設定Azure金鑰儲存庫

客戶管理的金鑰(CMK)僅支援來自Microsoft Azure金鑰儲存庫的金鑰。 若要開始使用,您必須使用Azure來建立新的企業帳戶,或使用現有的企業帳戶,然後依照下列步驟建立金鑰儲存庫。

IMPORTANT
僅支援Azure金鑰儲存庫的標準、進階及受管理的HSM層級。 不支援Azure Dedicated HSM和Azure Payments HSM。 請參閱Azure 檔案,以取得所提供金鑰管理服務的詳細資訊。
NOTE
以下檔案僅涵蓋建立金鑰儲存庫的基本步驟。 在本指引之外,您應根據組織的原則設定金鑰儲存庫。

登入Azure入口網站,並使用搜尋列在服務清單下尋找​ Key vaults

搜尋結果中反白顯示Key vaults的Microsoft Azure搜尋功能。

選取服務後會顯示​ Key vaults ​頁面。 從此處選取​ Create

Microsoft Azure中的Key vaults儀表板已反白顯示Create。

使用提供的表單,填寫「金鑰儲存庫」的基本詳細資訊,包括名稱和指定的資源群組。

WARNING
雖然大多數選項可以保留為其預設值,但​ 請確定您已啟用軟刪除和清除保護選項。 如果您未開啟這些功能,則在刪除金鑰儲存庫時,您可能會失去對資料的存取權。
反白顯示具有軟刪除和清除保護的Microsoft Azure Create a Key Vault工作流程。

從這裡,繼續進行Key Vault建立工作流程,並根據您組織的原則設定不同選項。

一旦您到達​ Review + create ​步驟,您可以在金鑰儲存庫進行驗證時檢視其詳細資訊。 驗證通過後,選取​ Create ​以完成程式。

Microsoft Azure Key儲存庫檢閱並建立反白顯示的「建立」頁面。

設定存取權 configure-access

接下來,為您的金鑰儲存庫啟用Azure角色型存取控制。 在左側導覽的Settings區段中選取​ Access configuration,然後選取​ Azure role-based access control ​以啟用設定。 此步驟至關重要,因為稍後必須將CMK應用程式與Azure角色相關聯。 指派角色記錄在APIUI工作流程中。

反白顯示Access configuration和Azure role-based access control的Microsoft Azure儀表板。

設定網路選項 configure-network-options

如果您的金鑰儲存庫設定為限制特定虛擬網路的公開存取或完全停用公開存取,您必須授予Microsoft防火牆例外。

在左側導覽中選取​ Networking。 在​ Firewalls and virtual networks ​底下,選取核取方塊​ Allow trusted Microsoft services to bypass this firewall,然後選取​ Apply

反白顯示Microsoft Azure的Networking索引標籤(包含Networking和Allow trusted Microsoft surfaces to bypass this firewall例外狀況)。

產生金鑰 generate-a-key

建立「金鑰儲存庫」後,即可產生新的金鑰。 瀏覽至​ Keys ​索引標籤並選取​ Generate/Import

反白顯示Generate import的Azure的Keys標籤。

使用提供的表單提供金鑰的名稱,然後為金鑰型別選取​ RSA ​或​ RSA-HSMRSA key size ​至少必須是Cosmos DB所要求的​ 3072 ​位元。 Azure Data Lake Storage也與RSA 3027相容。

NOTE
記住您為金鑰提供的名稱,因為傳送金鑰至Adobe是必要的。

使用剩餘的控制項來設定您想要產生或匯入的金鑰。 完成後,選取​ Create

反白顯示3072位元的Create a key儀表板。

已設定的金鑰會出現在儲存庫的金鑰清單中。

金鑰名稱反白顯示的Keys工作區。

後續步驟

若要繼續設定客戶自控金鑰功能的一次性程式,請繼續使用APIUI客戶自控金鑰設定指南。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5