Konfigurieren eines Azure-Schlüsseltresors

Vom Kunden verwaltete Schlüssel (CMK) unterstützen nur Schlüssel aus einem Microsoft Azure Key Vault. Zunächst müssen Sie mit Azure arbeiten, um ein neues Unternehmenskonto zu erstellen, oder Sie müssen ein vorhandenes Unternehmenskonto verwenden und die folgenden Schritte ausführen, um das Key Vault zu erstellen.

IMPORTANT
Es werden nur die Ebenen Standard, Premium und Managed HSM für Azure Key Vault unterstützt. Azure Dedicated HSM und Azure Payments HSM werden nicht unterstützt. Siehe die Azure Dokumentation für weitere Informationen über angebotene Schlüsselverwaltungsdienste.
NOTE
Die folgende Dokumentation behandelt nur die grundlegenden Schritte zum Erstellen des Key Vault. Außerhalb dieser Anleitung sollten Sie den Key Vault gemäß den Richtlinien Ihres Unternehmens konfigurieren.

Melden Sie sich beim Azure-Portal an und suchen Sie mithilfe der Suchleiste unter der Liste der Dienste nach Key vaults.

Die Suchfunktion in Microsoft Azure, wobei Key vaults in den Suchergebnissen hervorgehoben ist.

Die Key vaults-Seite wird angezeigt, nachdem Sie den Dienst ausgewählt haben. Klicken Sie von hier aus auf Create.

Das Dashboard Key vaults in Microsoft Azure mit hervorgehobenem Create Dashboard.

Füllen Sie mithilfe des bereitgestellten Formulars die grundlegenden Details für das Key Vault aus, einschließlich eines Namens und einer zugewiesenen Ressourcengruppe.

WARNING
Die meisten Optionen können als Standardwerte beibehalten werden. Stellen Sie sicher, dass Sie die Schutzoptionen für Soft-Löschen und Bereinigen aktivieren. Wenn Sie diese Funktionen nicht aktivieren, riskieren Sie, den Zugriff auf Ihre Daten zu verlieren, wenn das Key Vault gelöscht wird.
Der Workflow Microsoft Azure Create a Key Vault mit hervorgehobenem Schutz zum weichen Löschen und Löschen.

Fahren Sie von hier aus mit dem Workflow zur Erstellung von Key Vault fort und konfigurieren Sie die verschiedenen Optionen entsprechend den Richtlinien Ihres Unternehmens.

Sobald Sie den Schritt "Review + create"erreicht haben, können Sie die Details des Key Vault überprüfen, während er die Validierung durchläuft. Nachdem die Validierung erfolgreich abgeschlossen wurde, klicken Sie auf Create, um den Prozess abzuschließen.

Die Microsoft Azure Key-Werte Überprüfen und erstellen Sie eine Seite mit hervorgehobenem Erstellen.

Zugriff konfigurieren configure-access

Aktivieren Sie als Nächstes die rollenbasierte Azure-Zugriffskontrolle für Ihren Key Vault. Wählen Sie Access configuration im Abschnitt Settings der linken Navigation und dann Azure role-based access control aus, um die Einstellung zu aktivieren. Dieser Schritt ist unbedingt erforderlich, da die CMK-App später mit einer Azure-Rolle verknüpft werden muss. Das Zuweisen einer Rolle wird sowohl in den Workflows API als auch UI dokumentiert.

Das Microsoft Azure Dashboard mit Access configuration und Azure role-based access control hervorgehoben.

Konfigurieren von Netzwerkoptionen configure-network-options

Wenn Ihr Key Vault so konfiguriert ist, dass der öffentliche Zugriff auf bestimmte virtuelle Netzwerke eingeschränkt oder der öffentliche Zugriff vollständig deaktiviert wird, müssen Sie Microsoft eine Firewall-Ausnahme gewähren.

Wählen Sie Networking in der linken Navigation aus. Markieren Sie unter Firewalls and virtual networks das Kontrollkästchen Allow trusted Microsoft services to bypass this firewall und klicken Sie dann auf Apply.

Die Registerkarte Networking von Microsoft Azure mit der Ausnahme Networking und Allow trusted Microsoft surfaces to bypass this firewall, die hervorgehoben sind.

Generieren eines Schlüssels generate-a-key

Nachdem Sie ein Key Vault erstellt haben, können Sie einen neuen Schlüssel generieren. Navigieren Sie zur Registerkarte Keys und wählen Sie Generate/Import aus.

Die Registerkarte Keys von Azure mit der Markierung Generate import.

Verwenden Sie das bereitgestellte Formular, um einen Namen für den Schlüssel anzugeben, und wählen Sie für den Schlüsseltyp entweder RSA oder RSA-HSM aus. Mindestens der RSA key size muss mindestens 3072 Bit betragen, wie es für Cosmos DB erforderlich ist. Azure Data Lake Storage ist auch mit RSA 3027 kompatibel.

NOTE
Merken Sie sich den Namen, den Sie für den Schlüssel angeben, da der Schlüssel an Adobe gesendet werden muss.

Verwenden Sie die restlichen Steuerelemente, um den Schlüssel zu konfigurieren, den Sie erstellen oder importieren möchten. Wenn Sie fertig sind, wählen Sie Create aus.

Das Dashboard Create a key mit 3072 Bit hervorgehoben.

Der konfigurierte Schlüssel wird in der Liste der Schlüssel für den Tresor angezeigt.

Der Arbeitsbereich Keys mit hervorgehobenem Schlüsselnamen.

Nächste Schritte

Um den einmaligen Prozess zum Einrichten der Funktion für kundenverwaltete Schlüssel fortzusetzen, fahren Sie entweder mit den Handbüchern zur Einrichtung von API oder UI kundenverwalteten Schlüsseln fort.

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5