Obměna a odvolání klíče spravovaného zákazníkem
Tento článek je třetí částí čtyřdílné série kurzů. První část poskytuje přehled klíčů spravovaných zákazníkem, jejich funkcí a důležitých informací před tím, než je v registru povolíte. V druhé části se dozvíte, jak povolit klíč spravovaný zákazníkem pomocí Azure CLI, Azure Portal nebo šablony Azure Resource Manager. Tento článek vás provede obměnou, aktualizací a odvoláním klíče spravovaného zákazníkem.
Obměna klíče spravovaného zákazníkem
Pokud chcete klíč obměňovat, můžete buď aktualizovat verzi klíče v Azure Key Vault, nebo vytvořit nový klíč. Při obměně klíče můžete zadat stejnou identitu, kterou jste použili k vytvoření registru.
Volitelně:
- Nakonfigurujte novou identitu přiřazenou uživatelem pro přístup ke klíči.
- Povolte a zadejte identitu přiřazenou systémem registru.
Poznámka
Pokud chcete na portálu povolit identitu přiřazenou systémem registru, vyberte Identita nastavení> a nastavte stav identity přiřazené systémem na Zapnuto.
Ujistěte se, že je pro identitu, kterou konfigurujete pro přístup ke klíči, nastavený požadovaný přístup k trezoru klíčů .
Vytvoření nebo aktualizace verze klíče pomocí Azure CLI
Pokud chcete vytvořit novou verzi klíče, spusťte příkaz az keyvault key create :
# Create new version of existing key
az keyvault key create \
--name <key-name> \
--vault-name <key-vault-name>
Pokud nakonfigurujete registr tak, aby rozpoznal aktualizace verze klíče, klíč spravovaný zákazníkem se automaticky aktualizuje během jedné hodiny.
Pokud nakonfigurujete registr pro ruční aktualizaci pro novou verzi klíče, spusťte příkaz az-acr-encryption-rotate-key . Předejte nové ID klíče a identitu, kterou chcete nakonfigurovat.
Tip
Při spuštění příkazu az-acr-encryption-rotate-keymůžete předat ID klíče s verzí nebo ID klíče bez verze. Pokud použijete ID klíče bez verze, nakonfiguruje se registr tak, aby automaticky zjišťoval pozdější aktualizace verze klíče.
Pokud chcete verzi klíče spravovaného zákazníkem aktualizovat ručně, máte dvě možnosti:
Klíč obměňte a použijte identitu přiřazenou uživatelem.
Pokud používáte klíč z jiného trezoru klíčů, ověřte, že
principal-id-user-assigned-identitymágetpro tento trezor klíčů oprávnění ,wrapaunwrap.az acr encryption rotate-key \ --name <registry-name> \ --key-encryption-key <new-key-id> \ --identity <principal-id-user-assigned-identity>Klíč obměňte a použijte identitu přiřazenou systémem.
Než použijete identitu přiřazenou systémem, ověřte, že
getwrapjsou jí přiřazena oprávnění , aunwrap.az acr encryption rotate-key \ --name <registry-name> \ --key-encryption-key <new-key-id> \ --identity [system]
Vytvořte nebo aktualizujte verzi klíče pomocí Azure Portal
Pomocí nastavení šifrování v registru aktualizujte nastavení trezoru klíčů, klíče nebo identity pro klíč spravovaný zákazníkem.
Pokud chcete například nakonfigurovat nový klíč:
Na portálu přejděte do svého registru.
V části Nastavení vyberte Šifrování>Změnit klíč.
V části Šifrování zvolte jednu z následujících možností:
- Zvolte Vybrat z Key Vault a pak buď vyberte existující trezor klíčů a klíč, nebo vyberte Vytvořit nový. Klíč, který vyberete, není převedený a umožňuje automatickou obměnu klíčů.
- Vyberte Zadat identifikátor URI klíče a zadejte identifikátor klíče přímo. Můžete zadat buď identifikátor URI klíče s verzí (pro klíč, který se musí ručně obměňovat), nebo identifikátor URI klíče bez verze (který umožňuje automatickou obměnu klíčů).
Dokončete výběr klíče a pak vyberte Uložit.
Odvolání klíče spravovaného zákazníkem
Šifrovací klíč spravovaný zákazníkem můžete odvolat změnou zásad přístupu, změnou oprávnění k trezoru klíčů nebo odstraněním klíče.
Pokud chcete změnit zásady přístupu spravované identity, kterou váš registr používá, spusťte příkaz az-keyvault-delete-policy :
az keyvault delete-policy \
--resource-group <resource-group-name> \
--name <key-vault-name> \
--object-id <key-vault-key-id>
Pokud chcete odstranit jednotlivé verze klíče, spusťte příkaz az-keyvault-key-delete . Tato operace vyžaduje oprávnění ke klíčům nebo odstranění .
az keyvault key delete \
--name <key-vault-name> \
--
--object-id $identityPrincipalID \
Poznámka
Odvolání klíče spravovaného zákazníkem zablokuje přístup ke všem datům registru. Pokud povolíte přístup ke klíči nebo obnovíte odstraněný klíč, registr klíč vybere a vy můžete znovu získat kontrolu nad přístupem k šifrovaným datům registru.
Další kroky
Přejděte k dalšímu článku o řešení běžných problémů, jako jsou chyby při odebírání spravované identity, chyby 403 a náhodné odstranění klíče.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro