Configuración de un Azure Key Vault

Última actualización: 2023-10-13
  • Creado para:
  • Developer
    User
    Admin
    Leader

Las claves administradas por el cliente (CMK) solo admiten claves de un Microsoft Azure Key Vault. Para empezar, debe trabajar con Azure para crear una nueva cuenta empresarial o utilice una cuenta empresarial existente y siga los pasos a continuación para crear el almacén de claves.

IMPORTANTE

Solo los niveles de servicio Premium y Standard para Azure Se admiten los Key Vault. Azure Managed HSM, Azure Dedicated HSM y Azure Payments HSM no son compatibles. Consulte la Azure documentación para obtener más información sobre los servicios de administración de claves ofrecidos.

NOTA

La documentación siguiente solo cubre los pasos básicos para crear Key Vault. Fuera de esta guía, debe configurar el almacén de claves según las políticas de su organización.

Inicie sesión en Azure y utilice la barra de búsqueda para localizar Key vaults en la lista de servicios.

La función de búsqueda en Microsoft Azure con Key vaults resaltado en los resultados de búsqueda.

El Key vaults después de seleccionar el servicio. Desde aquí, seleccione Create.

El Key vaults panel en Microsoft Azure con Create resaltado.

Mediante el formulario proporcionado, rellene los detalles básicos de Key Vault, incluido un nombre y un grupo de recursos asignado.

ADVERTENCIA

Aunque la mayoría de las opciones se pueden dejar como valores predeterminados, asegúrese de activar las opciones de protección de eliminación suave y depuración. Si no activa estas funciones, podría arriesgarse a perder el acceso a los datos si se elimina el almacén de claves.

El Microsoft Azure Create a Key Vault flujo de trabajo con protección de eliminación y depuración suave resaltada.

A partir de aquí, siga con el flujo de trabajo de creación de Key Vault y configure las diferentes opciones según las políticas de su organización.

Una vez que llegue al Review + create paso, puede revisar los detalles de Key Vault mientras pasa por la validación. Una vez validada, seleccione Create para completar el proceso.

La página de revisión y creación de Microsoft Azure Key Vaults tiene resaltada la opción Crear.

Configuración del acceso

A continuación, habilite el control de acceso basado en funciones de Azure para su almacén de claves. Seleccionar Access configuration en el Settings de la navegación izquierda y, a continuación, seleccione Azure role-based access control para habilitar la configuración. Este paso es esencial, ya que la aplicación CMK debe asociarse posteriormente a un rol de Azure. La asignación de una función está documentada tanto en API y IU flujos de trabajo.

El Microsoft Azure panel con Access configuration y Azure role-based access control resaltado.

Configurar opciones de red

Si Key Vault está configurado para restringir el acceso público a ciertas redes virtuales o deshabilitar por completo el acceso público, debe conceder Microsoft una excepción de cortafuegos.

Seleccionar Networking en el panel de navegación izquierdo. En Firewalls and virtual networks, seleccione la casilla de verificación Allow trusted Microsoft services to bypass this firewall, luego seleccione Apply.

El Networking pestaña de Microsoft Azure con Networking y Allow trusted Microsoft surfaces to bypass this firewall excepción resaltada.

Generar una clave

Una vez creado un almacén de claves, puede generar una clave nueva. Vaya a Keys y seleccione Generate/Import.

El Keys pestaña de Azure con Generate import resaltado.

Utilice el formulario proporcionado para proporcionar un nombre para la clave y seleccione RSA para el tipo de clave. Como mínimo, la variable RSA key size debe ser al menos 3072 bits según lo requerido por Cosmos DB. Azure Data Lake Storage también es compatible con RSA 3027.

NOTA

Recuerde el nombre que proporciona para la clave, ya que es necesario enviar la clave al Adobe.

Utilice los controles restantes para configurar la clave que desee generar o importar. Cuando termine, seleccione Create.

El panel Crear una clave con 3072 bits resaltados.

La clave configurada aparece en la lista de claves del almacén.

El Keys espacio de trabajo con el nombre de clave resaltado.

Pasos siguientes

Para continuar con el proceso único de configuración de la función de claves administradas por el cliente, continúe con el API o IU guías de configuración de claves administradas por el cliente.

En esta página