Cette documentation concerne la version la plus récente de GKE sur Azure, publiée en novembre 2021. Consultez les notes de version pour plus d'informations.

Utiliser votre propre clé à partir d'un module de sécurité matériel

Cet article explique comment utiliser votre propre clé de module de sécurité matériel (HSM) Azure Key Vault pour le chiffrement au repos sur GKE on Azure.

Avant de commencer

Pour effectuer ces étapes, vous devez connaître l'architecture de sécurité de GKE sur Azure.

Pour effectuer ces opérations, vous devez disposer des éléments suivants :

Un HSM compatible avec Azure
Un Key Vault Azure avec le modèle d'autorisation Contrôle des accès basé sur les rôles Azure.
Une clé protégée par un HSM importée dans Azure Key Vault
Votre compte principal de service GKE sur Azure muni des autorisations nécessaires pour gérer l'autorisation Azure Key Vault et chiffrer les données avec la clé fournie.

Le moyen le plus simple d'accorder ces autorisations consiste à attribuer les rôles intégrés Azure Key Vault Crypto Officer et User Access Administrator au compte de service principal.

Utiliser votre propre clé

Pour utiliser votre propre clé, procédez comme suit :

Enregistrez votre ID de clé Azure Key Vault dans une variable d'environnement.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Transmettez les ID de la clé dans le paramètre --config-encryption-key-id lorsque vous créez un cluster.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Passez aux étapes de la section Créer un cluster.

Étapes suivantes

Consultez la section À propos des clés dans la documentation Azure.