配置Azure密钥保管库

客户管理的密钥(CMK)仅支持Microsoft Azure密钥保管库中的密钥。 若要开始,您必须使用Azure创建新的企业帐户,或者使用现有企业帐户,并按照以下步骤创建密钥保管库。

IMPORTANT
仅支持Azure密钥保管库的标准、高级和托管HSM层。 不支持Azure Dedicated HSM和Azure Payments HSM。 有关提供的密钥管理服务的详细信息,请参阅Azure 文档
NOTE
以下文档仅介绍创建密钥存储库的基本步骤。 在本指南之外,您应根据贵组织的策略配置密钥库。

登录到Azure门户并使用搜索栏在服务列表下找到​ Key vaults

搜索结果中突出显示了Microsoft Azure中具有Key vaults的搜索功能。

选择服务后将显示​ Key vaults ​页。 从此处选择​ Create

在Microsoft Azure中突出显示Create的Key vaults仪表板。

使用提供的表单,填写密钥库的基本详细信息,包括名称和分配的资源组。

WARNING
虽然大多数选项可以保留为其默认值,但​ 请确保启用软删除和清除保护选项。 如果不启用这些功能,则在删除密钥库时,您可能会失去对数据的访问权限。
已突出显示具有软删除和清除保护的Microsoft Azure Create a Key Vault工作流。

在此处,继续完成Key Vault创建工作流,并根据您组织的策略配置不同的选项。

一旦您进入​ Review + create ​步骤,您可以在密钥库验证过程中查看其详细信息。 验证通过后,选择​ Create ​以完成该过程。

Microsoft Azure Key电子仓库审阅和创建页面时突出显示。

配置访问权限 configure-access

接下来,为您的密钥库启用基于Azure角色的访问控制。 在左侧导航的Settings部分中选择​ Access configuration,然后选择​ Azure role-based access control ​以启用设置。 此步骤至关重要,因为以后必须将CMK应用程序与Azure角色关联。 APIUI工作流中均记录分配角色。

突出显示了Access configuration和Azure role-based access control的Microsoft Azure仪表板。

配置联网选项 configure-network-options

如果您的密钥库配置为限制对特定虚拟网络的公共访问或完全禁用公共访问,则必须授予Microsoft防火墙例外。

在左侧导航中选择​ Networking。 在​ Firewalls and virtual networks ​下,选中复选框​ Allow trusted Microsoft services to bypass this firewall,然后选择​ Apply

突出显示了Microsoft Azure的Networking选项卡,其中包含Networking和Allow trusted Microsoft surfaces to bypass this firewall异常。

生成密钥 generate-a-key

创建密钥存储库后,即可生成新密钥。 导航到​ Keys ​选项卡并选择​ Generate/Import

高亮显示了Azure的Keys选项卡(包含Generate import)。

使用提供的表单提供密钥的名称,并为密钥类型选择​ RSA ​或​ RSA-HSM。 根据Cosmos DB的要求,RSA key size ​必须至少为​ 3072 ​位。 Azure Data Lake Storage还与RSA 3027兼容。

NOTE
请记住您为键提供的名称,因为将键发送到Adobe时需要使用该名称。

使用其余控件来配置要生成或导入的键(如果需要)。 完成后,选择​ Create

突出显示了3072位的Create a key仪表板。

配置的密钥将显示在保险库的密钥列表中。

键名称高亮显示的Keys工作区。

后续步骤

若要继续设置客户管理的密钥功能的一次性流程,请继续使用APIUI客户管理的密钥设置指南。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5