Incorporar una clave propia desde un módulo de seguridad de hardware

En este tema se explica cómo puedes usar tu propia clave de módulo de seguridad de hardware (HSM) de Azure Key Vault para el cifrado en reposo en GKE en Azure.

Antes de empezar

Antes de seguir estos pasos, asegúrate de que conoces la arquitectura de seguridad de GKE en Azure.

Para llevar a cabo estos pasos, debes tener lo siguiente:

• Un HSM compatible con Azure

• Un Azure Key Vault con el modelo de permisos de control de acceso basado en roles de Azure.

• Una clave protegida por HSM importada en Azure Key Vault

• Tu entidad de servicio de GKE en Azure con permisos para gestionar la autorización de Azure Key Vault y cifrar datos con la clave proporcionada.

  La forma más sencilla de conceder estos permisos es asignar los roles integrados de Azure Key Vault Crypto Officer y User Access Administrator al principal de servicio.

Incorporación de claves propias

Para usar tu propia clave, sigue estos pasos:

1. Guarda el ID de la clave de Azure Key Vault en una variable de entorno.

   export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
       --resource-group ${RESOURCE_GROUP} --query id -otsv)"
   export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
   

2. Transfiere los IDs de la clave en el parámetro --config-encryption-key-id cuando crees un clúster.

   gcloud container azure clusters create CLUSTER_NAME \
       --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
       ...
   

3. Sigue los pasos que se indican en Crear un clúster.

Siguientes pasos

Consulta Acerca de las claves en la documentación de Azure.