設定Azure金鑰儲存庫
客戶管理的金鑰(CMK)僅支援來自Microsoft Azure金鑰儲存庫的金鑰。 若要開始使用,您必須使用Azure來建立新的企業帳戶,或使用現有的企業帳戶,然後依照下列步驟建立金鑰儲存庫。
登入Azure入口網站,並使用搜尋列在服務清單下尋找 Key vaults。
選取服務後會顯示 Key vaults 頁面。 從此處選取 Create。
使用提供的表單,填寫「金鑰儲存庫」的基本詳細資訊,包括名稱和指定的資源群組。
從這裡,繼續進行Key Vault建立工作流程,並根據您組織的原則設定不同選項。
一旦您到達 Review + create 步驟,您可以在金鑰儲存庫進行驗證時檢視其詳細資訊。 驗證通過後,選取 Create 以完成程式。
設定存取權 configure-access
接下來,為您的金鑰儲存庫啟用Azure角色型存取控制。 在左側導覽的Settings區段中選取 Access configuration,然後選取 Azure role-based access control 以啟用設定。 此步驟至關重要,因為稍後必須將CMK應用程式與Azure角色相關聯。 指派角色記錄在API和UI工作流程中。
設定網路選項 configure-network-options
如果您的金鑰儲存庫設定為限制特定虛擬網路的公開存取或完全停用公開存取,您必須授予Microsoft防火牆例外。
在左側導覽中選取 Networking。 在 Firewalls and virtual networks 底下,選取核取方塊 Allow trusted Microsoft services to bypass this firewall,然後選取 Apply。
產生金鑰 generate-a-key
建立「金鑰儲存庫」後,即可產生新的金鑰。 瀏覽至 Keys 索引標籤並選取 Generate/Import。
使用提供的表單提供金鑰的名稱,然後為金鑰型別選取 RSA 或 RSA-HSM。 RSA key size 至少必須是Cosmos DB所要求的 3072 位元。 Azure Data Lake Storage也與RSA 3027相容。
使用剩餘的控制項來設定您想要產生或匯入的金鑰。 完成後,選取 Create。
已設定的金鑰會出現在儲存庫的金鑰清單中。