設定 Azure 金鑰儲存庫

客戶自控金鑰(CMK)僅支援來自 Microsoft Azure 金鑰儲存庫。 若要開始使用,您必須使用 Azure 建立新的企業帳戶,或使用現有的企業帳戶,然後依照下列步驟建立金鑰儲存庫。

IMPORTANT
僅限標準、進階及受管理的HSM層級 Azure 支援金鑰儲存庫。 Azure Dedicated HSM 和 Azure Payments HSM 不受支援。 請參閱 Azure 檔案 以取得所提供的金鑰管理服務的詳細資訊。
NOTE
以下檔案僅涵蓋建立金鑰儲存庫的基本步驟。 在本指引之外,您應根據組織的原則設定金鑰儲存庫。

登入 Azure 入口網站,並使用搜尋列來尋找 Key vaults 在服務清單底下。

中的搜尋功能 Microsoft Azure 替換為 Key vaults 在搜尋結果中反白顯示。

Key vaults 頁面會在選取服務後顯示。 從這裡,選擇 Create.

此 Key vaults 中的儀表板 Microsoft Azure 替換為 Create 反白顯示。

使用提供的表單,填寫「金鑰儲存庫」的基本詳細資訊,包括名稱和指定的資源群組。

WARNING
雖然大多數選項都可保留為預設值, 請務必啟用「軟刪除」和「清除保護」選項. 如果您未開啟這些功能,則在刪除金鑰儲存庫時,您可能會失去對資料的存取權。
此 Microsoft Azure Create a Key Vault 強調軟刪除和清除保護的工作流程。

從這裡,繼續進行Key Vault建立工作流程,並根據您組織的原則設定不同選項。

一旦您到達 Review + create 步驟,您可以在金鑰儲存庫進行驗證時檢閱其詳細資訊。 驗證通過後,選取 Create 以完成程式。

Microsoft Azure Key儲存庫檢閱和建立頁面時,反白顯示「建立」。

設定存取權 configure-access

接下來,為您的金鑰儲存庫啟用Azure角色型存取控制。 選取 Access configuration 在 Settings 區段,然後選取 Azure role-based access control 以啟用設定。 此步驟至關重要,因為稍後必須將CMK應用程式與Azure角色相關聯。 指派角色在這兩處中均有紀錄 APIUI 工作流程。

此 Microsoft Azure 儀表板,具有 Access configuration 和 Azure role-based access control 反白顯示。

設定網路選項 configure-network-options

如果您的金鑰儲存庫設定為限制對特定虛擬網路的公開存取或完全停用公開存取,您必須授予 Microsoft 防火牆例外。

選取 Networking ,位於左側導覽器中。 在 Firewalls and virtual networks,選取核取方塊 Allow trusted Microsoft services to bypass this firewall,然後選取 Apply.

此 Networking 標籤之 Microsoft Azure 替換為 Networking 和 Allow trusted Microsoft surfaces to bypass this firewall 反白顯示例外狀況。

產生金鑰 generate-a-key

建立「金鑰儲存庫」後,即可產生新的金鑰。 導覽至 Keys 標籤並選取 Generate/Import.

此 Keys 標籤之 Azure 替換為 Generate import 反白顯示。

使用提供的表單提供索引鍵的名稱,然後選取 RSARSA-HSM 鍵型別。 至少 RSA key size 至少必須是 3072 位元(視需求) Cosmos DB. Azure Data Lake Storage 也與RSA 3027相容。

NOTE
記住您為金鑰提供的名稱,因為傳送金鑰至Adobe是必要的。

使用剩餘的控制項來設定您想要產生或匯入的金鑰。 完成後,選取 Create.

此 Create a key 儀表板,具有 3072 位元醒目提示。

已設定的金鑰會出現在儲存庫的金鑰清單中。

此 Keys 標示金鑰名稱的工作區。

後續步驟

若要繼續設定客戶自控金鑰功能的一次性程式,請使用 APIUI 客戶自控金鑰設定指南。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5