Use a sua própria chave de um módulo de segurança de hardware
Este tópico explica como pode usar a sua própria chave do módulo de segurança de hardware (HSM) do Azure Key Vault para a encriptação em repouso no GKE no Azure.
Antes de começar
Antes de realizar estes passos, certifique-se de que conhece a arquitetura de segurança do GKE no Azure.
Para realizar estes passos, tem de ter o seguinte:
Um Azure Key Vault com o modelo de autorizações de controlo de acesso baseado em funções do Azure.
Uma chave protegida por HSM importada para o Azure Key Vault
O seu principal de serviço do GKE no Azure com permissões para gerir a autorização do Azure Key Vault e encriptar dados com a chave fornecida.
A forma mais fácil de conceder estas autorizações é atribuir as
Key Vault Crypto OfficereUser Access Administratorfunções incorporadas do Azure ao principal de serviço.
Inclua a sua própria chave
Para usar a sua própria chave, siga estes passos:
Guarde o ID da chave do Azure Key Vault numa variável de ambiente.
export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \ --resource-group ${RESOURCE_GROUP} --query id -otsv)" export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"Transmita os IDs da chave no parâmetro
--config-encryption-key-idquando criar um cluster.gcloud container azure clusters create CLUSTER_NAME \ --config-encryption-key-id ${KEY_VAULT_KEY_ID} \ ...Continue com os passos em Crie um cluster.
O que se segue?
Consulte o artigo Acerca das chaves na documentação do Azure.