配置Azure密钥保管库
客户管理的密钥(CMK)仅支持Microsoft Azure密钥保管库中的密钥。 若要开始,您必须使用Azure创建新的企业帐户,或者使用现有企业帐户,并按照以下步骤创建密钥保管库。
登录到Azure门户并使用搜索栏在服务列表下找到 Key vaults。
选择服务后将显示 Key vaults 页。 从此处选择 Create。
使用提供的表单,填写密钥库的基本详细信息,包括名称和分配的资源组。
在此处,继续完成Key Vault创建工作流,并根据您组织的策略配置不同的选项。
一旦您进入 Review + create 步骤,您可以在密钥库验证过程中查看其详细信息。 验证通过后,选择 Create 以完成该过程。
配置访问权限 configure-access
接下来,为您的密钥库启用基于Azure角色的访问控制。 在左侧导航的Settings部分中选择 Access configuration,然后选择 Azure role-based access control 以启用设置。 此步骤至关重要,因为以后必须将CMK应用程序与Azure角色关联。 API和UI工作流中均记录分配角色。
配置联网选项 configure-network-options
如果您的密钥库配置为限制对特定虚拟网络的公共访问或完全禁用公共访问,则必须授予Microsoft防火墙例外。
在左侧导航中选择 Networking。 在 Firewalls and virtual networks 下,选中复选框 Allow trusted Microsoft services to bypass this firewall,然后选择 Apply。
生成密钥 generate-a-key
创建密钥存储库后,即可生成新密钥。 导航到 Keys 选项卡并选择 Generate/Import。
使用提供的表单提供密钥的名称,并为密钥类型选择 RSA 或 RSA-HSM。 根据Cosmos DB的要求,RSA key size 必须至少为 3072 位。 Azure Data Lake Storage还与RSA 3027兼容。
使用其余控件来配置要生成或导入的键(如果需要)。 完成后,选择 Create。
配置的密钥将显示在保险库的密钥列表中。
