Konfigurieren eines Azure-Schlüsseltresors
Vom Kunden verwaltete Schlüssel (CMK) unterstützen nur Schlüssel aus einem Microsoft Azure Key Vault. Zunächst müssen Sie mit Azure , um ein neues Unternehmenskonto zu erstellen oder ein vorhandenes Unternehmenskonto zu verwenden, und führen Sie die folgenden Schritte aus, um das Key Vault zu erstellen.
Melden Sie sich beim Azure-Portal an und suchen Sie mithilfe der Suchleiste unter der Liste der Dienste nach Key vaults.
Die Key vaults-Seite wird angezeigt, nachdem Sie den Dienst ausgewählt haben. Klicken Sie von hier aus auf Create.
Füllen Sie mithilfe des bereitgestellten Formulars die grundlegenden Details für das Key Vault aus, einschließlich eines Namens und einer zugewiesenen Ressourcengruppe.
![Die Microsoft Azure Create a Key Vault Workflow mit hervorgehobenem Schutz gegen Softlöschung und Bereinigung.](./media_1301087536033268b562a8f8967623122e2017c30.png?width=750&format=png&optimize=medium)
Fahren Sie von hier aus mit dem Workflow zur Erstellung von Key Vault fort und konfigurieren Sie die verschiedenen Optionen entsprechend den Richtlinien Ihres Unternehmens.
Sobald Sie bei der Review + create Schritt, können Sie die Details des Key Vault während der Validierung überprüfen. Nachdem die Validierung erfolgreich abgeschlossen wurde, klicken Sie auf Create, um den Prozess abzuschließen.
Zugriff konfigurieren configure-access
Aktivieren Sie als Nächstes die rollenbasierte Azure-Zugriffskontrolle für Ihren Key Vault. Auswählen Access configuration im Settings im linken Navigationsbereich und wählen Sie Azure role-based access control , um die Einstellung zu aktivieren. Dieser Schritt ist unbedingt erforderlich, da die CMK-App später mit einer Azure-Rolle verknüpft werden muss. Das Zuweisen einer Rolle wird in beiden API und Benutzeroberfläche Workflows.
Konfigurieren von Netzwerkoptionen configure-network-options
Wenn Ihr Key Vault so konfiguriert ist, dass der öffentliche Zugriff auf bestimmte virtuelle Netzwerke eingeschränkt oder der öffentliche Zugriff vollständig deaktiviert wird, müssen Sie Microsoft eine Firewall-Ausnahme.
Wählen Sie Networking in der linken Navigation aus. Markieren Sie unter Firewalls and virtual networks das Kontrollkästchen Allow trusted Microsoft services to bypass this firewall und klicken Sie dann auf Apply.
Generieren eines Schlüssels generate-a-key
Nachdem Sie ein Key Vault erstellt haben, können Sie einen neuen Schlüssel generieren. Navigieren Sie zur Registerkarte Keys und wählen Sie Generate/Import aus.
Verwenden Sie das bereitgestellte Formular, um einen Namen für den Schlüssel anzugeben, und wählen Sie entweder RSA oder RSA-HSM für den Schlüsseltyp. Mindestens die Variable RSA key size darf nicht kleiner sein als 3072 Bits nach Bedarf von Cosmos DB. Azure Data Lake Storage ist auch mit RSA 3027 kompatibel.
Verwenden Sie die restlichen Steuerelemente, um den Schlüssel zu konfigurieren, den Sie erstellen oder importieren möchten. Wenn Sie fertig sind, wählen Sie Create aus.
Der konfigurierte Schlüssel wird in der Liste der Schlüssel für den Tresor angezeigt.
Nächste Schritte
Um den einmaligen Prozess zum Einrichten der Funktion für kundenverwaltete Schlüssel fortzusetzen, fahren Sie mit dem API oder Benutzeroberfläche Benutzerhandbücher zur Einrichtung von kundenverwalteten Schlüsseln.