Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami dla konta usługi Azure Cosmos DB za pomocą usługi Azure Key Vault

  • Artykuł

DOTYCZY: Nosql Mongodb Cassandra Gremlin Tabeli

Dane przechowywane na koncie usługi Azure Cosmos DB są automatycznie i bezproblemowo szyfrowane przy użyciu kluczy zarządzanych przez usługę zarządzanych przez firmę Microsoft. Można jednak dodać drugą warstwę szyfrowania za pomocą zarządzanych kluczy. Te klucze są nazywane kluczami zarządzanymi przez klienta (lub CMK). Klucze zarządzane przez klienta są przechowywane w wystąpieniu usługi Azure Key Vault.

W tym artykule opisano sposób konfigurowania szyfrowania przy użyciu kluczy zarządzanych przez klienta podczas tworzenia konta usługi Azure Cosmos DB. W tym przykładowym scenariuszu między dzierżawami konto usługi Azure Cosmos DB znajduje się w dzierżawie zarządzanej przez niezależnego dostawcę oprogramowania (ISV) określanego jako dostawca usług. Klucz używany do szyfrowania konta usługi Azure Cosmos DB znajduje się w magazynie kluczy w innej dzierżawie zarządzanej przez klienta.

Informacje o kluczach zarządzanych przez klienta między dzierżawami

Wielu dostawców usług tworzących oferty oprogramowania jako usługi (SaaS) na platformie Azure chce zaoferować swoim klientom możliwość zarządzania własnymi kluczami szyfrowania. Klucze zarządzane przez klienta umożliwiają dostawcy usług szyfrowanie danych klienta przy użyciu klucza szyfrowania zarządzanego przez klienta dostawcy usług i nie jest dostępne dla dostawcy usług. Na platformie Azure klient dostawcy usług może używać usługi Azure Key Vault do zarządzania kluczami szyfrowania we własnej dzierżawie i subskrypcji firmy Microsoft Entra.

Usługi i zasoby platformy Azure należące do dostawcy usług, które znajdują się w dzierżawie dostawcy usług, wymagają dostępu do klucza z dzierżawy klienta w celu wykonania operacji szyfrowania/odszyfrowywania.

Na poniższej ilustracji przedstawiono szyfrowanie danych magazynowane przy użyciu tożsamości federacyjnej w przepływie pracy cmK między dzierżawami obejmującym dostawcę usług i jego klienta.

Screenshot showing a cross-tenant CMK with a federated identity.

W powyższym przykładzie istnieją dwie dzierżawy firmy Microsoft Entra: dzierżawa niezależnego dostawcy usług (dzierżawa 1) i dzierżawa klienta (dzierżawa 2). Dzierżawa 1 hostuje usługi platformy Azure i dzierżawę 2 hostuje magazyn kluczy klienta.

Rejestracja aplikacji wielodostępnej jest tworzona przez dostawcę usług w dzierżawie 1. W tej aplikacji jest tworzone poświadczenie tożsamości federacyjnej przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Następnie nazwa i identyfikator aplikacji aplikacji są udostępniane klientowi.

Użytkownik z odpowiednimi uprawnieniami instaluje aplikację dostawcy usług w dzierżawie klienta Dzierżawa 2. Następnie użytkownik udziela jednostce usługi skojarzonej z zainstalowanym dostępem aplikacji do magazynu kluczy klienta. Klient przechowuje również klucz szyfrowania lub klucz zarządzany przez klienta w magazynie kluczy. Klient udostępnia lokalizację klucza (adres URL klucza) dostawcy usług.

Dostawca usług ma teraz następujące jednostki:

  • Identyfikator aplikacji dla aplikacji wielodostępnej zainstalowanej w dzierżawie klienta, której udzielono dostępu do klucza zarządzanego przez klienta.
  • Tożsamość zarządzana skonfigurowana jako poświadczenie w aplikacji wielodostępnej.
  • Lokalizacja klucza w magazynie kluczy klienta.

Dzięki tym trzem parametrom dostawca usług aprowizuje zasoby platformy Azure w dzierżawie 1 , które mogą być szyfrowane przy użyciu klucza zarządzanego przez klienta w dzierżawie 2.

Podzielmy powyższe kompleksowe rozwiązanie na trzy fazy:

  1. Dostawca usług konfiguruje tożsamości.
  2. Klient udziela wielodostępnego dostępu dostawcy usług do klucza szyfrowania w usłudze Azure Key Vault.
  3. Dostawca usług szyfruje dane w zasobie platformy Azure przy użyciu klucza zarządzanego przez klienta.

Operacje w fazie 1 byłyby jednorazową konfiguracją dla większości aplikacji dostawcy usług. Operacje w fazach 2 i 3 będą powtarzane dla każdego klienta.

Faza 1 — dostawca usług konfiguruje aplikację firmy Microsoft Entra

Krok opis Minimalna rola w kontroli dostępu opartej na rolach platformy Azure Minimalna rola w usłudze Microsoft Entra RBAC
1. Utwórz nową wielodostępną rejestrację aplikacji firmy Microsoft Entra lub rozpocznij od istniejącej rejestracji aplikacji. Zanotuj identyfikator aplikacji (identyfikator klienta) rejestracji aplikacji przy użyciu witryny Azure Portal, interfejsu API programu Microsoft Graph, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure Brak Deweloper aplikacji
2. Utwórz tożsamość zarządzaną przypisaną przez użytkownika (do użycia jako poświadczenia tożsamości federacyjnej).
Szablony usługi Azure Resource Manager w interfejsie wiersza polecenia platformy Azure w witrynie / Azure Portal / / 		Współautor tożsamości zarządzanej Brak
3. Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika jako poświadczenia tożsamości federacyjnej w aplikacji, aby mogła personifikować tożsamość aplikacji.
Dokumentacja/ interfejsu API programu Graph w witrynie Azure Portal/ — interfejs wiersza polecenia/ platformy Azure w programie Azure PowerShell		 Brak Właściciel aplikacji
4. Udostępnij nazwę aplikacji i identyfikator aplikacji klientowi, aby móc zainstalować i autoryzować aplikację. Brak Brak

Zagadnienia dotyczące dostawców usług

  • Szablony usługi Azure Resource Manager (ARM) nie są zalecane do tworzenia aplikacji firmy Microsoft Entra.
  • Tej samej aplikacji wielodostępnej można używać do uzyskiwania dostępu do kluczy w dowolnej liczbie dzierżaw, takich jak Dzierżawa 2, Dzierżawa 3, Dzierżawa 4 itd. W każdej dzierżawie tworzone jest niezależne wystąpienie aplikacji, które ma ten sam identyfikator aplikacji, ale inny identyfikator obiektu. Każde wystąpienie tej aplikacji jest autoryzowane niezależnie. Rozważ sposób użycia obiektu aplikacji dla tej funkcji do partycjonowania aplikacji dla wszystkich klientów.
  • W rzadkich scenariuszach dostawca usług może używać pojedynczego obiektu aplikacji dla klienta, ale wymaga to znacznych kosztów konserwacji w celu zarządzania aplikacjami na dużą skalę we wszystkich klientach.
  • W dzierżawie dostawcy usług nie można zautomatyzować weryfikacji wydawcy.

Faza 2 — klient autoryzuje dostęp do magazynu kluczy

Krok opis Role RBAC platformy Azure z najniższymi uprawnieniami Najmniej uprzywilejowane role firmy Microsoft Entra
1.
  • Zalecane: Wyślij użytkownika, aby zalogować się do aplikacji. Jeśli użytkownik może się zalogować, jednostka usługi dla aplikacji istnieje w swojej dzierżawie.
  • Użyj programu Microsoft Graph, programu Microsoft Graph PowerShell, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby utworzyć jednostkę usługi.
  • Skonstruuj adres URL zgody administratora i udziel zgody dla całej dzierżawy, aby utworzyć jednostkę usługi przy użyciu identyfikatora aplikacji.
    		•  Brak Użytkownicy z uprawnieniami do instalowania aplikacji
    2. Utwórz usługę Azure Key Vault i klucz używany jako klucz zarządzany przez klienta. Aby utworzyć magazyn kluczy, użytkownik musi mieć przypisaną rolę Współautor usługi Key Vault

    Aby dodać klucz do magazynu kluczy, użytkownik musi mieć przypisaną rolę oficera kryptograficznego usługi Key Vault    		 Brak
    3. Udzielanie zgody tożsamości aplikacji dostępu do magazynu kluczy platformy Azure przez przypisanie roli Użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault Aby przypisać rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do aplikacji, musisz mieć przypisaną rolę Administracja istrator dostępu użytkowników. Brak
    4. Skopiuj adres URL magazynu kluczy i nazwę klucza do konfiguracji kluczy zarządzanych przez klienta oferty SaaS. Brak Brak

    Uwaga

    Aby autoryzować dostęp do zarządzanego modułu HSM na potrzeby szyfrowania przy użyciu klucza zarządzanego, zobacz przykład dla konta magazynu tutaj. Aby uzyskać więcej informacji na temat zarządzania kluczami za pomocą zarządzanego modułu HSM, zobacz Zarządzanie zarządzanym modułem HSM przy użyciu interfejsu wiersza polecenia platformy Azure

    Zagadnienia dotyczące klientów dostawców usług

    • W dzierżawie klienta dzierżawa 2 administrator może ustawić zasady, aby uniemożliwić użytkownikom niebędącym administratorem instalowanie aplikacji. Te zasady mogą uniemożliwić użytkownikom niebędącym administratorem tworzenie jednostek usługi. Jeśli takie zasady są skonfigurowane, użytkownicy z uprawnieniami do tworzenia jednostek usługi muszą być zaangażowani.
    • Dostęp do usługi Azure Key Vault można autoryzować przy użyciu kontroli dostępu opartej na rolach platformy Azure lub zasad dostępu. Podczas udzielania dostępu do magazynu kluczy upewnij się, że używasz aktywnego mechanizmu dla magazynu kluczy.
    • Rejestracja aplikacji Microsoft Entra ma identyfikator aplikacji (identyfikator klienta). Po zainstalowaniu aplikacji w dzierżawie zostanie utworzona jednostka usługi. Jednostka usługi współudzieli ten sam identyfikator aplikacji co rejestracja aplikacji, ale generuje własny identyfikator obiektu. Gdy autoryzujesz aplikację do uzyskiwania dostępu do zasobów, może być konieczne użycie jednostki Name usługi lub ObjectID właściwości.

    Faza 3 — dostawca usług szyfruje dane w zasobie platformy Azure przy użyciu klucza zarządzanego przez klienta

    Po zakończeniu fazy 1 i 2 dostawca usług może skonfigurować szyfrowanie w zasobie platformy Azure przy użyciu klucza i magazynu kluczy w dzierżawie klienta i zasobie platformy Azure w dzierżawie niezależnego dostawcy oprogramowania. Dostawca usług może skonfigurować klucze zarządzane przez klienta między dzierżawami przy użyciu narzędzi klienckich obsługiwanych przez ten zasób platformy Azure z szablonem usługi ARM lub interfejsem API REST.

    Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami

    W tej sekcji opisano sposób konfigurowania klucza zarządzanego przez klienta (CMK) między dzierżawami i szyfrowania danych klienta. Dowiesz się, jak zaszyfrować dane klienta w zasobie w dzierżawie Tenant1 przy użyciu klucza zarządzanego przez klienta przechowywanego w magazynie kluczy w dzierżawie 2. Możesz użyć witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

    Zaloguj się do witryny Azure Portal i wykonaj następujące kroki.

    Dostawca usług konfiguruje tożsamości

    Poniższe kroki są wykonywane przez dostawcę usług w dzierżawie dostawcy usług Tenant1.

    Dostawca usług tworzy nową rejestrację aplikacji wielodostępnej

    Możesz utworzyć nową rejestrację aplikacji wielodostępnej firmy Microsoft Entra lub rozpocząć od istniejącej rejestracji aplikacji wielodostępnej. Jeśli rozpoczynasz od istniejącej rejestracji aplikacji, zanotuj identyfikator aplikacji (identyfikator klienta) aplikacji.

    Aby utworzyć nową rejestrację:

    1. Wyszukaj ciąg Microsoft Entra ID w polu wyszukiwania. Znajdź i wybierz rozszerzenie Microsoft Entra ID .

    2. W okienku po lewej stronie wybierz pozycję Zarządzaj > Rejestracje aplikacji.

    3. Wybierz pozycję + Nowa rejestracja.

    4. Podaj nazwę rejestracji aplikacji i wybierz pozycję Konto w dowolnym katalogu organizacyjnym (Dowolny katalog Firmy Microsoft — wielodostępny).

    5. Wybierz pozycję Zarejestruj.

    6. Zwróć uwagę na wartość ApplicationId/ClientId aplikacji.

      Screen shot showing how to create a new multi-tenant application registration.

    Dostawca usług tworzy tożsamość zarządzaną przypisaną przez użytkownika

    Utwórz tożsamość zarządzaną przypisaną przez użytkownika do użycia jako poświadczenia tożsamości federacyjnej.

    1. Wyszukaj pozycję Tożsamości zarządzane w polu wyszukiwania. Znajdź i wybierz rozszerzenie Tożsamości zarządzane.

    2. Wybierz + Utwórz.

    3. Podaj grupę zasobów, region i nazwę tożsamości zarządzanej.

    4. Wybierz pozycję Przejrzyj i utwórz.

    5. Po pomyślnym wdrożeniu zanotuj identyfikator Azure ResourceId tożsamości zarządzanej przypisanej przez użytkownika, która jest dostępna w obszarze Właściwości. Na przykład:

      /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

      Screen shot showing how to create a resource group and a user-assigned managed identity.

    Dostawca usług konfiguruje tożsamość zarządzaną przypisaną przez użytkownika jako poświadczenia federacyjne w aplikacji

    Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika jako poświadczenia tożsamości federacyjnej w aplikacji, aby mogła personifikować tożsamość aplikacji.

    1. Przejdź do pozycji Microsoft Entra ID > Rejestracje aplikacji > aplikacji.

    2. Wybierz pozycję Certyfikaty i wpisy tajne.

    3. Wybierz pozycję Poświadczenia federacyjne.

      Screen shot showing how to navigate to Certificate and secrets.

    4. Wybierz pozycję + Dodaj poświadczenia.

    5. W obszarze Scenariusz poświadczeń federacyjnych wybierz pozycję Klucze zarządzane przez klienta.

    6. Kliknij pozycję Wybierz tożsamość zarządzaną. W okienku wybierz subskrypcję. W obszarze Tożsamość zarządzana wybierz pozycję Tożsamość zarządzana przypisana przez użytkownika. W polu Wybierz wyszukaj utworzoną wcześniej tożsamość zarządzaną, a następnie kliknij pozycję Wybierz w dolnej części okienka.

      Screen shot showing how to select a managed identity.

    7. W obszarze Szczegóły poświadczeń podaj nazwę i opcjonalny opis poświadczenia, a następnie wybierz pozycję Dodaj.

      Screen shot showing how to add a credential.

    Dostawca usług udostępnia identyfikator aplikacji klientowi

    Znajdź identyfikator aplikacji (identyfikator klienta) aplikacji wielodostępnej i udostępnij ją klientowi.

    Klient udziela dostępu aplikacji dostawcy usług do klucza w magazynie kluczy

    Poniższe kroki są wykonywane przez klienta w dzierżawie dzierżawy klienta2. Klient może używać witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

    Użytkownik wykonujący kroki musi być administratorem z rolą uprzywilejowaną, taką jak Application Administracja istrator, Cloud Application Administracja istrator lub Global Administracja istrator.

    Zaloguj się do witryny Azure Portal i wykonaj następujące kroki.

    Klient instaluje aplikację dostawcy usług w dzierżawie klienta

    Aby zainstalować zarejestrowaną aplikację dostawcy usług w dzierżawie klienta, należy utworzyć jednostkę usługi z identyfikatorem aplikacji z zarejestrowanej aplikacji. Jednostkę usługi można utworzyć na jeden z następujących sposobów:

    Klient tworzy magazyn kluczy

    Aby utworzyć magazyn kluczy, konto użytkownika musi mieć przypisaną rolę Współautor usługi Key Vault lub inną rolę, która zezwala na tworzenie magazynu kluczy.

    1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję + Utwórz zasób. W polu Wyszukaj wprowadź ciąg Magazyny kluczy. Z listy wyników wybierz pozycję Magazyny kluczy. Na stronie Magazyny kluczy wybierz pozycję Utwórz.

    2. Na karcie Podstawy wybierz subskrypcję. W obszarze Grupa zasobów wybierz pozycję Utwórz nową i wprowadź nazwę grupy zasobów.

    3. Wprowadź unikatową nazwę magazynu kluczy.

    4. Wybierz region i warstwę cenową.

    5. Włącz ochronę przed przeczyszczeniem nowego magazynu kluczy.

    6. Na karcie Zasady dostępu wybierz pozycję Kontrola dostępu oparta na rolach platformy Azure dla pozycji Model uprawnień.

    7. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

      Screen shot showing how to create a key vault.

    Zanotuj nazwę magazynu kluczy i aplikacje identyfikatora URI, które uzyskują dostęp do magazynu kluczy, muszą używać tego identyfikatora URI.

    Aby uzyskać więcej informacji, zobacz Szybki start — tworzenie usługi Azure Key Vault za pomocą witryny Azure Portal.

    Klient przypisuje rolę administratora kryptograficznego usługi Key Vault do konta użytkownika

    Ten krok gwarantuje, że można utworzyć klucze szyfrowania.

    1. Przejdź do magazynu kluczy i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w okienku po lewej stronie.
    2. W obszarze Nadaj dostęp do tego zasobu wybierz Dodaj przypisane roli.
    3. Wyszukaj i wybierz pozycję Key Vault Crypto Officer.
    4. W obszarze Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.
    5. Wybierz pozycję Członkowie i wyszukaj swoje konto użytkownika.
    6. Wybierz pozycję Przejrzyj + przypisz.

    Klient tworzy klucz szyfrowania

    Aby utworzyć klucz szyfrowania, konto użytkownika musi mieć przypisaną rolę Crypto Officer usługi Key Vault lub inną rolę, która zezwala na tworzenie klucza.

    1. Na stronie właściwości usługi Key Vault wybierz pozycję Klucze.
    2. Wybierz Generuj/Import.
    3. Na ekranie Tworzenie klucza określ nazwę klucza. Dla pozostałych opcji zostaw wartości domyślne.
    4. Wybierz pozycję Utwórz.
    5. Skopiuj identyfikator URI klucza.

    Klient udziela aplikacji dostawcy usług dostępu do magazynu kluczy

    Przypisz użytkownikowi zarejestrowanej aplikacji zarejestrowanej przez dostawcę usług rolę RBAC platformy Azure rolę Key Vault, aby mógł uzyskać dostęp do magazynu kluczy.

    1. Przejdź do magazynu kluczy i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w okienku po lewej stronie.
    2. W obszarze Nadaj dostęp do tego zasobu wybierz Dodaj przypisane roli.
    3. Wyszukaj i wybierz pozycję Użytkownik szyfrowania usługi kryptograficznej usługi Key Vault.
    4. W obszarze Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.
    5. Wybierz pozycję Członkowie i wyszukaj nazwę aplikacji zainstalowanej u dostawcy usług.
    6. Wybierz pozycję Przejrzyj + przypisz.

    Teraz możesz skonfigurować klucze zarządzane przez klienta przy użyciu identyfikatora URI i klucza magazynu kluczy.

    Tworzenie nowego konta usługi Azure Cosmos DB zaszyfrowanego przy użyciu klucza z innej dzierżawy

    Do tego momentu skonfigurowano aplikację wielodostępną w dzierżawie dostawcy usług. Aplikacja została również zainstalowana w dzierżawie klienta i skonfigurowano magazyn kluczy i klucz w dzierżawie klienta. Następnie możesz utworzyć konto usługi Azure Cosmos DB w dzierżawie dostawcy usług i skonfigurować klucze zarządzane przez klienta przy użyciu klucza z dzierżawy klienta.

    Podczas tworzenia konta usługi Azure Cosmos DB z kluczami zarządzanymi przez klienta musimy upewnić się, że ma on dostęp do kluczy używanych przez klienta. W scenariuszach z jedną dzierżawą możesz udzielić bezpośredniego dostępu magazynu kluczy do podmiotu zabezpieczeń usługi Azure Cosmos DB lub użyć określonej tożsamości zarządzanej. W scenariuszu między dzierżawami nie możemy już zależeć od bezpośredniego dostępu do magazynu kluczy, ponieważ znajduje się on w innej dzierżawie zarządzanej przez klienta. To ograniczenie jest powodem, dla którego w poprzednich sekcjach utworzyliśmy aplikację między dzierżawami i zarejestrowaliśmy tożsamość zarządzaną wewnątrz aplikacji w celu udzielenia jej dostępu do magazynu kluczy klienta. Ta tożsamość zarządzana, w połączeniu z identyfikatorem aplikacji między dzierżawami, jest używana podczas tworzenia konta usługi Azure Cosmos DB dla wielu dzierżawców. Aby uzyskać więcej informacji, zobacz sekcję Faza 3 — Dostawca usług szyfruje dane w zasobie platformy Azure przy użyciu klucza zarządzanego przez klienta w tym artykule.

    Za każdym razem, gdy nowa wersja klucza jest dostępna w magazynie kluczy, zostanie ona automatycznie zaktualizowana na koncie usługi Azure Cosmos DB.

    Korzystanie z szablonów JSON usługi Azure Resource Manager

    Wdróż szablon usługi ARM z następującymi określonymi parametrami:

    Uwaga

    Jeśli ponownie utworzysz ten przykład w jednym z szablonów usługi Azure Resource Manager, użyj elementu apiVersion2022-05-15.

    Parametr Opis Przykładowa wartość
    keyVaultKeyUri Identyfikator klucza zarządzanego przez klienta znajdującego się w magazynie kluczy dostawcy usług. https://my-vault.vault.azure.com/keys/my-key
    identity Obiekt określający, że tożsamość zarządzana powinna być przypisana do konta usługi Azure Cosmos DB. "identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}}
    defaultIdentity Kombinacja identyfikatora zasobu tożsamości zarządzanej i identyfikatora aplikacji wielodostępnej aplikacji Firmy Microsoft Entra. UserAssignedIdentity=/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=11111111-1111-1111-1111-111111111111

    Oto przykład segmentu szablonu ze skonfigurowanymi trzema parametrami:

    {
  "kind": "GlobalDocumentDB",
  "location": "East US 2",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity": {}
    }
  },
  "properties": {
    "locations": [
      {
        "locationName": "East US 2",
        "failoverPriority": 0,
        "isZoneRedundant": false
      }
    ],
    "databaseAccountOfferType": "Standard",
    "keyVaultKeyUri": "https://my-vault.vault.azure.com/keys/my-key",
    "defaultIdentity": "UserAssignedIdentity=/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=11111111-1111-1111-1111-111111111111"
  }
}

    Ważne

    Ta funkcja nie jest jeszcze obsługiwana w programie Azure PowerShell, interfejsie wiersza polecenia platformy Azure ani w witrynie Azure Portal.

    Nie można skonfigurować kluczy zarządzanych przez klienta przy użyciu określonej wersji klucza podczas tworzenia nowego konta usługi Azure Cosmos DB. Sam klucz musi być przekazywany bez wersji i bez końcowych ukośników odwrotnych.

    Aby odwołać lub wyłączyć klucze zarządzane przez klienta, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla konta usługi Azure Cosmos DB za pomocą usługi Azure Key Vault

    Zobacz też