Memutar dan mencabut kunci yang dikelola pelanggan

  • Artikel

Artikel ini adalah bagian ketiga dalam seri tutorial yang terdiri dari empat bagian. Bagian pertama memberikan gambaran umum tentang kunci yang dikelola pelanggan, fitur, dan pertimbangannya sebelum Anda mengaktifkannya di registri Anda. Di bagian dua, Anda mempelajari cara mengaktifkan kunci yang dikelola pelanggan dengan menggunakan Azure CLI, portal Azure, atau templat Azure Resource Manager. Artikel ini memancarkan Anda melalui memutar, memperbarui, dan mencabut kunci yang dikelola pelanggan.

Memutar kunci yang dikelola pelanggan

Untuk memutar kunci, Anda dapat memperbarui versi kunci di Azure Key Vault atau membuat kunci baru. Saat memutar kunci, Anda dapat menentukan identitas yang sama dengan yang Anda gunakan untuk membuat registri.

Secara opsional, Anda dapat:

  • Konfigurasikan identitas baru yang ditetapkan pengguna untuk mengakses kunci.
  • Aktifkan dan tentukan identitas yang ditetapkan sistem registri.

Catatan

Untuk mengaktifkan identitas yang ditetapkan sistem registri di portal, pilih Pengaturan>Identitas dan setel status identitas yang ditetapkan sistem ke Aktif.

Pastikan bahwa akses brankas kunci yang diperlukan diatur untuk identitas yang Anda konfigurasi untuk akses kunci.

Membuat atau memperbarui versi kunci dengan menggunakan Azure CLI

Untuk membuat versi kunci baru, jalankan perintah az keyvault key create:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Jika Anda mengonfigurasi registri untuk mendeteksi pembaruan versi kunci, kunci yang dikelola pelanggan akan diperbarui secara otomatis dalam waktu satu jam.

Jika Anda mengonfigurasi registri untuk pembaruan manual untuk versi kunci baru, jalankan perintah az-acr-encryption-rotate-key . Berikan ID kunci baru dan identitas yang ingin Anda konfigurasi.

Tip

Saat menjalankan az-acr-encryption-rotate-key, Anda dapat meneruskan ID kunci versi atau ID kunci yang tidak diversi. Jika Anda menggunakan ID kunci yang tidak diversi, registri kemudian dikonfigurasi untuk secara otomatis mendeteksi pembaruan versi kunci nanti.

Untuk memperbarui versi kunci yang dikelola pelanggan secara manual, Anda memiliki dua opsi:

  • Putar kunci dan gunakan identitas yang ditetapkan pengguna.

    Jika Anda menggunakan kunci dari brankas kunci yang berbeda, verifikasi bahwa memiliki principal-id-user-assigned-identity izin , wrap, dan unwrap pada brankas kunci tersebutget.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Putar kunci dan gunakan identitas yang ditetapkan sistem.

    Sebelum Anda menggunakan identitas yang ditetapkan sistem, verifikasi bahwa izin , wrap, dan unwrap ditetapkan untuk identitas tersebutget.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Membuat atau memperbarui versi kunci dengan menggunakan portal Azure

Gunakan pengaturan Enkripsi registri untuk memperbarui brankas kunci, kunci, atau pengaturan identitas untuk kunci yang dikelola pelanggan.

Misalnya, untuk mengonfigurasi kunci baru:

  1. Di portal, buka registri Anda.

  2. Di bawah Pengaturan, pilih Enkripsi>Ganti kunci.

    Cuplikan layar opsi kunci enkripsi di portal Azure.

  3. Di Enkripsi, pilih salah satu opsi berikut:

    • Pilih Pilih dari Key Vault, lalu pilih brankas kunci dan kunci yang ada atau pilih Buat baru. Kunci yang Anda pilih tidak diversi dan mengaktifkan rotasi kunci otomatis.
    • Pilih Masukkan URI kunci, dan berikan pengidentifikasi kunci secara langsung. Anda dapat menyediakan URI kunci versi (untuk kunci yang harus diputar secara manual) atau URI kunci yang tidak diversi (yang memungkinkan rotasi kunci otomatis).

  4. Selesaikan pilihan kunci, lalu pilih Simpan.

Mencabut kunci yang dikelola pelanggan

Anda dapat mencabut kunci enkripsi yang dikelola pelanggan dengan mengubah kebijakan akses, dengan mengubah izin pada brankas kunci, atau dengan menghapus kunci.

Untuk mengubah kebijakan akses identitas terkelola yang digunakan registri Anda, jalankan perintah az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Untuk menghapus versi kunci individual, jalankan perintah az-keyvault-key-delete . Operasi ini memerlukan izin kunci/hapus .

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Catatan

Mencabut kunci yang dikelola pelanggan akan memblokir akses ke semua data registri. Jika Anda mengaktifkan akses ke kunci atau memulihkan kunci yang dihapus, registri akan memilih kunci, dan Anda dapat mendapatkan kembali kontrol akses ke data registri terenkripsi.

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk memecahkan masalah umum seperti kesalahan saat Anda menghapus identitas terkelola, kesalahan 403, dan penghapusan kunci yang tidak disengaja.