Rodar e revogar uma chave gerida pelo cliente

  • Artigo

Este artigo é a terceira parte de uma série de tutoriais de quatro partes. A primeira parte fornece uma descrição geral das chaves geridas pelo cliente, das respetivas funcionalidades e considerações antes de ativar uma no seu registo. Na segunda parte, vai aprender a ativar uma chave gerida pelo cliente com a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager. Este artigo orienta-o ao longo da rotação, atualização e revogação de uma chave gerida pelo cliente.

Rodar uma chave gerida pelo cliente

Para rodar uma chave, pode atualizar a versão da chave no Azure Key Vault ou criar uma nova chave. Ao rodar a chave, pode especificar a mesma identidade que utilizou para criar o registo.

Opcionalmente, pode:

  • Configure uma nova identidade atribuída pelo utilizador para aceder à chave.
  • Ative e especifique a identidade atribuída pelo sistema do registo.

Nota

Para ativar a identidade atribuída pelo sistema do registo no portal, selecioneIdentidade de Definições> e defina o estado da identidade atribuída pelo sistema como Ativado.

Certifique-se de que o acesso necessário ao cofre de chaves está definido para a identidade que configura para o acesso à chave.

Criar ou atualizar a versão da chave com a CLI do Azure

Para criar uma nova versão de chave, execute o comando az keyvault keyvault create :

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Se configurar o registo para detetar atualizações de versões chave, a chave gerida pelo cliente é atualizada automaticamente dentro de uma hora.

Se configurar o registo para atualização manual para uma nova versão de chave, execute o comando az-acr-encryption-rotate-key . Transmita o novo ID da chave e a identidade que pretende configurar.

Dica

Ao executar az-acr-encryption-rotate-keyo , pode transmitir um ID de chave com versão ou um ID de chave nãoversionado. Se utilizar um ID de chave não aversionado, o registo será configurado para detetar automaticamente atualizações posteriores da versão da chave.

Para atualizar manualmente uma versão de chave gerida pelo cliente, tem duas opções:

  • Rode a chave e utilize uma identidade atribuída pelo utilizador.

    Se estiver a utilizar a chave de um cofre de chaves diferente, verifique se principal-id-user-assigned-identity tem as getpermissões , wrape unwrap nesse cofre de chaves.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Rode a chave e utilize uma identidade atribuída pelo sistema.

    Antes de utilizar a identidade atribuída pelo sistema, verifique se as getpermissões , wrape unwrap estão atribuídas à mesma.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Criar ou atualizar a versão da chave com o portal do Azure

Utilize as definições de Encriptação do registo para atualizar o cofre de chaves, a chave ou as definições de identidade de uma chave gerida pelo cliente.

Por exemplo, para configurar uma nova chave:

  1. No portal, aceda ao seu registo.

  2. Em Definições, selecioneChave de Alteração de Encriptação>.

    Captura de ecrã a mostrar as opções de chave de encriptação no portal do Azure.

  3. Em Encriptação, escolha uma das seguintes opções:

    • Selecione Selecionar de Key Vault e, em seguida, selecione um cofre de chaves e uma chave existentes ou selecione Criar novo. A chave que selecionar não é aversionada e ativa a rotação automática de chaves.
    • Selecione Introduzir URI de chave e forneça um identificador de chave diretamente. Pode fornecer um URI de chave com versão (para uma chave que tem de ser rodada manualmente) ou um URI de chave não aversão (que permite a rotação automática de chaves).

  4. Conclua a seleção da chave e, em seguida, selecione Guardar.

Revogar uma chave gerida pelo cliente

Pode revogar uma chave de encriptação gerida pelo cliente ao alterar a política de acesso, ao alterar as permissões no cofre de chaves ou ao eliminar a chave.

Para alterar a política de acesso da identidade gerida que o seu registo utiliza, execute o comando az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Para eliminar as versões individuais de uma chave, execute o comando az-keyvault-key-delete . Esta operação requer as chaves/permissão de eliminação .

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Nota

Revogar uma chave gerida pelo cliente bloqueará o acesso a todos os dados do registo. Se ativar o acesso à chave ou restaurar uma chave eliminada, o registo escolherá a chave e poderá recuperar o controlo de acesso aos dados de registo encriptados.

Passos seguintes

Avance para o artigo seguinte para resolver problemas comuns, como erros ao remover uma identidade gerida, erros 403 e eliminações acidentais de chaves.