從硬體安全性模組自備金鑰

本主題說明如何在 GKE on Azure 上，使用自己的 Azure Key Vault 硬體安全模組 (HSM) 金鑰進行待機加密。

事前準備

執行這些步驟前，請務必先熟悉 GKE on Azure 的安全性架構。

如要執行這些步驟，您必須具備下列條件：

• Azure 支援的 HSM

• 具有Azure 角色型存取控制權限模型的 Azure Key Vault。

• 匯入 Azure Key Vault 的 HSM 保護金鑰

• 您的 GKE on Azure 服務主體，具備管理 Azure Key Vault 授權的權限，並可使用提供的金鑰加密資料。

  如要授予這些權限，最簡單的方法是將 Key Vault Crypto Officer 和 User Access Administrator Azure 內建角色指派給服務主體。

自備金鑰

如要自備金鑰，請按照下列步驟操作：

1. 將 Azure Key Vault 金鑰 ID 儲存至環境變數。

   export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
       --resource-group ${RESOURCE_GROUP} --query id -otsv)"
   export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
   

2. 建立叢集時，請在 --config-encryption-key-id 參數中傳遞金鑰的 ID。

   gcloud container azure clusters create CLUSTER_NAME \
       --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
       ...
   

3. 繼續按照「建立叢集」一文中的步驟操作。

後續步驟

請參閱 Azure 說明文件中的「關於金鑰」。