Dokumentasi ini ditujukan untuk GKE versi terbaru di Azure, yang dirilis pada November 2021. Lihat Catatan rilis untuk mengetahui informasi selengkapnya.

Bawa kunci Anda sendiri dari modul keamanan hardware

Topik ini menjelaskan cara menggunakan kunci modul keamanan hardware (HSM) Azure Key Vault Anda sendiri untuk enkripsi nonaktif di GKE di Azure.

Sebelum memulai

Untuk melakukan langkah-langkah ini, Anda harus memahami arsitektur Keamanan GKE di Azure.

Untuk melakukan langkah-langkah ini, Anda harus memiliki hal berikut:

HSM yang didukung Azure
Azure Key Vault dengan model izin kontrol akses berbasis peran Azure.
Kunci yang dilindungi HSM yang diimpor ke Azure Key Vault
GKE Anda di akun utama Azure dengan izin untuk mengelola otorisasi Azure Key Vault dan mengenkripsi data dengan kunci yang disediakan.

Cara termudah untuk memberikan izin ini adalah dengan menetapkan peran bawaan Azure Key Vault Crypto Officer dan User Access Administrator ke akun utama layanan.

Bawa kunci Anda sendiri

Untuk menggunakan kunci Anda sendiri, lakukan langkah-langkah berikut:

Simpan ID kunci Azure Key Vault Anda ke dalam variabel lingkungan.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Teruskan ID kunci dalam parameter --config-encryption-key-id saat Anda Membuat cluster.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Lanjutkan dengan langkah-langkah di Membuat cluster.

Langkah selanjutnya

Lihat Tentang kunci di dokumentasi Azure.