Esta documentação é referente à versão mais recente do GKE no Azure, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Traga sua própria chave de um módulo de segurança de hardware

Neste tópico, explicamos como usar sua própria chave de módulo de segurança de hardware (HSM) do Azure Key Vault para criptografia em repouso no GKE no Azure.

Antes de começar

Para seguir essas etapas, você precisa se familiarizar com a arquitetura de segurança do GKE no Azure.

Para executar essas etapas, você precisa ter o seguinte:

Um HSM compatível com o Azure
Um Azure Key Vault com o modelo de permissão de controle de acesso baseado em papéis do Azure.
Uma chave protegida por HSM importada para o Azure Key Vault
O principal de serviço do GKE no Azure com permissões para gerenciar a autorização do Azure Key Vault e criptografar dados com a chave fornecida.

A maneira mais fácil de conceder essas permissões é atribuir os papéis integrados do Azure Key Vault Crypto Officer e User Access Administrator ao principal de serviços.

Traga sua própria chave

Para usar sua própria chave, siga estas etapas:

Salve o ID da chave do Azure Key Vault em uma variável de ambiente.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Transmita os IDs da chave no parâmetro --config-encryption-key-id ao criar um cluster.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Continue com as etapas em Criar um cluster.

A seguir

Consulte Sobre chaves na documentação do Azure.