Een door de klant beheerde sleutel draaien en intrekken

  • Artikel

Dit artikel is deel drie van een vierdelige reeks zelfstudies. Deel 1 biedt een overzicht van door de klant beheerde sleutels, hun functies en overwegingen voordat u er een inschakelt in uw register. In deel twee leert u hoe u een door de klant beheerde sleutel inschakelt met behulp van de Azure CLI, de Azure Portal of een Azure Resource Manager-sjabloon. Dit artikel begeleidt u bij het roteren, bijwerken en intrekken van een door de klant beheerde sleutel.

Een door de klant beheerde sleutel roteren

Als u een sleutel wilt draaien, kunt u de sleutelversie bijwerken in Azure Key Vault of een nieuwe sleutel maken. Tijdens het roteren van de sleutel kunt u dezelfde identiteit opgeven die u hebt gebruikt om het register te maken.

U kunt desgewenst het volgende doen:

  • Configureer een nieuwe door de gebruiker toegewezen identiteit voor toegang tot de sleutel.
  • Schakel de door het systeem toegewezen identiteit van het register in en geef deze op.

Notitie

Als u de door het systeem toegewezen identiteit van het register in de portal wilt inschakelen, selecteert u Instellingen>Identiteit en stelt u de status van de door het systeem toegewezen identiteit in op Aan.

Zorg ervoor dat de vereiste toegang tot de sleutelkluis is ingesteld voor de identiteit die u configureert voor sleuteltoegang.

De sleutelversie maken of bijwerken met behulp van de Azure CLI

Voer de opdracht az keyvault key create uit om een nieuwe sleutelversie te maken:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Als u het register configureert om updates van sleutelversies te detecteren, wordt de door de klant beheerde sleutel automatisch binnen een uur bijgewerkt.

Als u het register configureert voor handmatig bijwerken voor een nieuwe sleutelversie, voert u de opdracht az-acr-encryption-rotate-key uit. Geef de nieuwe sleutel-id en de identiteit door die u wilt configureren.

Tip

Wanneer u uitvoert az-acr-encryption-rotate-key, kunt u een versie-id of een niet-omgekeerde sleutel-id doorgeven. Als u een niet-omgekeerde sleutel-id gebruikt, wordt het register geconfigureerd om automatisch updates van de sleutelversie te detecteren.

Als u een door de klant beheerde sleutelversie handmatig wilt bijwerken, hebt u twee opties:

  • Draai de sleutel en gebruik een door de gebruiker toegewezen identiteit.

    Als u de sleutel uit een andere sleutelkluis gebruikt, controleert u of principal-id-user-assigned-identity de machtigingen , wrapen unwrap voor die sleutelkluis zijnget.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Draai de sleutel en gebruik een door het systeem toegewezen identiteit.

    Voordat u de door het systeem toegewezen identiteit gebruikt, controleert u of de getmachtigingen , wrapen unwrap eraan zijn toegewezen.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

De sleutelversie maken of bijwerken met behulp van de Azure Portal

Gebruik de versleutelingsinstellingen van het register om de sleutelkluis, sleutel of identiteitsinstellingen voor een door de klant beheerde sleutel bij te werken.

Als u bijvoorbeeld een nieuwe sleutel wilt configureren, gaat u als volgt te werk:

  1. Ga in de portal naar uw register.

  2. Selecteer onder Instellingende optie Versleutelingswijzigingssleutel>.

    Schermopname van opties voor versleutelingssleutels in de Azure Portal.

  3. Kies in Versleuteling een van de volgende opties:

    • Kies Selecteren in Key Vault en selecteer vervolgens een bestaande sleutelkluis en sleutel of selecteer Nieuwe maken. De sleutel die u selecteert, is ongedaan en schakelt automatische sleutelrotatie in.
    • Selecteer Enter key URI en geef rechtstreeks een sleutel-id op. U kunt een versie van de sleutel-URI opgeven (voor een sleutel die handmatig moet worden gedraaid) of een niet-omgedraaide sleutel-URI (waarmee automatische sleutelrotatie mogelijk is).

  4. Voltooi de sleutelselectie en selecteer vervolgens Opslaan.

Een door de klant beheerde sleutel intrekken

U kunt een door de klant beheerde versleutelingssleutel intrekken door het toegangsbeleid te wijzigen, door de machtigingen voor de sleutelkluis te wijzigen of door de sleutel te verwijderen.

Als u het toegangsbeleid wilt wijzigen van de beheerde identiteit die uw register gebruikt, voert u de opdracht az-keyvault-delete-policy uit:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Als u de afzonderlijke versies van een sleutel wilt verwijderen, voert u de opdracht az-keyvault-key-delete uit . Voor deze bewerking is de machtiging sleutels/verwijderen vereist.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Notitie

Als u een door de klant beheerde sleutel inroept, wordt de toegang tot alle registergegevens geblokkeerd. Als u toegang tot de sleutel inschakelt of een verwijderde sleutel herstelt, kiest het register de sleutel en kunt u weer controle krijgen over de toegang tot de versleutelde registergegevens.

Volgende stappen

Ga naar het volgende artikel om veelvoorkomende problemen op te lossen, zoals fouten bij het verwijderen van een beheerde identiteit, 403-fouten en onbedoelde verwijderingen van sleutels.