從硬體安全性模組自備金鑰
本主題說明如何在 GKE on Azure 上,使用自己的 Azure Key Vault 硬體安全模組 (HSM) 金鑰進行待機加密。
事前準備
執行這些步驟前,請務必先熟悉 GKE on Azure 的安全性架構。
如要執行這些步驟,您必須具備下列條件:
具有Azure 角色型存取控制權限模型的 Azure Key Vault。
您的 GKE on Azure 服務主體,具備管理 Azure Key Vault 授權的權限,並可使用提供的金鑰加密資料。
如要授予這些權限,最簡單的方法是將
Key Vault Crypto Officer
和User Access Administrator
Azure 內建角色指派給服務主體。
自備金鑰
如要自備金鑰,請按照下列步驟操作:
將 Azure Key Vault 金鑰 ID 儲存至環境變數。
export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \ --resource-group ${RESOURCE_GROUP} --query id -otsv)" export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
建立叢集時,請在
--config-encryption-key-id
參數中傳遞金鑰的 ID。gcloud container azure clusters create CLUSTER_NAME \ --config-encryption-key-id ${KEY_VAULT_KEY_ID} \ ...
繼續按照「建立叢集」一文中的步驟操作。
後續步驟
請參閱 Azure 說明文件中的「關於金鑰」。