Udostępnij za pośrednictwem


Szyfrowanie dysków zarządzanych przy użyciu kluczy zarządzanych przez klienta (CMK) między dzierżawami

W tym artykule opisano tworzenie rozwiązania, w którym szyfrujesz dyski zarządzane przy użyciu kluczy zarządzanych przez klienta przy użyciu usługi Azure Key Vault przechowywanych w innej dzierżawie usługi Microsoft Entra. Ta konfiguracja może być idealna w przypadku kilku scenariuszy, na przykład pomoc techniczna platformy Azure dla dostawców usług, którzy chcą oferować własne klucze szyfrowania do swoich klientów, gdzie zasoby z dzierżawy dostawcy usług są szyfrowane przy użyciu kluczy z dzierżawy klienta.

Zestaw szyfrowania dysków z tożsamością federacyjną w przepływie pracy cmK między dzierżawami obejmuje zasoby dostawcy usług/dzierżawy niezależnego dostawcy oprogramowania (zestaw szyfrowania dysków, tożsamości zarządzane i rejestracje aplikacji) oraz zasoby dzierżawy klienta (aplikacje dla przedsiębiorstw, przypisania ról użytkowników i magazyn kluczy). W takim przypadku źródłowy zasób platformy Azure jest zestawem szyfrowania dysków dostawcy usług.

Jeśli masz pytania dotyczące kluczy zarządzanych przez klienta między dzierżawami z dyskami zarządzanymi, wyślij wiadomość e-mail na adres .crosstenantcmkvteam@service.microsoft.com

Ograniczenia

  • Dyski zarządzane i usługa Key Vault klienta muszą znajdować się w tym samym regionie świadczenia usługi Azure, ale mogą znajdować się w różnych subskrypcjach.
  • Ta funkcja nie obsługuje dysków Ultra Disk ani dysków zarządzanych SSD w wersji 2 w warstwie Premium platformy Azure.
  • Ta funkcja nie jest dostępna na platformie Microsoft Azure obsługiwanej przez chmury 21Vianet lub Government.

Informacje o kluczach zarządzanych przez klienta między dzierżawami

Wielu dostawców usług tworzących oferty oprogramowania jako usługi (SaaS) na platformie Azure chce zaoferować swoim klientom możliwość zarządzania własnymi kluczami szyfrowania. Klucze zarządzane przez klienta umożliwiają dostawcy usług szyfrowanie danych klienta przy użyciu klucza szyfrowania zarządzanego przez klienta dostawcy usług i nie jest dostępne dla dostawcy usług. Na platformie Azure klient dostawcy usług może używać usługi Azure Key Vault do zarządzania kluczami szyfrowania we własnej dzierżawie i subskrypcji firmy Microsoft Entra.

Usługi i zasoby platformy Azure należące do dostawcy usług, które znajdują się w dzierżawie dostawcy usług, wymagają dostępu do klucza z dzierżawy klienta w celu wykonania operacji szyfrowania/odszyfrowywania.

Na poniższej ilustracji przedstawiono szyfrowanie danych magazynowane przy użyciu tożsamości federacyjnej w przepływie pracy cmK między dzierżawami obejmującym dostawcę usług i jego klienta.

Zrzut ekranu przedstawiający klucz cmK między dzierżawami z tożsamością federacyjną.

W powyższym przykładzie istnieją dwie dzierżawy firmy Microsoft Entra: dzierżawa niezależnego dostawcy usług (dzierżawa 1) i dzierżawa klienta (dzierżawa 2). Dzierżawa 1 hostuje usługi platformy Azure i dzierżawę 2 hostuje magazyn kluczy klienta.

Rejestracja aplikacji wielodostępnej jest tworzona przez dostawcę usług w dzierżawie 1. W tej aplikacji jest tworzone poświadczenie tożsamości federacyjnej przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Następnie nazwa i identyfikator aplikacji aplikacji są udostępniane klientowi.

Użytkownik z odpowiednimi uprawnieniami instaluje aplikację dostawcy usług w dzierżawie klienta Dzierżawa 2. Następnie użytkownik udziela jednostce usługi skojarzonej z zainstalowanym dostępem aplikacji do magazynu kluczy klienta. Klient przechowuje również klucz szyfrowania lub klucz zarządzany przez klienta w magazynie kluczy. Klient udostępnia lokalizację klucza (adres URL klucza) dostawcy usług.

Dostawca usług ma teraz następujące jednostki:

  • Identyfikator aplikacji dla aplikacji wielodostępnej zainstalowanej w dzierżawie klienta, której udzielono dostępu do klucza zarządzanego przez klienta.
  • Tożsamość zarządzana skonfigurowana jako poświadczenie w aplikacji wielodostępnej.
  • Lokalizacja klucza w magazynie kluczy klienta.

Dzięki tym trzem parametrom dostawca usług aprowizuje zasoby platformy Azure w dzierżawie 1 , które mogą być szyfrowane przy użyciu klucza zarządzanego przez klienta w dzierżawie 2.

Podzielmy powyższe kompleksowe rozwiązanie na trzy fazy:

  1. Dostawca usług konfiguruje tożsamości.
  2. Klient udziela wielodostępnego dostępu dostawcy usług do klucza szyfrowania w usłudze Azure Key Vault.
  3. Dostawca usług szyfruje dane w zasobie platformy Azure przy użyciu klucza zarządzanego przez klienta.

Operacje w fazie 1 byłyby jednorazową konfiguracją dla większości aplikacji dostawcy usług. Operacje w fazach 2 i 3 będą powtarzane dla każdego klienta.

Faza 1 — dostawca usług konfiguruje aplikację firmy Microsoft Entra

Krok opis Minimalna rola w kontroli dostępu opartej na rolach platformy Azure Minimalna rola w usłudze Microsoft Entra RBAC
1. Utwórz nową wielodostępną rejestrację aplikacji firmy Microsoft Entra lub rozpocznij od istniejącej rejestracji aplikacji. Zanotuj identyfikator aplikacji (identyfikator klienta) rejestracji aplikacji przy użyciu witryny Azure Portal, interfejsu API programu Microsoft Graph, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure Brak Deweloper aplikacji
2. Utwórz tożsamość zarządzaną przypisaną przez użytkownika (do użycia jako poświadczenia tożsamości federacyjnej).
Szablony usługi Azure Resource Manager w interfejsie wiersza polecenia platformy Azure w witrynie / Azure Portal / /
Współautor tożsamości zarządzanej Brak
3. Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika jako poświadczenia tożsamości federacyjnej w aplikacji, aby mogła personifikować tożsamość aplikacji.
Dokumentacja/ interfejsu API programu Graph w witrynie Azure Portal/ — interfejs wiersza polecenia/ platformy Azure w programie Azure PowerShell
Brak Właściciel aplikacji
4. Udostępnij nazwę aplikacji i identyfikator aplikacji klientowi, aby móc zainstalować i autoryzować aplikację. Brak Brak

Zagadnienia dotyczące dostawców usług

  • Szablony usługi Azure Resource Manager (ARM) nie są zalecane do tworzenia aplikacji firmy Microsoft Entra.
  • Tej samej aplikacji wielodostępnej można używać do uzyskiwania dostępu do kluczy w dowolnej liczbie dzierżaw, takich jak Dzierżawa 2, Dzierżawa 3, Dzierżawa 4 itd. W każdej dzierżawie tworzone jest niezależne wystąpienie aplikacji, które ma ten sam identyfikator aplikacji, ale inny identyfikator obiektu. Każde wystąpienie tej aplikacji jest autoryzowane niezależnie. Rozważ sposób użycia obiektu aplikacji dla tej funkcji do partycjonowania aplikacji dla wszystkich klientów.
  • W rzadkich scenariuszach dostawca usług może używać pojedynczego obiektu aplikacji dla klienta, ale wymaga to znacznych kosztów konserwacji w celu zarządzania aplikacjami na dużą skalę we wszystkich klientach.
  • W dzierżawie dostawcy usług nie można zautomatyzować weryfikacji wydawcy.

Faza 2 — klient autoryzuje dostęp do magazynu kluczy

Krok opis Role RBAC platformy Azure z najniższymi uprawnieniami Najmniej uprzywilejowane role firmy Microsoft Entra
1.
  • Zalecane: Wyślij użytkownika, aby zalogować się do aplikacji. Jeśli użytkownik może się zalogować, jednostka usługi dla aplikacji istnieje w swojej dzierżawie.
  • Użyj programu Microsoft Graph, programu Microsoft Graph PowerShell, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby utworzyć jednostkę usługi.
  • Skonstruuj adres URL zgody administratora i udziel zgody dla całej dzierżawy, aby utworzyć jednostkę usługi przy użyciu identyfikatora aplikacji.
  • Brak Użytkownicy z uprawnieniami do instalowania aplikacji
    2. Utwórz usługę Azure Key Vault i klucz używany jako klucz zarządzany przez klienta. Aby utworzyć magazyn kluczy, użytkownik musi mieć przypisaną rolę Współautor usługi Key Vault

    Aby dodać klucz do magazynu kluczy, użytkownik musi mieć przypisaną rolę oficera kryptograficznego usługi Key Vault
    Brak
    3. Udzielanie zgody tożsamości aplikacji dostępu do magazynu kluczy platformy Azure przez przypisanie roli Użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault Aby przypisać rolę użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault do aplikacji, musisz mieć przypisaną rolę Administratora dostępu użytkowników. Brak
    4. Skopiuj adres URL magazynu kluczy i nazwę klucza do konfiguracji kluczy zarządzanych przez klienta oferty SaaS. Brak Brak

    Uwaga

    Aby autoryzować dostęp do zarządzanego modułu HSM na potrzeby szyfrowania przy użyciu klucza zarządzanego, zobacz przykład dla konta magazynu tutaj. Aby uzyskać więcej informacji na temat zarządzania kluczami za pomocą zarządzanego modułu HSM, zobacz Zarządzanie zarządzanym modułem HSM przy użyciu interfejsu wiersza polecenia platformy Azure

    Zagadnienia dotyczące klientów dostawców usług

    • W dzierżawie klienta dzierżawa 2 administrator może ustawić zasady, aby uniemożliwić użytkownikom niebędącym administratorem instalowanie aplikacji. Te zasady mogą uniemożliwić użytkownikom niebędącym administratorem tworzenie jednostek usługi. Jeśli takie zasady są skonfigurowane, użytkownicy z uprawnieniami do tworzenia jednostek usługi muszą być zaangażowani.
    • Dostęp do usługi Azure Key Vault można autoryzować przy użyciu kontroli dostępu opartej na rolach platformy Azure lub zasad dostępu. Podczas udzielania dostępu do magazynu kluczy upewnij się, że używasz aktywnego mechanizmu dla magazynu kluczy.
    • Rejestracja aplikacji Microsoft Entra ma identyfikator aplikacji (identyfikator klienta). Po zainstalowaniu aplikacji w dzierżawie zostanie utworzona jednostka usługi. Jednostka usługi współudzieli ten sam identyfikator aplikacji co rejestracja aplikacji, ale generuje własny identyfikator obiektu. Gdy autoryzujesz aplikację do uzyskiwania dostępu do zasobów, może być konieczne użycie jednostki Name usługi lub ObjectID właściwości.

    Faza 3 — dostawca usług szyfruje dane w zasobie platformy Azure przy użyciu klucza zarządzanego przez klienta

    Po zakończeniu fazy 1 i 2 dostawca usług może skonfigurować szyfrowanie w zasobie platformy Azure przy użyciu klucza i magazynu kluczy w dzierżawie klienta i zasobie platformy Azure w dzierżawie niezależnego dostawcy oprogramowania. Dostawca usług może skonfigurować klucze zarządzane przez klienta między dzierżawami przy użyciu narzędzi klienckich obsługiwanych przez ten zasób platformy Azure z szablonem usługi ARM lub interfejsem API REST.

    Konfigurowanie kluczy zarządzanych przez klienta między dzierżawami

    W tej sekcji opisano sposób konfigurowania klucza zarządzanego przez klienta (CMK) między dzierżawami i szyfrowania danych klienta. Dowiesz się, jak zaszyfrować dane klienta w zasobie w dzierżawie Tenant1 przy użyciu klucza zarządzanego przez klienta przechowywanego w magazynie kluczy w dzierżawie 2. Możesz użyć witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

    Zaloguj się do witryny Azure Portal i wykonaj następujące kroki.

    Dostawca usług konfiguruje tożsamości

    Poniższe kroki są wykonywane przez dostawcę usług w dzierżawie dostawcy usług Tenant1.

    Dostawca usług tworzy nową rejestrację aplikacji wielodostępnej

    Możesz utworzyć nową rejestrację aplikacji wielodostępnej firmy Microsoft Entra lub rozpocząć od istniejącej rejestracji aplikacji wielodostępnej. Jeśli rozpoczynasz od istniejącej rejestracji aplikacji, zanotuj identyfikator aplikacji (identyfikator klienta) aplikacji.

    Aby utworzyć nową rejestrację:

    1. Wyszukaj ciąg Microsoft Entra ID w polu wyszukiwania. Znajdź i wybierz rozszerzenie Microsoft Entra ID .

    2. W okienku po lewej stronie wybierz pozycję Zarządzaj > Rejestracje aplikacji.

    3. Wybierz pozycję + Nowa rejestracja.

    4. Podaj nazwę rejestracji aplikacji i wybierz pozycję Konto w dowolnym katalogu organizacyjnym (Dowolny katalog Firmy Microsoft — wielodostępny).

    5. Wybierz pozycję Zarejestruj.

    6. Zwróć uwagę na wartość ApplicationId/ClientId aplikacji.

      Zrzut ekranu przedstawiający sposób tworzenia nowej rejestracji aplikacji wielodostępnej.

    Dostawca usług tworzy tożsamość zarządzaną przypisaną przez użytkownika

    Utwórz tożsamość zarządzaną przypisaną przez użytkownika do użycia jako poświadczenia tożsamości federacyjnej.

    1. Wyszukaj pozycję Tożsamości zarządzane w polu wyszukiwania. Znajdź i wybierz rozszerzenie Tożsamości zarządzane.

    2. Wybierz + Utwórz.

    3. Podaj grupę zasobów, region i nazwę tożsamości zarządzanej.

    4. Wybierz pozycję Przejrzyj i utwórz.

    5. Po pomyślnym wdrożeniu zanotuj identyfikator Azure ResourceId tożsamości zarządzanej przypisanej przez użytkownika, która jest dostępna w obszarze Właściwości. Na przykład:

      /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

      Zrzut ekranu przedstawiający sposób tworzenia grupy zasobów i tożsamości zarządzanej przypisanej przez użytkownika.

    Dostawca usług konfiguruje tożsamość zarządzaną przypisaną przez użytkownika jako poświadczenia federacyjne w aplikacji

    Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika jako poświadczenia tożsamości federacyjnej w aplikacji, aby mogła personifikować tożsamość aplikacji.

    1. Przejdź do pozycji Microsoft Entra ID > Rejestracje aplikacji > aplikacji.

    2. Wybierz pozycję Certyfikaty i wpisy tajne.

    3. Wybierz pozycję Poświadczenia federacyjne.

      Zrzut ekranu przedstawiający sposób przechodzenia do pozycji Certyfikat i wpisy tajne.

    4. Wybierz pozycję + Dodaj poświadczenia.

    5. W obszarze Scenariusz poświadczeń federacyjnych wybierz pozycję Klucze zarządzane przez klienta.

    6. Kliknij pozycję Wybierz tożsamość zarządzaną. W okienku wybierz subskrypcję. W obszarze Tożsamość zarządzana wybierz pozycję Tożsamość zarządzana przypisana przez użytkownika. W polu Wybierz wyszukaj utworzoną wcześniej tożsamość zarządzaną, a następnie kliknij pozycję Wybierz w dolnej części okienka.

      Zrzut ekranu przedstawiający sposób wybierania tożsamości zarządzanej.

    7. W obszarze Szczegóły poświadczeń podaj nazwę i opcjonalny opis poświadczenia, a następnie wybierz pozycję Dodaj.

      Zrzut ekranu przedstawiający sposób dodawania poświadczeń.

    Dostawca usług udostępnia identyfikator aplikacji klientowi

    Znajdź identyfikator aplikacji (identyfikator klienta) aplikacji wielodostępnej i udostępnij ją klientowi.

    Klient udziela dostępu aplikacji dostawcy usług do klucza w magazynie kluczy

    Poniższe kroki są wykonywane przez klienta w dzierżawie dzierżawy klienta2. Klient może używać witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

    Użytkownik wykonujący kroki musi być administratorem z rolą uprzywilejowaną, taką jak Administrator aplikacji, Administrator aplikacji w chmurze lub Administrator globalny.

    Zaloguj się do witryny Azure Portal i wykonaj następujące kroki.

    Klient instaluje aplikację dostawcy usług w dzierżawie klienta

    Aby zainstalować zarejestrowaną aplikację dostawcy usług w dzierżawie klienta, należy utworzyć jednostkę usługi z identyfikatorem aplikacji z zarejestrowanej aplikacji. Jednostkę usługi można utworzyć na jeden z następujących sposobów:

    Klient tworzy magazyn kluczy

    Aby utworzyć magazyn kluczy, konto użytkownika musi mieć przypisaną rolę Współautor usługi Key Vault lub inną rolę, która zezwala na tworzenie magazynu kluczy.

    1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję + Utwórz zasób. W polu Wyszukaj wprowadź ciąg Magazyny kluczy. Z listy wyników wybierz pozycję Magazyny kluczy. Na stronie Magazyny kluczy wybierz pozycję Utwórz.

    2. Na karcie Podstawy wybierz subskrypcję. W obszarze Grupa zasobów wybierz pozycję Utwórz nową i wprowadź nazwę grupy zasobów.

    3. Wprowadź unikatową nazwę magazynu kluczy.

    4. Wybierz region i warstwę cenową.

    5. Włącz ochronę przed przeczyszczeniem nowego magazynu kluczy.

    6. Na karcie Zasady dostępu wybierz pozycję Kontrola dostępu oparta na rolach platformy Azure dla pozycji Model uprawnień.

    7. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

      Zrzut ekranu przedstawiający sposób tworzenia magazynu kluczy.

    Zanotuj nazwę magazynu kluczy i aplikacje identyfikatora URI, które uzyskują dostęp do magazynu kluczy, muszą używać tego identyfikatora URI.

    Aby uzyskać więcej informacji, zobacz Szybki start — tworzenie usługi Azure Key Vault za pomocą witryny Azure Portal.

    Klient przypisuje rolę administratora kryptograficznego usługi Key Vault do konta użytkownika

    Ten krok gwarantuje, że można utworzyć klucze szyfrowania.

    1. Przejdź do magazynu kluczy i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w okienku po lewej stronie.
    2. W obszarze Nadaj dostęp do tego zasobu wybierz Dodaj przypisane roli.
    3. Wyszukaj i wybierz pozycję Key Vault Crypto Officer.
    4. W obszarze Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.
    5. Wybierz pozycję Członkowie i wyszukaj swoje konto użytkownika.
    6. Wybierz pozycję Przejrzyj + przypisz.

    Klient tworzy klucz szyfrowania

    Aby utworzyć klucz szyfrowania, konto użytkownika musi mieć przypisaną rolę Crypto Officer usługi Key Vault lub inną rolę, która zezwala na tworzenie klucza.

    1. Na stronie właściwości usługi Key Vault wybierz pozycję Klucze.
    2. Wybierz Generuj/Import.
    3. Na ekranie Tworzenie klucza określ nazwę klucza. Dla pozostałych opcji zostaw wartości domyślne.
    4. Wybierz pozycję Utwórz.
    5. Skopiuj identyfikator URI klucza.

    Klient udziela aplikacji dostawcy usług dostępu do magazynu kluczy

    Przypisz użytkownikowi zarejestrowanej aplikacji zarejestrowanej przez dostawcę usług rolę RBAC platformy Azure rolę Key Vault, aby mógł uzyskać dostęp do magazynu kluczy.

    1. Przejdź do magazynu kluczy i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w okienku po lewej stronie.
    2. W obszarze Nadaj dostęp do tego zasobu wybierz Dodaj przypisane roli.
    3. Wyszukaj i wybierz pozycję Użytkownik szyfrowania usługi kryptograficznej usługi Key Vault.
    4. W obszarze Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.
    5. Wybierz pozycję Członkowie i wyszukaj nazwę aplikacji zainstalowanej u dostawcy usług.
    6. Wybierz pozycję Przejrzyj + przypisz.

    Teraz możesz skonfigurować klucze zarządzane przez klienta przy użyciu identyfikatora URI i klucza magazynu kluczy.

    Tworzenie zestawu szyfrowania dysku

    Po utworzeniu usługi Azure Key Vault i wykonaniu wymaganych konfiguracji usługi Microsoft Entra należy wdrożyć zestaw szyfrowania dysków skonfigurowany do pracy między dzierżawami i skojarzyć go z kluczem w magazynie kluczy. Można to zrobić przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Możesz również użyć szablonu usługi ARM lub interfejsu API REST.

    Aby użyć witryny Azure Portal, zaloguj się do portalu i wykonaj następujące kroki.

    1. Wybierz pozycję + Utwórz zasób, wyszukaj pozycję Zestaw szyfrowania dysków i wybierz pozycję Utwórz > zestaw szyfrowania dysków.

    2. W obszarze Szczegóły projektu wybierz subskrypcję i grupę zasobów, w której chcesz utworzyć zestaw szyfrowania dysków.

    3. W obszarze Szczegóły wystąpienia podaj nazwę zestawu szyfrowania dysku.

      Zrzut ekranu przedstawiający sposób wprowadzania szczegółów projektu i wystąpienia w celu utworzenia nowego zestawu szyfrowania dysków.

    4. Wybierz region, w którym chcesz utworzyć zestaw szyfrowania dysku.

    5. W polu Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta.

    6. W obszarze Klucz szyfrowania wybierz przycisk radiowy Enter key from URI (Wprowadź klucz z identyfikatora URI ), a następnie wprowadź identyfikator URI klucza utworzonego w dzierżawie klienta.

    7. W obszarze Tożsamość przypisana przez użytkownika wybierz pozycję Wybierz tożsamość.

    8. Wybierz tożsamość zarządzaną przypisaną przez użytkownika utworzoną wcześniej w dzierżawie niezależnego dostawcy oprogramowania, a następnie wybierz pozycję Dodaj.

    9. W obszarze Aplikacja wielodostępna wybierz pozycję Wybierz aplikację.

    10. Wybierz aplikację zarejestrowaną w wielu dzierżawach utworzoną wcześniej w dzierżawie niezależnego dostawcy oprogramowania, a następnie kliknij pozycję Wybierz.

    11. Wybierz pozycję Przejrzyj i utwórz.

    Użyj szablonu ARM

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {
        "desname": {
          "defaultValue": "<Enter ISV disk encryption set name>",
          "type": "String"
        },
        "region": {
          "defaultValue": "WestCentralUS",
          "type": "String"
        },
        "userassignedmicmk": {
          "defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
          "type": "String"
        },
        "cmkfederatedclientId": {
          "defaultValue": "<Enter ISV Multi-Tenant App Id>",
          "type": "String"
        },
        "keyVaultURL": {
          "defaultValue": "<Enter Client Key URL>",
          "type": "String"
        },
        "encryptionType": {
          "defaultValue": "EncryptionAtRestWithCustomerKey",
          "type": "String"
        }
      },
      "variables": {},
      "resources": [
        {
          "type": "Microsoft.Compute/diskEncryptionSets",
          "apiVersion": "2021-12-01",
          "name": "[parameters('desname')]",
          "location": "[parameters('region')]",
          "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
              "[parameters('userassignedmicmk')]": {}
            }
          },
          "properties": {
            "activeKey": {
              "keyUrl": "[parameters('keyVaultURL')]"
            },
            "federatedClientId": "[parameters('cmkfederatedclientId')]",
            "encryptionType": "[parameters('encryptionType')]"
          }
        }
      ]
    }
    

    Korzystanie z interfejsu API REST

    Użyj tokenu elementu nośnego jako nagłówka autoryzacji i pliku application/JSON jako typu zawartości w treści. (Karta Sieć, filtruj do zarządzania.azure podczas wykonywania dowolnego żądania usługi ARM w portalu).

    PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
    Authorization: Bearer ...
    Content-Type: application/json
    
    {
      "name": "<Enter ISV disk encryption set name>",
      "id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
      "type": "Microsoft.Compute/diskEncryptionSets",
      "location": "westcentralus",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
    "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
    ": {}
        }
      },
      "properties": {
        "activeKey": {
          "keyUrl": "<Enter Client Key URL>"
        },
        "encryptionType": "EncryptionAtRestWithCustomerKey",
        "federatedClientId": "<Enter ISV Multi-Tenant App Id>"
      }
    }
    

    Następne kroki

    Zobacz też: