Configurar un almacén de claves de Azure para las claves administradas por el cliente
Las claves administradas por el cliente (CMK) admiten claves tanto de Microsoft Azure Key Vaults como de AWS Key Management Service (KMS). Si su implementación está alojada en Azure, siga los pasos a continuación para crear un almacén de claves. Para implementaciones alojadas en AWS, consulte la Guía de configuración de AWS KMS.
Inicie sesión en el portal Azure y utilice la barra de búsqueda para encontrar Key vaults en la lista de servicios.
La página Key vaults aparece después de seleccionar el servicio. Desde aquí, seleccione Create.
Mediante el formulario proporcionado, rellene los detalles básicos de Key Vault, incluido un nombre y un grupo de recursos asignado.

A partir de aquí, siga con el flujo de trabajo de creación de Key Vault y configure las diferentes opciones según las políticas de su organización.
Una vez que llegue al paso Review + create, puede revisar los detalles de Key Vault mientras pasa por la validación. Una vez superada la validación, seleccione Create para completar el proceso.
Configuración del acceso configure-access
A continuación, habilite el control de acceso basado en funciones de Azure para su almacén de claves. Seleccione Access configuration en la sección Settings de la navegación izquierda y, a continuación, seleccione Azure role-based access control para habilitar la configuración. Este paso es esencial, ya que la aplicación CMK debe asociarse posteriormente a un rol de Azure. La asignación de una función está documentada en los flujos de trabajo API y UI.
Configurar opciones de red configure-network-options
Si Key Vault está configurado para restringir el acceso público a ciertas redes virtuales o deshabilitar por completo el acceso público, debe conceder a Microsoft una excepción de firewall.
Seleccione Networking en el panel de navegación izquierdo. En Firewalls and virtual networks, active la casilla de verificación Allow trusted Microsoft services to bypass this firewall y, a continuación, seleccione Apply.
Generar una clave generate-a-key
Una vez creado un almacén de claves, puede generar una clave nueva. Vaya a la ficha Keys y seleccione Generate/Import.
Use el formulario proporcionado para proporcionar un nombre para la clave y seleccione RSA o RSA-HSM para el tipo de clave. Para implementaciones hospedadas por Azure, RSA key size debe tener al menos 3072 bits, según se requiere para Azure Cosmos DB. Azure Data Lake Storage también es compatible con RSA 3027.
Utilice los controles restantes para configurar la clave que desee generar o importar. Cuando termine, seleccione Create.
La clave configurada aparece en la lista de claves del almacén.
Pasos siguientes
Para continuar con el proceso único de configuración de la función Claves administradas por el cliente, siga las guías de configuración del entorno de alojamiento de su plataforma:
- Para Azure, usa las guías de configuración API o IU.
- Para AWS, consulte la Guía de configuración de AWS para KMS y la Guía de configuración de IU.