Configurare un insieme di credenziali delle chiavi Azure

Le chiavi gestite dal cliente (CMK) supportano solo le chiavi di un insieme di credenziali delle chiavi Microsoft Azure. Per iniziare, devi lavorare con Azure per creare un nuovo account Enterprise oppure utilizzare un account Enterprise esistente e seguire i passaggi riportati di seguito per creare l'insieme di credenziali delle chiavi.

Accedere al portale Azure e utilizzare la barra di ricerca per individuare Key vaults nell'elenco dei servizi.

La pagina Key vaults viene visualizzata dopo aver selezionato il servizio. Da qui, seleziona Create.

Utilizzando il modulo fornito, compila i dettagli di base per l’insieme di credenziali delle chiavi, incluso un nome e un gruppo di risorse assegnato.

WARNING

Anche se la maggior parte delle opzioni può essere lasciata come valori predefiniti, assicurati di abilitare le opzioni di protezione eliminazione temporanea ed eliminazione. Se non attivi queste funzioni, potresti rischiare di perdere l’accesso ai dati se l’insieme di credenziali delle chiavi viene eliminato.

Da qui, continua a seguire il flusso di lavoro di creazione dell’insieme di credenziali delle chiavi e configura le diverse opzioni in base ai criteri della tua organizzazione.

Una volta raggiunto il passaggio Review + create, è possibile rivedere i dettagli dell'insieme di credenziali delle chiavi durante la convalida. Al termine della convalida, selezionare Create per completare il processo.

Configurare l’accesso configure-access

Quindi, abilita il controllo degli accessi basato sul ruolo di Azure per l’insieme di credenziali delle chiavi. Seleziona Access configuration nella sezione Settings della navigazione a sinistra, quindi seleziona Azure role-based access control per abilitare l'impostazione. Questo passaggio è essenziale in quanto l’app CMK deve essere associata in seguito a un ruolo Azure. L'assegnazione di un ruolo è documentata nei flussi di lavoro API e UI.

Configurare le opzioni di rete configure-network-options

Se l'insieme di credenziali delle chiavi è configurato per limitare l'accesso pubblico a determinate reti virtuali o disabilitare completamente l'accesso pubblico, è necessario concedere a Microsoft un'eccezione firewall.

Selezionare Networking nel menu di navigazione a sinistra. In Firewalls and virtual networks, selezionare la casella di controllo Allow trusted Microsoft services to bypass this firewall, quindi selezionare Apply.

Generare una chiave generate-a-key

Dopo aver creato un Key Vault, puoi generare una nuova chiave. Passare alla scheda Keys e selezionare Generate/Import.

Utilizza il modulo fornito per fornire un nome per la chiave e seleziona RSA o RSA-HSM per il tipo di chiave. Come minimo, RSA key size deve essere di almeno 3072 bit come richiesto da Cosmos DB. Azure Data Lake Storage è compatibile anche con RSA 3027.

Utilizzare i controlli rimanenti per configurare la chiave che si desidera generare o importare in base alle proprie esigenze. Al termine, selezionare Create.

La chiave configurata viene visualizzata nell'elenco delle chiavi per l'archivio.

Passaggi successivi

Per continuare il processo di configurazione delle chiavi gestite dal cliente una tantum, continuare con le guide di installazione delle chiavi gestite dal cliente API o UI.