Configurar un almacén de claves Azure
Las claves administradas por el cliente (CMK) solo admiten claves de un almacén de claves de Microsoft Azure. Para comenzar, debe trabajar con Azure para crear una nueva cuenta empresarial o usar una cuenta empresarial existente y seguir los pasos a continuación para crear el almacén de claves.
Inicie sesión en el portal Azure y utilice la barra de búsqueda para encontrar Key vaults en la lista de servicios.
La página Key vaults aparece después de seleccionar el servicio. Desde aquí, seleccione Create.
Mediante el formulario proporcionado, rellene los detalles básicos de Key Vault, incluido un nombre y un grupo de recursos asignado.
A partir de aquí, siga con el flujo de trabajo de creación de Key Vault y configure las diferentes opciones según las políticas de su organización.
Una vez que llegue al paso Review + create, puede revisar los detalles de Key Vault mientras pasa por la validación. Una vez superada la validación, seleccione Create para completar el proceso.
Configuración del acceso configure-access
A continuación, habilite el control de acceso basado en funciones de Azure para su almacén de claves. Seleccione Access configuration en la sección Settings de la navegación izquierda y, a continuación, seleccione Azure role-based access control para habilitar la configuración. Este paso es esencial, ya que la aplicación CMK debe asociarse posteriormente a un rol de Azure. La asignación de una función está documentada en los flujos de trabajo API y UI.
Configurar opciones de red configure-network-options
Si Key Vault está configurado para restringir el acceso público a ciertas redes virtuales o deshabilitar por completo el acceso público, debe conceder a Microsoft una excepción de firewall.
Seleccione Networking en el panel de navegación izquierdo. En Firewalls and virtual networks, active la casilla de verificación Allow trusted Microsoft services to bypass this firewall y, a continuación, seleccione Apply.
Generar una clave generate-a-key
Una vez creado un almacén de claves, puede generar una clave nueva. Vaya a la ficha Keys y seleccione Generate/Import.
Use el formulario proporcionado para proporcionar un nombre para la clave y seleccione RSA o RSA-HSM para el tipo de clave. Como mínimo, RSA key size debe tener al menos 3072 bits, tal como lo requiere Cosmos DB. Azure Data Lake Storage también es compatible con RSA 3027.
Utilice los controles restantes para configurar la clave que desee generar o importar. Cuando termine, seleccione Create.
La clave configurada aparece en la lista de claves del almacén.
Pasos siguientes
Para continuar con el proceso único de configuración de la característica de claves administradas por el cliente, continúa con las guías de configuración de claves administradas por el cliente de API o de IU.