配置 Azure 密钥库

客户管理的密钥(CMK)仅支持来自 Microsoft Azure 密钥库。 要开始使用此功能,您必须使用 Azure 创建新的企业帐户,或使用现有的企业帐户,并按照以下步骤创建密钥保管库。

IMPORTANT
只有标准、高级和受管HSM层用于 Azure 支持密钥保管库。 Azure Dedicated HSM 和 Azure Payments HSM 不受支持。 请参阅 Azure 文档 ,以了解有关提供的密钥管理服务的更多信息。
NOTE
以下文档仅介绍创建密钥存储库的基本步骤。 在本指南之外,您应根据贵组织的策略配置密钥库。

登录到 Azure 门户并使用搜索栏查找 Key vaults 在服务列表下。

中的搜索功能 Microsoft Azure 替换为 Key vaults 在搜索结果中突出显示。

Key vaults 选择服务后,将显示该页。 从此处选择 Create.

此 Key vaults 中的仪表板 Microsoft Azure 替换为 Create 突出显示。

使用提供的表单,填写密钥库的基本详细信息,包括名称和分配的资源组。

WARNING
虽然大多数选项可以保留为其默认值, 确保启用软删除和清除保护选项. 如果不启用这些功能,则在删除密钥库时,您可能会失去对数据的访问权限。
此 Microsoft Azure Create a Key Vault 突出显示软删除和清除保护的工作流。

在此处,继续完成Key Vault创建工作流,并根据您组织的策略配置不同的选项。

一旦你到了 Review + create 步骤,您可以在验证过程中查看密钥库的详细信息。 验证通过后,选择 Create 以完成该过程。

Microsoft Azure Key电子仓库“查看和创建”页面中突出显示了创建内容。

配置访问权限 configure-access

接下来,为您的密钥库启用基于Azure角色的访问控制。 选择 Access configuration 在 Settings 部分,然后选择 Azure role-based access control 以启用设置。 此步骤至关重要,因为以后必须将CMK应用程序与Azure角色关联。 分配角色在中都有记录 APIUI 工作流。

此 Microsoft Azure 仪表板 Access configuration 和 Azure role-based access control 突出显示。

配置联网选项 configure-network-options

如果将密钥库配置为限制对特定虚拟网络的公共访问或完全禁用公共访问,则必须授予 Microsoft 防火墙例外。

选择 Networking 在左侧导航中。 下 Firewalls and virtual networks,选中复选框 Allow trusted Microsoft services to bypass this firewall,然后选择 Apply.

此 Networking 选项卡/ Microsoft Azure 替换为 Networking 和 Allow trusted Microsoft surfaces to bypass this firewall 突出显示异常。

生成密钥 generate-a-key

创建密钥存储库后,即可生成新密钥。 导航至 Keys 选项卡并选择 Generate/Import.

此 Keys 选项卡/ Azure 替换为 Generate import 突出显示。

使用提供的表单提供键的名称,然后选择 RSARSA-HSM 键类型对应的。 至少, RSA key size 必须至少为 3072 位数,如下所示 Cosmos DB. Azure Data Lake Storage 也与RSA 3027兼容。

NOTE
请记住您为键提供的名称,因为将键发送到Adobe时需要使用该名称。

使用其余控件来配置要生成或导入的键(如果需要)。 完成后,选择 Create.

此 Create a key 仪表板 3072 位突出显示。

配置的密钥将显示在保险库的密钥列表中。

此 Keys 突出显示了键名称的工作区。

后续步骤

要继续设置客户管理的密钥功能的一次性过程,请继续 APIUI 客户管理的密钥设置指南。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5