Questa documentazione si riferisce alla versione più recente di GKE su Azure, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione BYOK da un modulo di sicurezza hardware

Questo argomento spiega come utilizzare la chiave del modulo di sicurezza hardware (HSM) di Azure Key Vault per la crittografia at-rest su GKE su Azure.

Prima di iniziare

Per eseguire questi passaggi, dovresti conoscere l'architettura di sicurezza di GKE su Azure.

Per eseguire questi passaggi, devi avere quanto segue:

Un HSM supportato da Azure
Un Azure Key Vault con il modello di autorizzazione Controllo degli accessi basato sui ruoli di Azure.
Una chiave protetta da HSM importata in Azure Key Vault
L'entità di servizio GKE su Azure con le autorizzazioni necessarie per gestire l'autorizzazione di Azure Key Vault e criptare i dati con la chiave fornita.

Il modo più semplice per concedere queste autorizzazioni è assegnare i ruoli integrati di Azure Key Vault Crypto Officer e User Access Administrator all'entità servizio.

Porta la tua chiave

Per utilizzare la tua chiave, segui questi passaggi:

Salva l'ID chiave di Azure Key Vault in una variabile di ambiente.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Passa gli ID della chiave nel parametro --config-encryption-key-id quando crei un cluster.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Continua con i passaggi descritti in Creare un cluster.

Passaggi successivi

Vedi Informazioni sulle chiavi nella documentazione di Azure.