Configurare un insieme di credenziali delle chiavi Azure per le chiavi gestite dal cliente

Le chiavi CMK (Customer Managed Keys) supportano le chiavi di Microsoft Azure Key Vault e di AWS Key Management Service (KMS). Se l'implementazione è ospitata su Azure, segui i passaggi riportati di seguito per creare un Key Vault. Per le implementazioni ospitate da AWS, consulta la guida alla configurazione di AWS KMS.

Accedere al portale Azure e utilizzare la barra di ricerca per individuare Key vaults nell'elenco dei servizi.

La pagina Key vaults viene visualizzata dopo aver selezionato il servizio. Da qui, seleziona Create.

Utilizzando il modulo fornito, compila i dettagli di base per l’insieme di credenziali delle chiavi, incluso un nome e un gruppo di risorse assegnato.

WARNING

Anche se la maggior parte delle opzioni può essere lasciata come valori predefiniti, assicurati di abilitare le opzioni di protezione eliminazione temporanea ed eliminazione. Se non attivi queste funzioni, potresti rischiare di perdere l’accesso ai dati se l’insieme di credenziali delle chiavi viene eliminato.

Da qui, continua a seguire il flusso di lavoro di creazione dell’insieme di credenziali delle chiavi e configura le diverse opzioni in base ai criteri della tua organizzazione.

Una volta raggiunto il passaggio Review + create, è possibile rivedere i dettagli dell'insieme di credenziali delle chiavi durante la convalida. Al termine della convalida, selezionare Create per completare il processo.

Configurare l’accesso configure-access

Quindi, abilita il controllo degli accessi basato sul ruolo di Azure per l’insieme di credenziali delle chiavi. Seleziona Access configuration nella sezione Settings della navigazione a sinistra, quindi seleziona Azure role-based access control per abilitare l'impostazione. Questo passaggio è essenziale in quanto l’app CMK deve essere associata in seguito a un ruolo Azure. L'assegnazione di un ruolo è documentata nei flussi di lavoro API e UI.

Configurare le opzioni di rete configure-network-options

Se l'insieme di credenziali delle chiavi è configurato per limitare l'accesso pubblico a determinate reti virtuali o disabilitare completamente l'accesso pubblico, è necessario concedere a Microsoft un'eccezione firewall.

Selezionare Networking nel menu di navigazione a sinistra. In Firewalls and virtual networks, selezionare la casella di controllo Allow trusted Microsoft services to bypass this firewall, quindi selezionare Apply.

Generare una chiave generate-a-key

Dopo aver creato un Key Vault, puoi generare una nuova chiave. Passare alla scheda Keys e selezionare Generate/Import.

Utilizza il modulo fornito per fornire un nome per la chiave e seleziona RSA o RSA-HSM per il tipo di chiave. Per le implementazioni ospitate da Azure, RSA key size deve essere di almeno 3072 bit come richiesto per Azure Cosmos DB. Azure Data Lake Storage è compatibile anche con RSA 3027.

Utilizzare i controlli rimanenti per configurare la chiave che si desidera generare o importare in base alle proprie esigenze. Al termine, selezionare Create.

La chiave configurata viene visualizzata nell'elenco delle chiavi per l'archivio.

Passaggi successivi

Per continuare il processo una tantum per la configurazione della funzione Chiavi gestite dal cliente, segui le guide di configurazione per l’ambiente di hosting della tua piattaforma: