Konfigurace klíče spravovaného zákazníkem (CMK) pro šifrování neaktivních uložených dat pro cluster Azure DocumentDB

V tomto článku se dozvíte, jak nakonfigurovat klíč spravovaný zákazníkem (CMK) pro šifrování neaktivních uložených dat v Azure DocumentDB. Kroky v této příručce nakonfigurují nový cluster Azure DocumentDB, cluster repliky nebo obnovený cluster. Nastavení CMK používá klíč spravovaný zákazníkem uložený ve službě Azure Key Vault a spravovanou identitu přiřazenou uživatelem.

Požadavky

• Předplatné Azure

  • Pokud ještě předplatné Azure nemáte, vytvořte si bezplatný účet.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.

  

• Pokud chcete spouštět referenční příkazy CLI lokálně, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Pro více informací, viz Jak spustit Azure CLI v Docker kontejneru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Chcete-li dokončit proces ověřování, postupujte podle kroků zobrazených ve vašem terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.

  • Když budete vyzváni, nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.

  • Spusťte az version, abyste zjistili verzi a závislé knihovny, které jsou nainstalovány. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Příprava spravované identity přiřazené uživatelem a azure Key Vault

Ke konfiguraci šifrování klíčů spravovaných zákazníkem v clusteru Azure DocumentDB pro MonogDB potřebujete spravovanou identitu přiřazenou uživatelem, instanci služby Azure Key Vault a správně nakonfigurovaná oprávnění.

Důležité

Spravovaná identita přiřazená uživatelem a instance služby Azure Key Vault, které se používají ke konfiguraci klíče CMK, by měly být ve stejné oblasti Azure, ve které je cluster Azure DocumentDB hostovaný a všechny patří do stejného tenanta Microsoftu.

Použití portálu Azure:

1. Pokud ještě nemáte spravovanou identitu přiřazenou uživatelem, vytvořte v oblasti clusteru jednu spravovanou identitu.

2. Pokud ještě nemáte vytvořené úložiště klíčů, vytvořte v oblasti clusteru jeden trezor klíčů Azure Key Vault. Ujistěte se, že splňujete požadavky. Před konfigurací úložiště klíčů a před vytvořením klíče a přiřazením požadovaných oprávnění spravované identitě přiřazené uživatelem postupujte také podle doporučení .

3. Vytvořte v úložišti klíčů jeden klíč.

4. Udělte instanci služby Azure Key Vault oprávnění spravované identity přiřazené uživatelem, jak je uvedeno v požadavcích.

Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem během zřizování clusteru

Portal

1. Během zřizování nového clusteru Azure DocumentDB se na kartě Šifrování konfigurují klíče spravované službou nebo klíče spravované zákazníkem pro šifrování dat clusteru. Vyberte klíč spravovaný zákazníkem pro šifrování dat.

   

2. V části Spravovaná identita přiřazená uživatelem vyberte Změnit identitu.

   

3. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má cluster používat pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

4. Vyberte Přidat.

   

5. V metodě výběru klíče zvolte Vybrat klíč .

6. V části Klíč vyberte Změnit klíč .

   

7. V podokně Vybrat klíč vyberte Azure Key Vault v trezoru klíčů a šifrovací klíč v klíči a potvrďte své volby výběrem možnosti Vybrat.

   

   Důležité

   Vybraná instance služby Azure Key Vault by měla být ve stejné oblasti Azure, ve které se bude hostovat cluster Azure DocumentDB.

8. Na kartě Šifrování potvrďte vybranou spravovanou identitu přiřazenou uživatelem a šifrovací klíč a vyberte Zkontrolovat a vytvořit cluster.

   

Rozhraní REST API

Šifrování dat pomocí šifrovacího klíče přiřazeného uživatelem můžete povolit při zřizování nového clusteru pomocí az rest příkazu.

1. Vytvořte soubor JSON s následujícím obsahem. Zástupné symboly, které začínají $ symbolem, nahraďte skutečnými hodnotami a uložte soubor.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
           "administrator": {
             "userName": "$adminName",
             "password": "$complexPassword"
           },
           "serverVersion": "8.0",
           "storage": {
             "sizeGb": 32
           },
           "compute": {
             "tier": "M40"
           },
           "sharding": {
             "shardCount": 1
           },
           "highAvailability": {
             "targetMode": "ZoneRedundantPreferred"
           },
         "encryption": {
             "customerManagedKeyEncryption": {
               "keyEncryptionKeyIdentity": {
                 "identityType": "UserAssignedIdentity",
                 "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
               },
               "keyEncryptionKeyUrl": "$encryptionKeyUrl"
             }
           }
         }
   }
   

   Poznámka:

   Název keyEncryptionKeyUrl klíče by měl obsahovat, ale neměl by obsahovat konkrétní verzi klíče.

2. Spuštěním následujícího příkazu Azure CLI vytvořte volání rozhraní REST API pro vytvoření clusteru Azure DocumentDB. Zástupné symboly v oddílu proměnných a název souboru pro --body parametr v příkazovém az rest řádku nahraďte skutečnými hodnotami.

   # Define your variables
   $randomIdentifier = (New-Guid).ToString().Substring(0,8)
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="DocumentDB"
   $mongoClustersName="msdocscr$randomIdentifier"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

Aktualizace nastavení šifrování dat v clusteru s povoleným klíčem CMK

U existujících clusterů nasazených s šifrováním dat pomocí klíče spravovaného zákazníkem můžete provést několik změn konfigurace. Můžete změnit trezor klíčů, ve kterém je šifrovací klíč uložený, a šifrovací klíč používaný jako klíč spravovaný zákazníkem. Můžete také změnit spravovanou identitu přiřazenou uživatelem používanou službou pro přístup k šifrovacímu klíči uloženému v úložišti klíčů.

Portal

1. Na bočním panelu clusteru v části Nastavení vyberte Šifrování dat.

2. V části Spravovaná identita přiřazená uživatelem vyberte Změnit identitu.

   

3. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má cluster používat pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

4. Vyberte Přidat.

5. V metodě výběru klíče zvolte Vybrat klíč .

6. V klíči zvolte Změnit klíč.

   

7. V podokně Vybrat klíč vyberte Azure Key Vault v trezoru klíčů a šifrovací klíč v klíči a potvrďte své volby výběrem možnosti Vybrat.

   

   Důležité

   Vybraná instance služby Azure Key Vault by měla být ve stejné oblasti Azure, ve které je hostovaný cluster Azure DocumentDB.

8. Potvrďte vybranou spravovanou identitu přiřazenou uživatelem a šifrovací klíč na stránce Šifrování dat a výběrem možnosti Uložit potvrďte výběry a vytvořte cluster replik.

   

Rozhraní REST API

Spravovanou identitu přiřazenou uživatelem a šifrovací klíč pro šifrování dat v existujícím clusteru můžete změnit prostřednictvím volání rozhraní REST API.

1. Vytvořte soubor JSON s následujícím obsahem. Zástupné symboly, které začínají $ symbolem, nahraďte skutečnými hodnotami a uložte soubor.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
           "encryption": {
             "customerManagedKeyEncryption": {
               "keyEncryptionKeyIdentity": {
                 "identityType": "UserAssignedIdentity",
                 "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
               },
               "keyEncryptionKeyUrl": "$encryptionKeyUrl"
             }
           }
         }
   }
   

   Poznámka:

   Název keyEncryptionKeyUrl klíče by měl obsahovat, ale neměl by obsahovat konkrétní verzi klíče.

2. Spuštěním následujícího příkazu Azure CLI vytvořte volání rozhraní REST API pro vytvoření clusteru Azure DocumentDB. Zástupné symboly v oddílu proměnných a název souboru pro --body parametr v příkazovém az rest řádku nahraďte skutečnými hodnotami.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

Ať už chcete změnit jenom spravovanou identitu přiřazenou uživatelem, která se používá pro přístup ke klíči, nebo chcete změnit jenom klíč použitý pro šifrování dat, nebo chcete změnit obojí najednou, musíte zadat všechny parametry uvedené v souboru JSON.

Pokud klíč nebo zadaná spravovaná identita přiřazená uživatelem neexistují, zobrazí se chyba.

Identity předané jako parametry, pokud existují a jsou platné, se automaticky přidají do seznamu spravovaných identit přiřazených uživatelem přidružených k vašemu clusteru Azure DocumentDB. To platí i v případě, že příkaz později selže s jinou chybou.

Změna režimu šifrování dat v existujících clusterech

Jediný bod, kdy se můžete rozhodnout, jestli chcete použít klíč spravovaný službou nebo klíč spravovaný zákazníkem (CMK) pro šifrování dat, je v době vytvoření clusteru. Jakmile provedete toto rozhodnutí a vytvoříte cluster, nemůžete mezi těmito dvěma možnostmi přepínat. Pokud chcete vytvořit kopii clusteru Azure DocumentDB s jinou možností šifrování, můžete buď vytvořit cluster repliky , nebo provést obnovení clusteru a vybrat nový režim šifrování během vytváření clusteru replik nebo obnoveného clusteru.

Povolení nebo zakázání šifrování dat klíče spravovaného zákazníkem (CMK) během vytváření clusteru repliky

Tímto postupem vytvoříte cluster repliky s šifrováním dat CMK nebo SMK a povolíte nebo zakážete CMK v clusteru repliky.

Portal

1. Na bočním panelu clusteru v části Nastavení vyberte Globální distribuci.

2. Vyberte Přidat novou repliku pro čtení.

   

3. Do pole Název repliky zadejte název clusteru repliky pro čtení.

4. Vyberte oblast v části Oblast repliky pro čtení. Cluster repliky je hostovaný ve vybrané oblasti Azure.

   Poznámka:

   Cluster repliky se vždy vytvoří ve stejném předplatném Azure a ve skupině prostředků jako primární cluster (pro čtení i zápis).

   

5. V části Šifrování dat vyberte klíč spravovaný zákazníkem a povolte klíč spravovaný službou CMK a zakažte cmk v clusteru repliky.

   

6. V části Spravovaná identita přiřazená uživatelem vyberte Změnit identitu.

   

7. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má cluster používat pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

8. Vyberte Přidat.

9. V metodě výběru klíče zvolte Vybrat klíč .

10. V klíči zvolte Změnit klíč.

    

11. V podokně Vybrat klíč vyberte Azure Key Vault v trezoru klíčů a šifrovací klíč v klíči a potvrďte své volby výběrem možnosti Vybrat.

    

12. Na stránce Globální distribuce potvrďte vybranou spravovanou identitu přiřazenou uživatelem a šifrovací klíč a výběrem možnosti Uložit potvrďte výběry a vytvořte cluster replik.

    

Rozhraní REST API

Pokud chcete vytvořit cluster repliky s povoleným klíčem CMK ve stejné oblasti, postupujte takto.

1. Vytvořte soubor JSON s následujícím obsahem. Zástupné symboly, které začínají $ symbolem, nahraďte skutečnými hodnotami a uložte soubor.

   {
           "identity": {
               "type": "UserAssigned",
               "userAssignedIdentities": {
                 "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
               }
             },
         "location": "$targetRegionName",
             "properties": {
             	"createMode": "GeoReplica",
                   "replicaParameters": {
                     "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                     "sourceLocation": "sourceRegionName"
                   },
                   "encryption": {
                     "customerManagedKeyEncryption": {
                       "keyEncryptionKeyIdentity": {
                         "identityType": "UserAssignedIdentity",
                         "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                       },
                       "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                     }
                   }
             }
       }
   

   Poznámka:

   Název keyEncryptionKeyUrl klíče by měl obsahovat, ale neměl by obsahovat konkrétní verzi klíče.

2. Spuštěním následujícího příkazu Azure CLI vytvořte volání rozhraní REST API pro vytvoření clusteru Azure DocumentDB. Zástupné symboly v oddílu proměnných a název souboru pro --body parametr v příkazovém az rest řádku nahraďte skutečnými hodnotami.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

Povolení nebo zakázání šifrování dat klíče spravovaného zákazníkem (CMK) během obnovení clusteru

Proces obnovení vytvoří nový cluster se stejnou konfigurací ve stejné oblasti Azure, předplatném a skupině prostředků jako původní. Následujícím postupem vytvoříte obnovený cluster s povoleným cmk nebo SMK.

Portal

1. Vyberte existující cluster Azure DocumentDB.

2. Na bočním panelu clusteru v části Nastavení vyberte Obnovení k určitému bodu v čase.

3. Vyberte datum a zadejte čas (v časovém pásmu UTC) v polích data a času.

   

4. Do pole Obnovit název cílového clusteru zadejte název clusteru .

   

5. Do pole Uživatelské jméno správce správce zadejte název správce clusteru pro obnovený cluster.

6. Do polí Heslo a Potvrzení hesla zadejte heslo pro roli správce.

   

7. V části Šifrování dat vyberte klíč spravovaný zákazníkem a povolte klíč CMK. Pokud potřebujete v obnoveného clusteru zakázat cmk, vyberte klíč spravovaný službou.

   

8. V části Spravovaná identita přiřazená uživatelem vyberte Změnit identitu.

   

9. V seznamu spravovaných identit přiřazených uživatelem vyberte ten, který má cluster používat pro přístup k šifrovacímu klíči dat uloženému ve službě Azure Key Vault.

   

10. Vyberte Přidat.

11. V metodě výběru klíče zvolte Vybrat klíč .

12. V klíči zvolte Změnit klíč.

    

13. V podokně Vybrat klíč vyberte Azure Key Vault v trezoru klíčů a šifrovací klíč v klíči a potvrďte své volby výběrem možnosti Vybrat.

    

14. Výběrem možnosti Odeslat zahájíte obnovení clusteru.

Rozhraní REST API

Pokud chcete obnovit cluster s povoleným klíčem CMK, postupujte takto.

1. Vytvořte soubor JSON s následujícím obsahem. Zástupné symboly, které začínají $ symbolem, nahraďte skutečnými hodnotami a uložte soubor.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
               "administrator": {
                 "userName": "$adminName"
               },
         	"createMode": "PointInTimeRestore",
               "restoreParameters": {
                 "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
                 "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
               },
               "encryption": {
                 "customerManagedKeyEncryption": {
                   "keyEncryptionKeyIdentity": {
                     "identityType": "UserAssignedIdentity",
                     "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                   },
                   "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                 }
               }
         }
   }
   

   Poznámka:

   Název keyEncryptionKeyUrl klíče by měl obsahovat, ale neměl by obsahovat konkrétní verzi klíče.

2. Spuštěním následujícího příkazu Azure CLI vytvořte volání rozhraní REST API pro vytvoření clusteru Azure DocumentDB. Zástupné symboly v oddílu proměnných a název souboru pro --body parametr v příkazovém az rest řádku nahraďte skutečnými hodnotami.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

Po vytvoření obnoveného clusteru zkontrolujte seznam úloh po obnovení.

Související obsah

• Informace o šifrování neaktivních uložených dat v Azure DocumentDB
• Řešení potíží s nastavením CMK
• Podívejte se na omezení CMK
• Migrace dat do Azure DocumentDB