Compartilhar via


Use-AipServiceKeyVaultKey

Informa ao Proteção de Informações do Azure para usar uma chave de locatário gerenciada pelo cliente no Key Vault do Azure.

Sintaxe

Use-AipServiceKeyVaultKey
   -KeyVaultKeyUrl <String>
   [-FriendlyName <String>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

Description

O cmdlet Use-AipServiceKeyVaultKey informa ao Azure Proteção de Informações usar uma BYOK (chave gerenciada pelo cliente) no Key Vault do Azure.

Você deve usar o PowerShell para configurar sua chave de locatário; você não pode fazer essa configuração usando um portal de gerenciamento.

Você pode executar esse cmdlet antes ou depois que o serviço de proteção (Azure Rights Management) for ativado.

Antes de executar esse cmdlet, verifique se a entidade de serviço do Azure Rights Management recebeu permissões para o cofre de chaves que contém a chave que você deseja usar para o Azure Proteção de Informações. Essas permissões são concedidas executando o cmdlet Key Vault do Azure, Set-AzKeyVaultAccessPolicy.

Por motivos de segurança, o cmdlet Use-AipServiceKeyVaultKey não permite que você defina ou altere o controle de acesso da chave no Key Vault do Azure. Depois que esse acesso for concedido executando Set-AzKeyVaultAccessPolicy, execute Use-AipServiceKeyVaultKey para informar ao Azure Proteção de Informações usar a chave e a versão especificadas com o parâmetro KeyVaultKeyUrl.

Para obter mais informações, consulte As práticas recomendadas para escolher o local Key Vault do Azure.

Observação

Se você executar esse cmdlet antes que as permissões sejam concedidas ao cofre de chaves, verá um erro que exibe que o serviço Rights Management falhou ao adicionar a chave.

Para ver informações mais detalhadas, execute o comando novamente com -Verbose. Se as permissões não forem concedidas, você verá VERBOSE: Falha ao acessar o Azure KeyVault.

Quando o comando é executado com êxito, a chave é adicionada como uma chave de locatário gerenciada pelo cliente arquivada para o Azure Proteção de Informações para sua organização. Para torná-la a chave de locatário ativa para o Azure Proteção de Informações, você deve executar o cmdlet Set-AipServiceKeyProperties.

Use o Azure Key Vault para gerenciar e monitorar centralmente o uso da chave especificada. Todas as chamadas para sua chave de locatário serão feitas no cofre de chaves que sua organização possui. Você pode confirmar qual chave você está usando em Key Vault usando o cmdlet Get-AipServiceKeys.

Para obter mais informações sobre os tipos de chaves de locatário que o Azure Proteção de Informações dá suporte, consulte Planejamento e implementação da chave de locatário do Azure Proteção de Informações.

Para obter mais informações sobre o Azure Key Vault, confira O que é o Azure Key Vault?.

Exemplos

Exemplo 1: configurar Proteção de Informações do Azure para usar uma chave gerenciada pelo cliente no Azure Key Vault

PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"

Esse comando informa ao Azure Proteção de Informações usar a chave chamada contoso-aipservice-key, versão aaaabbbbcccc111122223333, no cofre de chaves chamado contoso.

Essa chave e versão no Key Vault do Azure se tornam a chave de locatário gerenciada pelo cliente para o Proteção de Informações do Azure.

Parâmetros

-Confirm

Solicita sua confirmação antes de executar o cmdlet.

Tipo:SwitchParameter
Aliases:cf
Cargo:Named
Valor padrão:False
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-Force

Força o comando a ser executado sem solicitar a confirmação do usuário.

Tipo:SwitchParameter
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-FriendlyName

Especifica o nome amigável de um TPD (domínio de publicação confiável) e a chave SLC que você importou do AD RMS.

Se os usuários executarem o Office 2016 ou o Office 2013, especifique o mesmo valor de nome amigável definido para as propriedades do cluster do AD RMS na guia Certificado do Servidor .

Esse parâmetro é opcional. Se você não usá-lo, o identificador de chave será usado em vez disso.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-KeyVaultKeyUrl

Especifica a URL da chave e da versão no Azure Key Vault que você deseja usar para sua chave de locatário.

Essa chave será usada pelo Azure Proteção de Informações como a chave raiz de todas as operações criptográficas para seu locatário.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-WhatIf

Mostra o que aconteceria se o cmdlet fosse executado. O cmdlet não é executado.

Tipo:SwitchParameter
Aliases:wi
Cargo:Named
Valor padrão:False
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False