Configurar um Cofre de Chaves Azure
Chaves gerenciadas pelo cliente (CMK) suportam apenas chaves de um Cofre de Chaves Microsoft Azure. Para começar, você deve trabalhar com o Azure para criar uma nova conta corporativa ou usar uma conta corporativa existente e seguir as etapas abaixo para criar o Cofre da Chave.
Faça logon no portal Azure e use a barra de pesquisa para localizar Key vaults na lista de serviços.
A página Key vaults é exibida após a seleção do serviço. Aqui, selecione Create.
Usando o formulário fornecido, preencha os detalhes básicos do Cofre da Chave, incluindo um nome e um grupo de recursos atribuído.
A partir daqui, continue percorrendo o fluxo de trabalho de criação do Cofre de Chaves e configure as diferentes opções de acordo com as políticas da sua organização.
Depois de chegar à etapa Review + create, você pode revisar os detalhes do Cofre da Chave enquanto ele passa pela validação. Depois que a validação for aprovada, selecione Create para concluir o processo.
Configurar acesso configure-access
Em seguida, habilite o controle de acesso baseado em função do Azure para seu cofre de chaves. Selecione Access configuration na seção Settings da navegação à esquerda e Azure role-based access control para habilitar a configuração. Essa etapa é essencial, pois o aplicativo CMK deve ser associado posteriormente a uma função do Azure. A atribuição de uma função está documentada nos fluxos de trabalho API e IU.
Configurar opções de rede configure-network-options
Se o Cofre da Chave estiver configurado para restringir o acesso público a determinadas redes virtuais ou desabilitar totalmente o acesso público, você deve conceder a Microsoft uma exceção de firewall.
Selecione Networking na navegação à esquerda. Em Firewalls and virtual networks, marque a caixa de seleção Allow trusted Microsoft services to bypass this firewall e selecione Apply.
Gerar uma chave generate-a-key
Depois de criar um Cofre de Chaves, você pode gerar uma nova chave. Navegue até a guia Keys e selecione Generate/Import.
Use o formulário fornecido para fornecer um nome para a chave e selecione RSA ou RSA-HSM para o tipo de chave. No mínimo, o RSA key size deve ter pelo menos 3072 bits, conforme exigido por Cosmos DB. Azure Data Lake Storage também é compatível com RSA 3027.
Use os controles restantes para configurar a chave que deseja gerar ou importar conforme desejado. Quando terminar, selecione Create.
A chave configurada é exibida na lista de chaves do Vault.
Próximas etapas
Para continuar o processo único de configuração do recurso de chaves gerenciadas pelo cliente, continue com os guias de configuração de chaves gerenciadas pelo cliente da API ou da IU.