Configurare un Azure Key Vault

Ultimo aggiornamento: 2023-10-13
  • Creato per:
  • Developer
    User
    Admin
    Leader

Le chiavi gestite dal cliente (CMK) supportano solo le chiavi di un Microsoft Azure Key Vault Per iniziare, devi lavorare con Azure per creare un nuovo account aziendale o utilizzare un account aziendale esistente e seguire i passaggi riportati di seguito per creare l'insieme di credenziali delle chiavi.

IMPORTANTE

Solo i livelli di servizio Premium e Standard per Azure Sono supportati Key Vault. Azure Managed HSM, Azure Dedicated HSM e Azure Payments HSM non sono supportati. Consulta la sezione Azure documentazione per ulteriori informazioni sui servizi di gestione delle chiavi offerti.

NOTA

La documentazione seguente descrive solo i passaggi di base per creare l’insieme di credenziali delle chiavi. Al di fuori di questa guida, devi configurare l’insieme di credenziali delle chiavi in base ai criteri della tua organizzazione.

Accedi a Azure e utilizza la barra di ricerca per individuare Key vaults nell’elenco dei servizi.

La funzione di ricerca in Microsoft Azure con Key vaults nei risultati della ricerca.

Il Key vaults dopo aver selezionato il servizio. Da qui, seleziona Create.

Il Key vaults dashboard in Microsoft Azure con Create evidenziato.

Utilizzando il modulo fornito, compila i dettagli di base per l’insieme di credenziali delle chiavi, incluso un nome e un gruppo di risorse assegnato.

AVVERTENZA

Anche se la maggior parte delle opzioni può essere lasciata come valori predefiniti, assicurarsi di attivare le opzioni di protezione eliminazione temporanea e rimozione temporanea. Se non attivi queste funzioni, potresti rischiare di perdere l’accesso ai dati se l’insieme di credenziali delle chiavi viene eliminato.

Il Microsoft Azure Create a Key Vault flusso di lavoro con protezione eliminazione temporanea ed eliminazione evidenziata.

Da qui, continua a seguire il flusso di lavoro di creazione dell’insieme di credenziali delle chiavi e configura le diverse opzioni in base ai criteri della tua organizzazione.

Una volta raggiunto il Review + create passaggio, puoi rivedere i dettagli dell’insieme di credenziali delle chiavi durante la convalida. Al termine della convalida, seleziona Create per completare il processo.

La pagina Revisione e creazione degli archivi chiavi di Microsoft Azure è evidenziata dall'opzione Crea.

Configurare l’accesso

Quindi, abilita il controllo degli accessi basato sul ruolo di Azure per l’insieme di credenziali delle chiavi. Seleziona Access configuration nel Settings nella sezione di navigazione a sinistra, quindi seleziona Azure role-based access control per attivare l'impostazione. Questo passaggio è essenziale in quanto l’app CMK deve essere associata in seguito a un ruolo Azure. L’assegnazione di un ruolo è documentata in entrambi API e UI flussi di lavoro.

Il Microsoft Azure dashboard con Access configuration e Azure role-based access control evidenziato.

Configurare le opzioni di rete

Se l'insieme di credenziali delle chiavi è configurato per limitare l'accesso pubblico a determinate reti virtuali o disabilitare completamente l'accesso pubblico, è necessario concedere Microsoft un'eccezione firewall.

Seleziona Networking (Progetti) nel pannello di navigazione a sinistra. Sotto Firewalls and virtual networks, seleziona la casella di controllo Allow trusted Microsoft services to bypass this firewall, quindi seleziona Apply.

Il Networking scheda di Microsoft Azure con Networking e Allow trusted Microsoft surfaces to bypass this firewall eccezione evidenziata.

Generare una chiave

Dopo aver creato un Key Vault, puoi generare una nuova chiave. Accedi a Keys e seleziona Generate/Import.

Il Keys scheda di Azure con Generate import evidenziato.

Utilizza il modulo fornito per fornire un nome per la chiave e seleziona RSA per il tipo di chiave. Come minimo, il RSA key size deve essere almeno 3072 bit come richiesto da Cosmos DB. Azure Data Lake Storage è compatibile anche con RSA 3027.

NOTA

Ricorda il nome fornito per la chiave, in quanto è necessario per inviarla all’Adobe.

Utilizzare i controlli rimanenti per configurare la chiave che si desidera generare o importare in base alle proprie esigenze. Al termine, seleziona Create.

La dashboard Crea chiave con 3072 bit evidenziati.

La chiave configurata viene visualizzata nell'elenco delle chiavi per l'archivio.

Il Keys area di lavoro con il nome chiave evidenziato.

Passaggi successivi

Per continuare il processo una tantum per l'impostazione della funzionalità delle chiavi gestite dal cliente, continuare con API o UI guide alla configurazione delle chiavi gestite dal cliente.

In questa pagina