Usa tu propia llave desde un módulo de seguridad de hardware
En este tema, se explica cómo puedes usar tu propia clave del módulo de seguridad de hardware (HSM) de la bóveda de clave de Azure para la encriptación en reposo en GKE en Azure.
Antes de comenzar
Para realizar estos pasos, debes estar familiarizado con la arquitectura de seguridad de GKE en Azure.
Para seguir estos pasos, debes tener lo siguiente:
Azure Key Vault con el modelo de permisos de control de acceso basado en funciones de Azure
El servicio principal de GKE on Azure con permisos para administrar la autorización de la bóveda de clave de Azure y encriptar datos con la clave proporcionada
La forma más fácil de otorgar estos permisos es asignar los roles integrados de Azure
Key Vault Crypto Officer
yUser Access Administrator
a la cuenta principal del servicio.
Usa tu propia clave
Para usar tu propia clave, sigue estos pasos:
Guarda el ID de la clave de Azure Key Vault en una variable de entorno.
export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \ --resource-group ${RESOURCE_GROUP} --query id -otsv)" export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
Pasa los ID de la clave en el parámetro
--config-encryption-key-id
cuando crees un clúster.gcloud container azure clusters create CLUSTER_NAME \ --config-encryption-key-id ${KEY_VAULT_KEY_ID} \ ...
Continúa con los pasos en Crea un clúster.
¿Qué sigue?
Consulta Acerca de las claves en la documentación de Azure.