Door de klant beheerde sleutels voor meerdere tenants configureren voor een bestaand opslagaccount

Azure Storage versleutelt alle gegevens in een opslagaccount-at-rest. Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u uw eigen sleutels beheren. Door de klant beheerde sleutels moeten worden opgeslagen in een Azure Key Vault of in een azure Key Vault Managed Hardware Security Model (HSM).

In dit artikel wordt beschreven hoe u versleuteling configureert met door de klant beheerde sleutels voor een bestaand opslagaccount. In het scenario voor meerdere tenants bevindt het opslagaccount zich in een tenant die wordt beheerd door een ISV, terwijl de sleutel die wordt gebruikt voor versleuteling van dat opslagaccount zich in een sleutelkluis bevindt in een tenant die wordt beheerd door de klant.

Zie Door de klant beheerde sleutels configureren voor een nieuw opslagaccount voor meer informatie over het configureren van door de klant beheerde sleutels voor een nieuw opslagaccount.

Notitie

Azure Key Vault en Azure Key Vault Managed HSM ondersteunen dezelfde API's en beheerinterfaces voor de configuratie van door de klant beheerde sleutels. Elke actie die wordt ondersteund voor Azure Key Vault, wordt ook ondersteund voor beheerde HSM van Azure Key Vault.

Over door de klant beheerde sleutels voor meerdere tenants

Veel serviceproviders die SaaS-aanbiedingen (Software as a Service) bouwen in Azure willen hun klanten de mogelijkheid bieden om hun eigen versleutelingssleutels te beheren. Met door de klant beheerde sleutels kan een serviceprovider de gegevens van de klant versleutelen met behulp van een versleutelingssleutel die wordt beheerd door de klant van de serviceprovider en die niet toegankelijk is voor de serviceprovider. In Azure kan de klant van de serviceprovider Azure Key Vault gebruiken om hun versleutelingssleutels te beheren in hun eigen Microsoft Entra-tenant en -abonnement.

Azure-platformservices en -resources die eigendom zijn van de serviceprovider en die zich in de tenant van de serviceprovider bevinden, vereisen toegang tot de sleutel van de tenant van de klant om de versleutelings-/ontsleutelingsbewerkingen uit te voeren.

In de onderstaande afbeelding ziet u een data-at-rest-versleuteling met federatieve identiteit in een CMK-werkstroom voor meerdere tenants voor een serviceprovider en de klant.

In het bovenstaande voorbeeld zijn er twee Microsoft Entra-tenants: de tenant van een onafhankelijke serviceprovider (tenant 1) en de tenant van een klant (tenant 2). Tenant 1 fungeert als host voor Azure-platformservices en Tenant 2 als host voor de sleutelkluis van de klant.

Er wordt een registratie van meerdere tenants gemaakt door de serviceprovider in Tenant 1. Er wordt een federatieve identiteitsreferentie voor deze toepassing gemaakt met behulp van een door de gebruiker toegewezen beheerde identiteit. Vervolgens wordt de naam en toepassings-id van de app gedeeld met de klant.

Een gebruiker met de juiste machtigingen installeert de toepassing van de serviceprovider in de tenant van de klant, Tenant 2. Een gebruiker verleent vervolgens de service-principal die is gekoppeld aan de geïnstalleerde toepassing toegang tot de sleutelkluis van de klant. De klant slaat ook de versleutelingssleutel of door de klant beheerde sleutel op in de sleutelkluis. De klant deelt de sleutellocatie (de URL van de sleutel) met de serviceprovider.

De serviceprovider heeft nu:

• Een toepassings-id voor een toepassing met meerdere tenants die is geïnstalleerd in de tenant van de klant, die toegang heeft gekregen tot de door de klant beheerde sleutel.
• Een beheerde identiteit die is geconfigureerd als de referentie in de multitenant-toepassing.
• De locatie van de sleutel in de sleutelkluis van de klant.

Met deze drie parameters richt de serviceprovider Azure-resources in tenant 1 in die kunnen worden versleuteld met de door de klant beheerde sleutel in Tenant 2.

Laten we de bovenstaande end-to-end-oplossing in drie fasen verdelen:

1. De serviceprovider configureert identiteiten.
2. De klant verleent de multitenant-app van de serviceprovider toegang tot een versleutelingssleutel in Azure Key Vault.
3. De serviceprovider versleutelt gegevens in een Azure-resource met behulp van de CMK.

Bewerkingen in fase 1 zijn een eenmalige installatie voor de meeste serviceprovidertoepassingen. Bewerkingen in fase 2 en 3 worden voor elke klant herhaald.

Fase 1: de serviceprovider configureert een Microsoft Entra-toepassing

Stap	Beschrijving	Minimale rol in Azure RBAC	Minimale rol in Microsoft Entra RBAC
1.	Maak een nieuwe multitenant Microsoft Entra-toepassingsregistratie of begin met een bestaande toepassingsregistratie. Noteer de toepassings-id (client-id) van de toepassingsregistratie met behulp van Azure Portal, Microsoft Graph API, Azure PowerShell of Azure CLI	Geen	Toepassingsontwikkelaar
2.	Maak een door de gebruiker toegewezen beheerde identiteit (te gebruiken als federatieve identiteitsreferentie). Azure Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager-sjablonen	Inzender voor beheerde identiteit	Geen
3.	Configureer door de gebruiker toegewezen beheerde identiteit als federatieve identiteitsreferentie voor de toepassing, zodat deze de identiteit van de toepassing kan imiteren. Graph API-verwijzing naar Azure Portal/ Azure CLI/ Azure PowerShell/	Geen	Eigenaar van de toepassing
4.	Deel de naam en toepassings-id van de toepassing met de klant, zodat ze de toepassing kunnen installeren en autoriseren.	Geen	Geen

Overwegingen voor serviceproviders

• Arm-sjablonen (Azure Resource Manager) worden niet aanbevolen voor het maken van Microsoft Entra-toepassingen.
• Dezelfde multitenant-toepassing kan worden gebruikt voor toegang tot sleutels in een willekeurig aantal tenants, zoals Tenant 2, Tenant 3, Tenant 4, enzovoort. In elke tenant wordt een onafhankelijk exemplaar van de toepassing gemaakt met dezelfde toepassings-id, maar een andere object-id. Elk exemplaar van deze toepassing wordt dus onafhankelijk geautoriseerd. Overweeg hoe het toepassingsobject dat voor deze functie wordt gebruikt om uw toepassing te partitioneren voor alle klanten.
  • De toepassing kan maximaal 20 federatieve identiteitsreferenties hebben. Hiervoor moet een serviceprovider federatieve identiteiten delen tussen de klanten. Zie Een app configureren om een externe id-provider te vertrouwen voor meer informatie over ontwerpoverwegingen en -beperkingen voor federatieve identiteiten
• In zeldzame scenario's kan een serviceprovider één toepassingsobject per klant gebruiken, maar waarvoor aanzienlijke onderhoudskosten nodig zijn om toepassingen op schaal te beheren voor alle klanten.
• In de tenant van de serviceprovider is het niet mogelijk om de verificatie van de uitgever te automatiseren.

Fase 2: de klant autoriseert toegang tot de sleutelkluis

Stap	Beschrijving	Minst bevoegde Azure RBAC-rollen	Microsoft Entra-rollen met minimale bevoegdheden
1.	Aanbevolen: de gebruiker verzenden om u aan te melden bij uw app. Als de gebruiker zich kan aanmelden, bestaat er een service-principal voor uw app in de tenant. Gebruik Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell of Azure CLI om de service-principal te maken. Maak een URL voor beheerderstoestemming en ververleent tenantbrede toestemming om de service-principal te maken met behulp van de toepassings-id.	Geen	Gebruikers met machtigingen voor het installeren van toepassingen
2.	Maak een Azure Key Vault en een sleutel die wordt gebruikt als de door de klant beheerde sleutel.	Aan een gebruiker moet de rol Key Vault-inzender zijn toegewezen om de sleutelkluis te maken Aan een gebruiker moet de rol Key Vault Crypto Officer worden toegewezen om een sleutel toe te voegen aan de sleutelkluis	Geen
3.	Versleutelingsgebruiker van Key Vault cryptoserviceversleutelingsgebruiker toewijzen aan de toepassings-id met toestemming voor de Azure-sleutelkluis	Als u de key vault cryptoserviceversleutelingsgebruikersrol wilt toewijzen aan de toepassing, moet u de rol Gebruikerstoegang Beheer istrator hebben toegewezen.	Geen
4.	Kopieer de URL en sleutelnaam van de sleutelkluis naar de configuratie van door de klant beheerde sleutels van de SaaS-aanbieding.	Geen	Geen

Notitie

Als u toegang tot de beheerde HSM wilt autoriseren voor versleuteling met behulp van CMK, raadpleegt u hier het voorbeeld voor het opslagaccount. Zie Een beheerde HSM beheren met de Azure CLI voor meer informatie over het beheren van sleutels met beheerde HSM

Overwegingen voor klanten van serviceproviders

• In de tenant van de klant, Tenant 2, kan een beheerder beleidsregels instellen om te voorkomen dat niet-beheerders toepassingen installeren. Deze beleidsregels kunnen voorkomen dat niet-beheerders service-principals maken. Als een dergelijk beleid is geconfigureerd, moeten gebruikers met machtigingen voor het maken van service-principals betrokken zijn.
• Toegang tot Azure Key Vault kan worden geautoriseerd met behulp van Azure RBAC of toegangsbeleid. Wanneer u toegang verleent tot een sleutelkluis, moet u het actieve mechanisme voor uw sleutelkluis gebruiken.
• Een Registratie van een Microsoft Entra-toepassing heeft een toepassings-id (client-id). Wanneer de toepassing in uw tenant is geïnstalleerd, wordt er een service-principal gemaakt. De service-principal deelt dezelfde toepassings-id als de app-registratie, maar genereert een eigen object-id. Wanneer u de toepassing machtigt om toegang te hebben tot resources, moet u mogelijk de service-principal Name of ObjectID eigenschap gebruiken.

Fase 3: de serviceprovider versleutelt gegevens in een Azure-resource met behulp van de door de klant beheerde sleutel

Nadat fase 1 en 2 zijn voltooid, kan de serviceprovider versleuteling voor de Azure-resource configureren met de sleutel en sleutelkluis in de tenant van de klant en de Azure-resource in de tenant van de ISV. De serviceprovider kan door de klant beheerde sleutels voor meerdere tenants configureren met de clienthulpprogramma's die door die Azure-resource worden ondersteund, met een ARM-sjabloon of met de REST API.

Door de klant beheerde sleutels voor meerdere tenants configureren

In deze sectie wordt beschreven hoe u een door de klant beheerde sleutel (CMK) voor meerdere tenants configureert en klantgegevens versleutelt. U leert hoe u klantgegevens in een resource in Tenant1 versleutelt met behulp van een CMK die is opgeslagen in een sleutelkluis in Tenant2. U kunt Azure Portal, Azure PowerShell of Azure CLI gebruiken.

Azure-portal

Meld u aan bij Azure Portal en volg deze stappen.

De serviceprovider configureert identiteiten

De volgende stappen worden uitgevoerd door de serviceprovider in de tenant tenant1 van de serviceprovider.

De serviceprovider maakt een nieuwe app-registratie voor meerdere tenants

U kunt een nieuwe Microsoft Entra-toepassingsregistratie voor meerdere tenants maken of beginnen met een bestaande toepassingsregistratie met meerdere tenants. Als u begint met een bestaande toepassingsregistratie, noteert u de toepassings-id (client-id) van de toepassing.

Ga als volgt te werk om een nieuwe registratie te maken:

1. Zoek in het zoekvak naar Microsoft Entra-id. Zoek en selecteer de Extensie Microsoft Entra-id .

2. Selecteer App-registraties beheren > in het linkerdeelvenster.

3. Selecteer + Nieuwe registratie.

4. Geef de naam op voor de registratie van de toepassing en selecteer Account in een organisatiemap (Elke Microsoft Entra-directory – Multitenant).a0>

5. Selecteer Registreren.

6. Noteer de ApplicationId/ClientId van de toepassing.

   

De serviceprovider maakt een door de gebruiker toegewezen beheerde identiteit

Maak een door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als federatieve identiteitsreferentie.

1. Zoek in het zoekvak naar beheerde identiteiten . Zoek en selecteer de extensie Beheerde identiteiten .

2. Selecteer + Maken.

3. Geef de resourcegroep, regio en naam op voor de beheerde identiteit.

4. Selecteer Controleren + maken.

5. Let bij een geslaagde implementatie op de Azure ResourceId van de door de gebruiker toegewezen beheerde identiteit, die beschikbaar is onder Eigenschappen. Voorbeeld:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

De serviceprovider configureert de door de gebruiker toegewezen beheerde identiteit als federatieve referentie voor de toepassing

Configureer een door de gebruiker toegewezen beheerde identiteit als federatieve identiteitsreferentie voor de toepassing, zodat deze de identiteit van de toepassing kan imiteren.

1. Navigeer naar Microsoft Entra ID > App-registraties > uw toepassing.

2. Selecteer Certificaten en geheimen.

3. Selecteer Federatieve referenties.

   

4. Selecteer + Referentie toevoegen.

5. Selecteer onder Scenario met federatieve referenties de optie Door klant beheerde sleutels.

6. Klik op Een beheerde identiteit selecteren. Selecteer het abonnement in het deelvenster. Selecteer onder Beheerde identiteit de door de gebruiker toegewezen beheerde identiteit. Zoek in het vak Selecteren naar de beheerde identiteit die u eerder hebt gemaakt en klik vervolgens onderaan het deelvenster op Selecteren .

   

7. Geef onder Referentiegegevens een naam en een optionele beschrijving op voor de referentie en selecteer Toevoegen.

   

PowerShell

Als u Azure PowerShell wilt gebruiken om de tenant van de ISV te configureren, installeert u de nieuwste Az-module . Zie Azure PowerShell installeren in Windows met PowerShellGet voor meer informatie over het installeren van PowerShell.

• Als u ervoor kiest om Azure PowerShell lokaal te gebruiken:
  • Installeer de nieuwste versie van de Az PowerShell-module.
  • Maak verbinding met uw Azure-account met de cmdlet Connect-AzAccount.
• Als u ervoor kiest om Azure Cloud Shell te gebruiken:
  • Raadpleeg Overzicht van Azure Cloud Shell voor meer informatie.

De serviceprovider configureert identiteiten

De volgende stappen worden uitgevoerd door de serviceprovider (ISV) in de tenant van de serviceprovider, Tenant1.

De serviceprovider meldt zich aan bij Azure

Meld u in Azure PowerShell aan bij de tenant van de ISV en stel het actieve abonnement in op het abonnement van de ISV.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

De serviceprovider maakt een nieuwe app-registratie voor meerdere tenants

Kies een naam voor uw geregistreerde toepassing met meerdere tenants in Tenant1 en maak de toepassing met meerdere tenants in Azure Portal.

De naam die u opgeeft voor de toepassing met meerdere tenants, wordt door de klant gebruikt om de toepassing in Tenant2 te identificeren. Noteer de object-id en toepassings-id van de app. U hebt deze waarden nodig in de volgende stappen.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

De serviceprovider maakt een door de gebruiker toegewezen beheerde identiteit

Meld u aan bij de tenant van de ISV en maak vervolgens een door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als federatieve identiteitsreferentie. Als u een nieuwe door de gebruiker toegewezen beheerde identiteit wilt maken, moet u een rol krijgen met de actie Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

De serviceprovider configureert de door de gebruiker toegewezen beheerde identiteit als federatieve referentie voor de toepassing

Configureer een door de gebruiker toegewezen beheerde identiteit als federatieve identiteitsreferentie voor de toepassing, zodat deze de identiteit van de toepassing kan imiteren.

Als u de federatieve identiteitsreferenties wilt configureren vanuit PowerShell, installeert u eerst versie 6.3.0 of hoger van de Az.Resources-module .

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure-CLI

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

De serviceprovider configureert identiteiten

De volgende stappen worden uitgevoerd door de serviceprovider in de tenant tenant1 van de serviceprovider.

De serviceprovider meldt zich aan bij Azure

Meld u aan bij Azure om Azure CLI te gebruiken.

az login

De serviceprovider maakt een nieuwe app-registratie voor meerdere tenants

Kies een naam voor uw toepassing met meerdere tenants in Tenant1 en maak de toepassing met meerdere tenants in Azure Portal.

De naam die u opgeeft voor de toepassing met meerdere tenants, wordt door de klant gebruikt om de toepassing in Tenant2 te identificeren. Kopieer de toepassings-id (of client-id) van de app, de object-id van de app en ook de tenant-id voor de app. U hebt deze waarden nodig in de volgende stappen.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

De serviceprovider maakt een door de gebruiker toegewezen beheerde identiteit

Meld u aan bij de tenant van de ISV en maak vervolgens een door de gebruiker toegewezen beheerde identiteit die moet worden gebruikt als federatieve identiteitsreferentie. Als u een nieuwe door de gebruiker toegewezen beheerde identiteit wilt maken, moet u een rol krijgen met de actie Microsoft.ManagedIdentity/userAssignedIdentities/write .

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

De serviceprovider configureert de door de gebruiker toegewezen beheerde identiteit als federatieve referentie voor de toepassing

Voer de methode az ad app federated-credential create uit om een federatieve identiteitsreferentie in een app te configureren en een vertrouwensrelatie met een externe id-provider te maken.

Gebruik api://AzureADTokenExchange deze als waarde audience in de federatieve identiteitsreferentie. Zie de API-verwijzing voor meer informatie.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

De serviceprovider deelt de toepassings-id met de klant

Zoek de toepassings-id (client-id) van de toepassing met meerdere tenants en deel deze met de klant.

De klant verleent de app van de serviceprovider toegang tot de sleutel in de sleutelkluis

De volgende stappen worden uitgevoerd door de klant in de tenant tenant2 van de klant. De klant kan Azure Portal, Azure PowerShell of Azure CLI gebruiken.

De gebruiker die de stappen uitvoert, moet een beheerder zijn met een bevoorrechte rol, zoals Application Beheer istrator, Cloud Application Beheer istrator of Global Beheer istrator.

Portal

Meld u aan bij Azure Portal en volg deze stappen.

De klant installeert de toepassing van de serviceprovider in de tenant van de klant

Als u de geregistreerde toepassing van de serviceprovider in de tenant van de klant wilt installeren, maakt u een service-principal met de toepassings-id van de geregistreerde app. U kunt de service-principal op een van de volgende manieren maken:

• Gebruik Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell of Azure CLI om de service-principal handmatig te maken.
• Maak een URL voor beheerderstoestemming en ververleent tenantbrede toestemming om de service-principal te maken. U moet ze voorzien van uw AppId.

De klant maakt een sleutelkluis

Als u de sleutelkluis wilt maken, moet het account van de gebruiker de rol Key Vault-inzender of een andere rol hebben waarmee een sleutelkluis kan worden gemaakt.

1. Selecteer + Een resource maken in het menu van Azure Portal of op de startpagina. Voer sleutelkluizen in het zoekvak in. Selecteer sleutelkluizen in de lijst met resultaten. Selecteer Maken op de pagina Sleutelkluizen.

2. Kies een abonnement op het tabblad Basisbeginselen . Selecteer onder Resourcegroep Nieuwe maken en voer de naam van een resourcegroep in.

3. Voer een unieke naam in voor de sleutelkluis.

4. Selecteer een regio en prijscategorie.

5. Schakel beveiliging tegen opschonen in voor de nieuwe sleutelkluis.

6. Selecteer op het tabblad Toegangsbeleid het op rollen gebaseerde toegangsbeheer van Azure voor het machtigingsmodel.

7. Selecteer Controleren en maken en vervolgens Maken.

   

Noteer de naam van de sleutelkluis en de URI-toepassingen die toegang hebben tot uw sleutelkluis, moeten deze URI gebruiken.

Zie Quickstart: Een Azure Key Vault maken met Azure Portal voor meer informatie.

De klant wijst de rol Crypto Officer van Key Vault toe aan een gebruikersaccount

Deze stap zorgt ervoor dat u versleutelingssleutels kunt maken.

1. Navigeer naar uw sleutelkluis en selecteer Toegangsbeheer (IAM) in het linkerdeelvenster.
2. Onder Toegang verlenen tot deze bron, selecteert u Roltoewijzing toevoegen.
3. Zoek en selecteer Key Vault Crypto Officer.
4. Selecteer onder Leden de optie Gebruiker, groep of service-principal.
5. Selecteer Leden en zoek uw gebruikersaccount.
6. Selecteer Controleren + Toewijzen.

De klant maakt een versleutelingssleutel

Als u de versleutelingssleutel wilt maken, moet aan het account van de gebruiker de rol Crypto Officer van key vault of een andere rol worden toegewezen waarmee een sleutel kan worden gemaakt.

1. Selecteer Sleutels op de eigenschappenpagina van Key Vault.
2. Selecteer Genereren/Importeren.
3. Geef in het scherm Een sleutel maken een naam op voor de sleutel. Houd voor de overige waarden de standaardwaarden aan.
4. Selecteer Maken.
5. Kopieer de sleutel-URI.

De klant verleent de toepassing van de serviceprovider toegang tot de sleutelkluis

Wijs de Azure RBAC-rol Key Vault Crypto Service Encryption-gebruiker toe aan de geregistreerde toepassing van de serviceprovider, zodat deze toegang heeft tot de sleutelkluis.

1. Navigeer naar uw sleutelkluis en selecteer Toegangsbeheer (IAM) in het linkerdeelvenster.
2. Onder Toegang verlenen tot deze bron, selecteert u Roltoewijzing toevoegen.
3. Zoek en selecteer Key Vault Crypto Service Encryption User.
4. Selecteer onder Leden de optie Gebruiker, groep of service-principal.
5. Selecteer Leden en zoek de toepassingsnaam van de toepassing die u hebt geïnstalleerd bij de serviceprovider.
6. Selecteer Controleren + Toewijzen.

U kunt nu door de klant beheerde sleutels configureren met de sleutelkluis-URI en sleutel.

PowerShell

Als u Azure PowerShell wilt gebruiken om de tenant van de client te configureren, installeert u de nieuwste Az-module . Zie Azure PowerShell installeren in Windows met PowerShellGet voor meer informatie over het installeren van PowerShell.

• Als u ervoor kiest om Azure PowerShell lokaal te gebruiken:
  • Installeer de nieuwste versie van de Az PowerShell-module.
  • Maak verbinding met uw Azure-account met de cmdlet Connect-AzAccount.
• Als u ervoor kiest om Azure Cloud Shell te gebruiken:
  • Raadpleeg Overzicht van Azure Cloud Shell voor meer informatie.

De klant meldt zich aan bij Azure

Meld u in Azure PowerShell aan bij de tenant van de klant en stel het actieve abonnement in op het abonnement van de klant.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

De klant installeert de toepassing van de serviceprovider in de tenant van de klant

Nadat u de toepassings-id van de toepassing met meerdere tenants van de serviceprovider hebt ontvangen, installeert u de toepassing in uw tenant, Tenant2, door een service-principal te maken.

Voer de volgende opdrachten uit in de tenant waar u de sleutelkluis wilt maken.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

De klant maakt een sleutelkluis

Als u de sleutelkluis wilt maken, moet aan het account van de klant de rol Key Vault-inzender of een andere rol worden toegewezen waarmee een sleutelkluis kan worden gemaakt.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

De klant wijst de rol Crypto Officer van Key Vault toe aan een gebruikersaccount

Wijs de rol Crypto Officer van Key Vault toe aan een gebruikersaccount. Deze stap zorgt ervoor dat de gebruiker de sleutelkluis en versleutelingssleutels kan maken. In het onderstaande voorbeeld wordt de rol toegewezen aan de huidige aangemelde gebruiker.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

De klant maakt een versleutelingssleutel

Als u de versleutelingssleutel wilt maken, moet aan het account van de gebruiker de rol Crypto Officer van key vault of een andere rol worden toegewezen waarmee een sleutel kan worden gemaakt.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

De klant verleent de toepassing van de serviceprovider toegang tot de sleutelkluis

Wijs de Sleutelkluis cryptoserviceversleutelingsgebruiker van de Azure RBAC-rol toe aan de geregistreerde toepassing van de serviceprovider, via de service-principal die u eerder hebt gemaakt, zodat deze toegang heeft tot de sleutelkluis.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

U kunt nu door de klant beheerde sleutels configureren met de sleutelkluis-URI en sleutel.

Azure-CLI

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

De klant meldt zich aan bij Azure

Meld u aan bij Azure om Azure CLI te gebruiken.

az login

De klant installeert de toepassing van de serviceprovider in de tenant van de klant

Nadat u de toepassings-id van de toepassing met meerdere tenants van de serviceprovider hebt ontvangen, installeert u de toepassing in uw tenant tenant2 met behulp van de volgende opdracht. Als u de toepassing installeert, wordt er een service-principal in uw tenant gemaakt.

Voer de volgende opdrachten uit in de tenant waar u de sleutelkluis wilt maken.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

De klant maakt een sleutelkluis

Als u de sleutelkluis wilt maken, moet aan het account van de klant de rol Key Vault-inzender of een andere rol worden toegewezen waarmee een sleutelkluis kan worden gemaakt.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

De klant wijst de rol Crypto Officer van Key Vault toe aan een gebruikersaccount

Deze stap zorgt ervoor dat u de sleutelkluis en versleutelingssleutels kunt maken.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

De klant maakt een versleutelingssleutel

Als u de versleutelingssleutel wilt maken, moet aan het account van de gebruiker de rol Crypto Officer van key vault of een andere rol worden toegewezen waarmee een sleutel kan worden gemaakt.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

De klant verleent de toepassing van de serviceprovider toegang tot de sleutelkluis

Wijs de Azure RBAC-rol Key Vault Crypto Service Encryption User toe aan de geregistreerde toepassing van de serviceprovider, via de service-principal die u eerder hebt gemaakt, zodat de geregistreerde toepassing toegang heeft tot de sleutelkluis.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

U kunt nu door de klant beheerde sleutels configureren met de sleutelkluis-URI en sleutel.

Door de klant beheerde sleutels configureren voor een bestaand account

Tot nu toe hebt u de toepassing met meerdere tenants geconfigureerd op de tenant van de ISV, de toepassing op de tenant van de klant geïnstalleerd en de sleutelkluis en sleutel geconfigureerd op de tenant van de klant. Vervolgens kunt u door de klant beheerde sleutels configureren voor een bestaand opslagaccount met de sleutel van de tenant van de klant.

De voorbeelden in dit artikel laten zien hoe u door de klant beheerde sleutels configureert voor een bestaand opslagaccount met behulp van een door de gebruiker toegewezen beheerde identiteit om toegang tot de sleutelkluis te autoriseren. U kunt ook een door het systeem toegewezen beheerde identiteit gebruiken om door de klant beheerde sleutels te configureren voor een bestaand opslagaccount. In beide gevallen moet de beheerde identiteit over de juiste machtigingen beschikken om toegang te krijgen tot de sleutelkluis. Zie Verifiëren bij Azure Key Vault voor meer informatie.

Wanneer u versleuteling configureert met door de klant beheerde sleutels voor een bestaand opslagaccount, kunt u ervoor kiezen om automatisch de sleutelversie bij te werken die wordt gebruikt voor Azure Storage-versleuteling wanneer er een nieuwe versie beschikbaar is in de bijbehorende sleutelkluis. Laat hiervoor de sleutelversie weg van de sleutel-URI. U kunt ook expliciet een sleutelversie opgeven die moet worden gebruikt voor versleuteling totdat de sleutelversie handmatig wordt bijgewerkt. Inclusief de sleutelversie op de sleutel-URI configureert door de klant beheerde sleutels voor het handmatig bijwerken van de sleutelversie.

Belangrijk

Als u een sleutel wilt draaien, maakt u een nieuwe versie van de sleutel in Azure Key Vault. Azure Storage verwerkt geen sleutelrotatie, dus u moet de rotatie van de sleutel in de sleutelkluis beheren. U kunt automatische rotatie van sleutels configureren in Azure Key Vault of uw sleutel handmatig draaien.

Azure Storage controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel roteert in Azure Key Vault, wacht u 24 uur voordat u de oudere versie uitschakelt.

Azure-portal

Voer de volgende stappen uit om door de klant beheerde sleutels voor een bestaand opslagaccount in Azure Portal te configureren:

1. Navigeer naar uw opslagaccount.

2. Selecteer Versleuteling in de optie Onder Beveiliging en netwerken. Sleutelbeheer is standaard ingesteld op door Microsoft beheerde sleutels, zoals wordt weergegeven in de volgende afbeelding.

   

3. Selecteer de optie Door de klant beheerde sleutels .

4. Kies de optie Selecteren uit Key Vault .

5. Selecteer Enter-sleutel-URI en geef de sleutel-URI op. Laat de sleutelversie van de URI weg als u wilt dat Azure Storage automatisch controleert op een nieuwe sleutelversie en deze bijwerkt.

6. Selecteer het abonnement dat de sleutelkluis en sleutel bevat.

7. Selecteer in het veld Identiteitstype de optie Door de gebruiker toegewezen en geef vervolgens de beheerde identiteit op met de federatieve identiteitsreferenties die u eerder hebt gemaakt.

8. Vouw de sectie Geavanceerd uit en selecteer de geregistreerde toepassing met meerdere tenants die u eerder hebt gemaakt in de tenant van de ISV.

   

9. Sla uw wijzigingen op.

Nadat u de sleutel hebt opgegeven uit de sleutelkluis in de tenant van de klant, geeft Azure Portal aan dat door de klant beheerde sleutels met die sleutel zijn geconfigureerd. Het geeft ook aan dat automatisch bijwerken van de sleutelversie is ingeschakeld en dat de sleutelversie wordt weergegeven die momenteel wordt gebruikt voor versleuteling. In de portal wordt ook het type beheerde identiteit weergegeven dat wordt gebruikt voor het autoriseren van toegang tot de sleutelkluis, de principal-id voor de beheerde identiteit en de toepassings-id van de toepassing met meerdere tenants.

PowerShell

Als u door de klant beheerde sleutels voor meerdere tenants wilt configureren voor een nieuw opslagaccount met PowerShell, installeert u eerst de Az.Storage PowerShell-module, versie 5.1.0 of hoger. Deze module is geïnstalleerd met de Az PowerShell-module, versie 9.1.0 of hoger.

Roep vervolgens Set-AzStorageAccount aan en geef de resource-id op voor de door de gebruiker toegewezen beheerde identiteit die u eerder hebt geconfigureerd in het abonnement van de ISV en de toepassings-id (client) voor de toepassing met meerdere tenants die u eerder in het abonnement van de ISV hebt geconfigureerd. Geef de sleutelkluis-URI en sleutelnaam op uit de sleutelkluis van de klant.

Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

$accountName = "<storage-account>"
$kvUri = "<key-vault-uri>"
$keyName = "<key-name>"
$multiTenantAppId = "<multi-tenant-app-id>"

Set-AzStorageAccount -ResourceGroupName $isvRgName `
    -Name $accountName `
    -KeyvaultEncryption `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

Azure-CLI

Als u door de klant beheerde sleutels voor meerdere tenants wilt configureren voor een bestaand opslagaccount met Azure CLI, installeert u eerst de Azure CLI, versie 2.42.0 of hoger. Zie De Azure CLI installeren voor meer informatie over het installeren van Azure CLI.

Roep vervolgens az storage account update aan, waarbij de resource-id wordt opgegeven voor de door de gebruiker toegewezen beheerde identiteit die u eerder hebt geconfigureerd in het abonnement van de ISV en de toepassings-id (client) voor de toepassing met meerdere tenants die u eerder in het abonnement van de ISV hebt geconfigureerd. Geef de sleutelkluis-URI en sleutelnaam op uit de sleutelkluis van de klant.

Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $userIdentityName \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account update --name $accountName \
    --resource-group $isvRgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Azure Storage-versleuteling op elk gewenst moment wijzigen.

Notitie

Wanneer u de sleutel of sleutelversie wijzigt, wordt de beveiliging van de hoofdversleutelingssleutel gewijzigd, maar blijven de gegevens in uw Azure Storage-account altijd versleuteld. Er zijn geen aanvullende acties van uw kant vereist om ervoor te zorgen dat uw gegevens worden beschermd. Het wijzigen van de sleutel of het roteren van de sleutelversie heeft geen invloed op de prestaties. Er is geen downtime verbonden aan het wijzigen van de sleutel of het roteren van de sleutelversie.

Azure-portal

Voer de volgende stappen uit om de sleutel te wijzigen met Azure Portal:

1. Navigeer naar uw opslagaccount en geef de versleutelingsinstellingen weer.
2. Selecteer de sleutelkluis en kies een nieuwe sleutel.
3. Sla uw wijzigingen op.

PowerShell

Als u de sleutel wilt wijzigen met PowerShell, roept u Set-AzStorageAccount aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Azure-CLI

Als u de sleutel wilt wijzigen met Azure CLI, roept u az storage account update aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels

Als u de toegang tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels tijdelijk wilt intrekken, schakelt u de sleutel uit die momenteel wordt gebruikt in de sleutelkluis. Er is geen invloed op de prestaties of downtime die is gekoppeld aan het uitschakelen en opnieuw inschakelen van de sleutel.

Nadat de sleutel is uitgeschakeld, kunnen clients geen bewerkingen aanroepen die lezen van of schrijven naar een blob of de metagegevens ervan. Zie Toegang intrekken tot een opslagaccount dat gebruikmaakt van door de klant beheerde sleutels voor informatie over welke bewerkingen mislukken.

Let op

Wanneer u de sleutel in de sleutelkluis uitschakelt, blijven de gegevens in uw Azure Storage-account versleuteld, maar worden deze niet meer toegankelijk totdat u de sleutel opnieuw kunt activeren.

Azure-portal

Voer de volgende stappen uit om een door de klant beheerde sleutel uit te schakelen met Azure Portal:

1. Navigeer naar de sleutelkluis die de sleutel bevat.

2. Selecteer Onder Objecten de optie Sleutels.

3. Klik met de rechtermuisknop op de toets en selecteer Uitschakelen.

   

PowerShell

Als u een door de klant beheerde sleutel wilt intrekken met PowerShell, roept u de opdracht Update-AzKeyVaultKey aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure-CLI

Als u een door de klant beheerde sleutel wilt intrekken met Azure CLI, roept u de opdracht az keyvault key set-attributes aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Overschakelen naar door Microsoft beheerde sleutels

U kunt op elk gewenst moment overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met behulp van Azure Portal, PowerShell of De Azure CLI.

Azure-portal

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels in Azure Portal, voert u de volgende stappen uit:

1. Navigeer naar uw opslagaccount.

2. Selecteer Versleuteling onder Beveiliging en netwerken.

3. Wijzig het versleutelingstype in door Microsoft beheerde sleutels.

   

PowerShell

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met PowerShell, roept u Set-AzStorageAccount aan met de -StorageEncryption optie, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure-CLI

Als u wilt overschakelen van door de klant beheerde sleutels naar door Microsoft beheerde sleutels met Azure CLI, roept u az storage account update aan en stelt u het --encryption-key-source parameterMicrosoft.Storagein op , zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Zie ook

• Door klant beheerde sleutels voor Azure Storage-versleuteling
• Door de klant beheerde sleutels voor meerdere tenants configureren voor een nieuw opslagaccount