你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Data Manager for Energy 中的数据安全和加密

  • 项目

本文概述了 Azure Data Manager for Energy 中的安全功能。 本文涵盖了静态加密、传输中加密、TLS、HTTPS、Microsoft 管理的密钥和客户管理的密钥等主要领域。

静态数据加密

Azure Data Manager for Energy 使用多个存储资源来存储元数据、用户数据、内存中数据等。平台使用服务端加密在将数据保存到云中时自动加密所有数据。 静态数据加密可保护数据,并帮助你履行组织的安全性和合规性承诺。 默认情况下,Azure Data Manager for Energy 中的所有数据都使用 Microsoft 管理的密钥进行加密。 除了 Microsoft 管理的密钥外,还可以使用自己的加密密钥来保护 Azure Data Manager for Energy 中的数据。 指定客户托管密钥时,该密钥用于保护和控制对数据加密的 Microsoft 托管密钥的访问。

加密传输中的数据

Azure Data Manager for Energy 支持传输层安全性 (TLS 1.2) 协议,以便在云服务和客户之间传输数据时保护数据。 TLS 进行严格的身份验证,消息隐私性和完整性强(允许检测消息篡改、拦截和伪造),具有良好的互操作性,算法灵活。

除了 TLS 之外,与 Azure Data Manager for Energy 交互时,所有事务都通过 HTTPS 进行。

为 Azure Data Manager for Energy 实例 (CMK) 设置客户管理的密钥

重要

创建 Azure Data Manager for Energy 实例后,无法编辑 CMK 设置。

先决条件

步骤 1:配置密钥保管库

  1. 你可以使用新的或现有的密钥保管库来存储客户管理的密钥。 若要了解有关 Azure Key Vault 的详细信息,请参阅 Azure Key Vault 概述什么是 Azure Key Vault?

  2. 将客户管理的密钥与 Azure Data Manager for Energy 配合使用需要为密钥保管库启用软删除和清除保护。 创建新密钥保管库时,默认会启用软删除,并且无法禁用。 你可以在创建密钥保管库时或创建后启用清除保护。

  3. 若要了解如何使用 Azure 门户创建密钥保管库,请参阅快速入门:使用 Azure 门户创建密钥保管库。 创建密钥库时,请选择“启用清除保护”。

    创建密钥库时启用清除保护和软删除的屏幕截图

  4. 若要在现有密钥保管库上启用清除保护,请执行以下步骤:

    1. 在 Azure 门户中导航到密钥保管库。
    2. 在“设置”下面,选择“属性”。
    3. 在“清除保护”部分,选择“启用清除保护”。

步骤 2:添加密钥

  1. 接下来,在密钥保管库中添加密钥。
  2. 若要了解如何使用 Azure 门户添加密钥,请参阅快速入门:使用 Azure 门户在 Azure Key Vault 中设置和检索密钥中的说明创建密钥保管库。
  3. 建议 RSA 密钥大小为 3072,请参阅为 Azure Cosmos DB 帐户配置客户管理的密钥 | Microsoft Learn

步骤 3:选择托管标识以授权访问密钥保管库

  1. 为现有的 Azure Data Manager for Energy 实例启用客户管理的密钥时,必须指定一个托管标识,该标识将用于授权访问包含密钥的密钥保管库。 托管标识必须有权访问密钥保管库中的密钥。
  2. 可以创建一个用户分配的托管标识

为现有帐户配置客户管理的密钥

  1. 创建 Azure Data Manager for Energy 实例。
  2. 选择“加密”选项卡。

创建 Azure Data Manager for Energy 时“加密”选项卡的屏幕截图。

  1. 在“加密”选项卡中,选择“客户管理的密钥 (CMK)”。

  2. 要使用 CMK,你需要选择存储了密钥的密钥库。

  3. 对于“加密密钥”,选择“选择密钥保管库和密钥”。

  4. 然后,选中“选择密钥保管库和密钥”。

  5. 接下来,选择密钥保管库和密钥。

    显示选择“选择密钥保管库和密钥”后打开的右窗格中选择订阅、密钥保管库和密钥的屏幕截图

  6. 接下来,选择用户分配的托管标识,此标识将用于授予对密钥保管库(其中包含此密钥)的访问权限。

  7. 选中“选择用户标识”。 选择在先决条件中创建的用户分配的托管标识。

“加密”选项卡上密钥保管库、密钥、用户分配标识和 CMK 的屏幕截图

  1. 此用户分配的标识必须在密钥库上具有“获取密钥”、“列出密钥”、“包装密钥”和“展开密钥”权限。 有关分配 Azure 密钥保管库访问策略的详细信息,请参阅分配密钥保管库访问策略

    获取、列出、打包和上包密钥访问策略的屏幕截图

  2. 对于“加密密钥”,也可以选择“通过 URI 输入密钥”。 密钥必须启用软删除和清除保护。 必须通过选中下面所示的框来确认这一点。

    用于加密的密钥保管库 URI 的屏幕截图

  3. 接下来,在完成其他选项卡后,选择“查看+创建”。

  4. 选择“创建”按钮。

  5. Azure Data Manager for Energy 实例是使用客户管理的密钥创建的。

  6. 启用 CMK 后,你将在“概览”屏幕上看到其状态。

    Azure Data Manager for Energy 概述页上启用 CMK 的屏幕截图。

  7. 可以导航到“加密”,查看启用了用户托管标识的 CMK。

    安装 Azure Data Manager for Energy 实例后禁用 CMK 设置的屏幕截图。

后续步骤

了解有关专用链接的详细信息。

如何设置专用链接