为客户管理的密钥配置Azure密钥保管库

客户管理的密钥(CMK)支持来自Microsoft Azure密钥库和AWS Key Management Service (KMS)的密钥。 如果您的实施托管在Azure上，请按照以下步骤创建密钥保管库。 对于AWS托管的实施，请参阅AWS KMS配置指南。

登录到Azure门户并使用搜索栏在服务列表下找到​ Key vaults。

选择服务后将显示​ Key vaults ​页。 从此处选择​ Create。

使用提供的表单，填写密钥库的基本详细信息，包括名称和分配的资源组。

在此处，继续完成Key Vault创建工作流，并根据您组织的策略配置不同的选项。

一旦您进入​ Review + create ​步骤，您可以在密钥库验证过程中查看其详细信息。 验证通过后，选择​ Create ​以完成该过程。

配置访问权限 configure-access

接下来，为您的密钥库启用基于Azure角色的访问控制。 在左侧导航的Settings部分中选择​ Access configuration，然后选择​ Azure role-based access control ​以启用设置。 此步骤至关重要，因为以后必须将CMK应用程序与Azure角色关联。 API和UI工作流中均记录分配角色。

配置联网选项 configure-network-options

如果您的密钥库配置为限制对特定虚拟网络的公共访问或完全禁用公共访问，则必须授予Microsoft防火墙例外。

在左侧导航中选择​ Networking。 在​ Firewalls and virtual networks ​下，选中复选框​ Allow trusted Microsoft services to bypass this firewall，然后选择​ Apply。

生成密钥 generate-a-key

创建密钥存储库后，即可生成新密钥。 导航到​ Keys ​选项卡并选择​ Generate/Import。

使用提供的表单提供密钥的名称，并为密钥类型选择​ RSA ​或​ RSA-HSM。 对于Azure托管的实施，RSA key size ​必须是Azure Cosmos DB所需的至少​ 3072 ​位。 Azure Data Lake Storage还与RSA 3027兼容。

使用其余控件来配置要生成或导入的键（如果需要）。 完成后，选择​ Create。

配置的密钥将显示在保险库的密钥列表中。

后续步骤

要继续设置客户管理的密钥功能的一次性流程，请按照平台托管环境的设置指南进行操作：