Configuración de un Azure Key Vault
Las claves administradas por el cliente (CMK) solo admiten claves de un Microsoft Azure Key Vault. Para empezar, debe trabajar con Azure para crear una nueva cuenta empresarial o utilice una cuenta empresarial existente y siga los pasos a continuación para crear el almacén de claves.
Inicie sesión en Azure y utilice la barra de búsqueda para localizar Key vaults en la lista de servicios.
El Key vaults después de seleccionar el servicio. Desde aquí, seleccione Create.
Mediante el formulario proporcionado, rellene los detalles básicos de Key Vault, incluido un nombre y un grupo de recursos asignado.
![El Microsoft Azure Create a Key Vault flujo de trabajo con protección de eliminación y depuración suave resaltada.](./media_1301087536033268b562a8f8967623122e2017c30.png?width=750&format=png&optimize=medium)
A partir de aquí, siga con el flujo de trabajo de creación de Key Vault y configure las diferentes opciones según las políticas de su organización.
Una vez que llegue al Review + create paso, puede revisar los detalles de Key Vault mientras pasa por la validación. Una vez validada, seleccione Create para completar el proceso.
Configuración del acceso configure-access
A continuación, habilite el control de acceso basado en funciones de Azure para su almacén de claves. Seleccionar Access configuration en el Settings de la navegación izquierda y, a continuación, seleccione Azure role-based access control para habilitar la configuración. Este paso es esencial, ya que la aplicación CMK debe asociarse posteriormente a un rol de Azure. La asignación de una función está documentada tanto en API y IU flujos de trabajo.
Configurar opciones de red configure-network-options
Si Key Vault está configurado para restringir el acceso público a ciertas redes virtuales o deshabilitar por completo el acceso público, debe conceder Microsoft una excepción de cortafuegos.
Seleccionar Networking en el panel de navegación izquierdo. En Firewalls and virtual networks, seleccione la casilla de verificación Allow trusted Microsoft services to bypass this firewall, luego seleccione Apply.
Generar una clave generate-a-key
Una vez creado un almacén de claves, puede generar una clave nueva. Vaya a Keys y seleccione Generate/Import.
Utilice el formulario proporcionado para proporcionar un nombre para la clave y seleccione RSA o RSA-HSM para el tipo de clave. Como mínimo, la variable RSA key size debe ser al menos 3072 bits según lo requerido por Cosmos DB. Azure Data Lake Storage también es compatible con RSA 3027.
Utilice los controles restantes para configurar la clave que desee generar o importar. Cuando termine, seleccione Create.
La clave configurada aparece en la lista de claves del almacén.
Pasos siguientes
Para continuar con el proceso único de configuración de la función de claves administradas por el cliente, continúe con el API o IU guías de configuración de claves administradas por el cliente.