Konfigurieren eines Azure-Schlüsseltresors

Letzte Aktualisierung: 2023-10-13
  • Erstellt für:
  • Developer
    User
    Admin
    Leader

Vom Kunden verwaltete Schlüssel (CMK) unterstützen nur Schlüssel aus einem Microsoft Azure Key Vault. Zunächst müssen Sie mit Azure arbeiten, um ein neues Unternehmenskonto zu erstellen, oder Sie verwenden ein vorhandenes Unternehmenskonto und führen die folgenden Schritte aus, um den Schlüsseltresor zu erstellen.

WICHTIG

Nur die Service-Stufen Premium und Standard werden für den Azure-Schlüsseltresor unterstützt. Azure Managed HSM, Azure Dedicated HSM und Azure Payments HSM werden nicht unterstützt. Siehe die Azure Dokumentation für weitere Informationen über angebotene Schlüsselverwaltungsdienste.

HINWEIS

Die folgende Dokumentation behandelt nur die grundlegenden Schritte zum Erstellen des Key Vault. Außerhalb dieser Anleitung sollten Sie den Key Vault gemäß den Richtlinien Ihres Unternehmens konfigurieren.

Melden Sie sich beim Azure-Portal an und suchen Sie mithilfe der Suchleiste unter der Liste der Dienste nach Key vaults.

Die Suchfunktion in Microsoft Azure mit Key vaults in den Suchergebnissen hervorgehoben werden.

Die Key vaults-Seite wird angezeigt, nachdem Sie den Dienst ausgewählt haben. Klicken Sie von hier aus auf Create.

Die Key vaults Dashboard in Microsoft Azure mit Create hervorgehoben.

Füllen Sie mithilfe des bereitgestellten Formulars die grundlegenden Details für das Key Vault aus, einschließlich eines Namens und einer zugewiesenen Ressourcengruppe.

WARNUNG

Die meisten Optionen können als Standardwerte beibehalten werden. Stellen Sie sicher, dass Sie die Schutzoptionen für Soft-Löschen und Bereinigen aktivieren. Wenn Sie diese Funktionen nicht aktivieren, riskieren Sie, den Zugriff auf Ihre Daten zu verlieren, wenn das Key Vault gelöscht wird.

Die Microsoft Azure Create a Key Vault Workflow mit hervorgehobenem Schutz gegen Softlöschung und Bereinigung.

Fahren Sie von hier aus mit dem Workflow zur Erstellung von Key Vault fort und konfigurieren Sie die verschiedenen Optionen entsprechend den Richtlinien Ihres Unternehmens.

Sobald Sie bei der Review + create Schritt, können Sie die Details des Key Vault während der Validierung überprüfen. Nachdem die Validierung erfolgreich abgeschlossen wurde, klicken Sie auf Create, um den Prozess abzuschließen.

Die Microsoft Azure Key-Werte Überprüfen und erstellen Seite mit hervorgehobenem Erstellen.

Zugriff konfigurieren

Aktivieren Sie als Nächstes die rollenbasierte Azure-Zugriffskontrolle für Ihren Key Vault. Auswählen Access configuration im Settings im linken Navigationsbereich und wählen Sie Azure role-based access control , um die Einstellung zu aktivieren. Dieser Schritt ist unbedingt erforderlich, da die CMK-App später mit einer Azure-Rolle verknüpft werden muss. Das Zuweisen einer Rolle wird in beiden API und Benutzeroberfläche Workflows.

Die Microsoft Azure Dashboard mit Access configuration und Azure role-based access control hervorgehoben.

Konfigurieren von Netzwerkoptionen

Wenn Ihr Key Vault so konfiguriert ist, dass der öffentliche Zugriff auf bestimmte virtuelle Netzwerke eingeschränkt oder der öffentliche Zugriff vollständig deaktiviert wird, müssen Sie Microsoft eine Firewall-Ausnahme.

Wählen Sie Networking in der linken Navigation aus. Markieren Sie unter Firewalls and virtual networks das Kontrollkästchen Allow trusted Microsoft services to bypass this firewall und klicken Sie dann auf Apply.

Die Networking Tab von Microsoft Azure mit Networking und Allow trusted Microsoft surfaces to bypass this firewall Ausnahmefehler hervorgehoben.

Generieren eines Schlüssels

Nachdem Sie ein Key Vault erstellt haben, können Sie einen neuen Schlüssel generieren. Navigieren Sie zur Registerkarte Keys und wählen Sie Generate/Import aus.

Die Keys Tab von Azure mit Generate import hervorgehoben.

Verwenden Sie das bereitgestellte Formular, um einen Namen für den Schlüssel anzugeben, und wählen Sie RSA für den Schlüsseltyp aus. Mindestens die Variable RSA key size darf nicht kleiner sein als 3072 Bits nach Bedarf von Cosmos DB. Azure Data Lake Storage ist auch mit RSA 3027 kompatibel.

HINWEIS

Merken Sie sich den Namen, den Sie für den Schlüssel angeben, da der Schlüssel an Adobe gesendet werden muss.

Verwenden Sie die restlichen Steuerelemente, um den Schlüssel zu konfigurieren, den Sie erstellen oder importieren möchten. Wenn Sie fertig sind, wählen Sie Create aus.

Das Dashboard Schlüssel erstellen mit 3072 hervorgehobene Bit.

Der konfigurierte Schlüssel wird in der Liste der Schlüssel für den Tresor angezeigt.

Die Keys Arbeitsbereich mit hervorgehobenem Schlüsselnamen.

Nächste Schritte

Um den einmaligen Prozess zum Einrichten der Funktion für kundenverwaltete Schlüssel fortzusetzen, fahren Sie mit dem API oder Benutzeroberfläche Benutzerhandbücher zur Einrichtung von kundenverwalteten Schlüsseln.

Auf dieser Seite