva l'ID chiave di Azure Key Vault in una variabile di ambiente.

   export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
       --resource-group ${RESOURCE_GROUP} --query id -otsv)"
   export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
   

2. Passa gli ID della chiave nel parametro --config-encryption-key-id quando crei un cluster.

   gcloud container azure clusters create CLUSTER_NAME \
       --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
       ...
   

3. Procedi con i passaggi descritti in Creare un cluster.

Passaggi successivi

Consulta la sezione Informazioni sulle chiavi nella documentazione di Azure.