Obracanie i odwoływanie klucza zarządzanego przez klienta

  • Artykuł

Ten artykuł jest trzecią częścią czteroczęściowej serii samouczków. Część pierwsza zawiera omówienie kluczy zarządzanych przez klienta, ich funkcji i zagadnień przed włączeniem ich w rejestrze. W drugiej części dowiesz się, jak włączyć klucz zarządzany przez klienta przy użyciu interfejsu wiersza polecenia platformy Azure, Azure Portal lub szablonu usługi Azure Resource Manager. Ten artykuł przeprowadzi Cię przez rotację, aktualizowanie i odwołowanie klucza zarządzanego przez klienta.

Obracanie klucza zarządzanego przez klienta

Aby obrócić klucz, możesz zaktualizować wersję klucza w usłudze Azure Key Vault lub utworzyć nowy klucz. Podczas rotacji klucza można określić tę samą tożsamość, która była używana do utworzenia rejestru.

Opcjonalnie:

  • Skonfiguruj nową tożsamość przypisaną przez użytkownika, aby uzyskać dostęp do klucza.
  • Włącz i określ tożsamość przypisaną przez system rejestru.

Uwaga

Aby włączyć tożsamość przypisaną przez system rejestru w portalu, wybierz pozycję Ustawienia>Tożsamość i ustaw stan tożsamości przypisanej przez system na .

Upewnij się, że dla tożsamości skonfigurowanej na potrzeby dostępu do klucza ustawiono wymagany dostęp do magazynu kluczy .

Tworzenie lub aktualizowanie wersji klucza przy użyciu interfejsu wiersza polecenia platformy Azure

Aby utworzyć nową wersję klucza, uruchom polecenie az keyvault key create :

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Jeśli skonfigurujesz rejestr w celu wykrywania aktualizacji wersji klucza, klucz zarządzany przez klienta zostanie automatycznie zaktualizowany w ciągu jednej godziny.

Jeśli skonfigurujesz rejestr na potrzeby ręcznego aktualizowania nowej wersji klucza, uruchom polecenie az-acr-encryption-rotate-key . Przekaż nowy identyfikator klucza i tożsamość, którą chcesz skonfigurować.

Porada

Po uruchomieniu polecenia az-acr-encryption-rotate-keymożna przekazać identyfikator klucza w wersji lub niewersjowany identyfikator klucza. Jeśli używasz niewersyjnego identyfikatora klucza, rejestr jest konfigurowany do automatycznego wykrywania aktualizacji nowszej wersji klucza.

Aby ręcznie zaktualizować wersję klucza zarządzanego przez klienta, dostępne są dwie opcje:

  • Obróć klucz i użyj tożsamości przypisanej przez użytkownika.

    Jeśli używasz klucza z innego magazynu kluczy, sprawdź, czy principal-id-user-assigned-identity masz getuprawnienia , wrapi unwrap w tym magazynie kluczy.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Obróć klucz i użyj tożsamości przypisanej przez system.

    Przed użyciem tożsamości przypisanej przez system sprawdź, czy getdo niej przypisano uprawnienia , wrapi unwrap .

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Tworzenie lub aktualizowanie wersji klucza przy użyciu Azure Portal

Użyj ustawień szyfrowania rejestru, aby zaktualizować magazyn kluczy, klucz lub ustawienia tożsamości dla klucza zarządzanego przez klienta.

Aby na przykład skonfigurować nowy klucz:

  1. W portalu przejdź do rejestru.

  2. W obszarze Ustawienia wybierz pozycjęKlucz zmianyszyfrowania>.

    Zrzut ekranu przedstawiający opcje klucza szyfrowania w Azure Portal.

  3. W obszarze Szyfrowanie wybierz jedną z następujących opcji:

    • Wybierz pozycję Wybierz z Key Vault, a następnie wybierz istniejący magazyn kluczy i klucz lub wybierz pozycję Utwórz nowy. Wybrany klucz jest niewersjowany i włącza automatyczne obracanie kluczy.
    • Wybierz pozycję Enter key URI (Wprowadź identyfikator URI klucza) i podaj identyfikator klucza bezpośrednio. Możesz podać identyfikator URI klucza w wersji (dla klucza, który musi zostać obrócony ręcznie) lub niewersyjny identyfikator URI klucza (który umożliwia automatyczne obracanie kluczy).

  4. Ukończ wybór klucza, a następnie wybierz pozycję Zapisz.

Odwoływanie klucza zarządzanego przez klienta

Klucz szyfrowania zarządzany przez klienta można odwołać, zmieniając zasady dostępu, zmieniając uprawnienia w magazynie kluczy lub usuwając klucz.

Aby zmienić zasady dostępu tożsamości zarządzanej używanej przez rejestr, uruchom polecenie az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Aby usunąć poszczególne wersje klucza, uruchom polecenie az-keyvault-key-delete . Ta operacja wymaga uprawnień do usuwania kluczy.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Uwaga

Odwołanie klucza zarządzanego przez klienta spowoduje zablokowanie dostępu do wszystkich danych rejestru. Jeśli włączysz dostęp do klucza lub przywrócisz usunięty klucz, rejestr wybierze klucz i będzie można odzyskać kontrolę nad dostępem do zaszyfrowanych danych rejestru.

Następne kroki

Przejdź do następnego artykułu , aby rozwiązać typowe problemy, takie jak błędy podczas usuwania tożsamości zarządzanej, błędów 403 i przypadkowego usunięcia klucza.