使用 Azure Key Vault 為 Azure Cosmos DB 帳戶設定跨租用戶客戶自控金鑰

適用於：NoSQL MongoDB Cassandra Gremlin Table

會使用由 Microsoft 管理的服務管理金鑰，自動對儲存在 Azure Cosmos DB 帳戶中的資料進行縝密的加密。 然而，您可以選擇使用您所管理的金鑰來新增第二層加密。 這些金鑰稱為客戶自控金鑰 (或 CMK)。 客戶自控金鑰會儲存在 Azure Key Vault 執行個體中。

本文逐步說明如何在建立 Azure Cosmos DB 帳戶時，運用客戶自控金鑰來設定加密。 在此範例跨租用戶情節中，Azure Cosmos DB 帳戶位於獨立軟體廠商 (ISV) 所管理的租用戶中，ISV 又稱為服務提供者。 用來加密 Azure Cosmos DB 帳戶的金鑰位於客戶所管理之不同租用戶的金鑰保存庫中。

關於跨租用戶的客戶自控金鑰

許多在 Azure 上建置軟體即服務 (SaaS ) 供應項目的服務提供者都想要為客戶提供用以管理自有加密金鑰的選項。 客戶自控金鑰可讓服務提供者使用服務提供者的客戶所管理的加密金鑰來加密客戶的資料，而且服務提供者無法存取。 在 Azure 中，服務提供者的客戶可以使用 Azure Key Vault，在自己的 Microsoft Entra 租用戶和訂用帳戶中管理其加密金鑰。

服務提供者所擁有的 Azure 平台服務和資源，以及位於服務提供者租用戶的 Azure 平台服務和資源，都需要從客戶的租用戶存取金鑰，才能執行加密/解密作業。

下圖顯示在跨租用戶 CMK 工作流程中，範圍涵蓋服務提供者與客戶的待用資料加密與同盟身分識別。

在上述範例中，有兩個 Microsoft Entra 租用戶：獨立服務提供者的租用戶 (Tenant1)，以及客戶的租用戶 (Tenant2)。 Tenant1 裝載 Azure 平台服務，而 Tenant2 裝載客戶的金鑰保存庫。

多租用戶應用程式註冊是由 Tenant1 中的服務提供者建立。 在此應用程式上建立同盟身分識別認證時，所使用的是使用者指派的受控識別。 然後，應用程式的名稱和應用程式識別碼會與客戶共用。

具有適當權限的使用者會在客戶租用戶 Tenant2 中安裝服務提供者的應用程式。 接著，使用者會將與已安裝應用程式存取權相關聯的服務主體授與客戶的金鑰保存庫。 客戶也會將加密金鑰或客戶自控金鑰儲存在金鑰保存庫中。 客戶會與服務提供者共用金鑰位置 (金鑰的 URL)。

服務提供者現在具有：

• 安裝在客戶租用戶中的多租用戶應用程式的應用程式識別碼，其已獲得客戶自控金鑰的存取權。
• 在多租用戶應用程式上設定為認證的受控識別。
• 客戶金鑰保存庫中的金鑰位置。

使用這三個參數，服務提供者會在 Tenant1 中佈建 Azure 資源，其可使用 Tenant2 中的客戶自控金鑰進行加密。

請將上述端對端解決方案分成三個階段：

1. 服務提供者設定身分識別。
2. 客戶將服務提供者的多租用戶應用程式存取權授與 Azure Key Vault 中的加密金鑰。
3. 服務提供者使用 CMK 來加密 Azure 資源中的資料。

階段 1 中的作業是大部分服務提供者應用程式的一次性設定。 階段 2 和 3 中的作業會針對每個客戶重複。

階段 1 - 服務提供者設定 Microsoft Entra 應用程式

步驟	描述	Azure RBAC 中的最低角色	Microsoft Entra RBAC 中的最小角色
1.	建立新的多租用戶 Microsoft Entra 應用程式註冊，或從現有的應用程式註冊開始。 請記下使用 Azure 入口網站、Microsoft Graph API、Azure PowerShell 或 Azure CLI 註冊的應用程式識別碼 (用戶端識別碼)	無	應用程式開發人員
2.	建立使用者指派的受控識別 (以作為同盟身分識別認證)。 Azure 入口網站 / Azure CLI / Azure PowerShell/ Azure Resource Manager 範本	受控身分識別參與者	無
3.	在應用程式上將使用者指派的受控識別設定為「同盟身分識別認證」，以便模擬應用程式的身分識別。 圖形 API參考/ Azure 入口網站/ Azure CLI/ Azure PowerShell	無	應用程式的擁有者
4.	與客戶共用應用程式名稱和應用程式識別碼，讓他們可以安裝和授權應用程式。	無	無

服務提供者的考量

• 不建議使用 Azure Resource Manager (ARM) 範本來建立 Microsoft Entra 應用程式。
• 相同的多租用戶應用程式可以用來存取任意數目之租用戶中的金鑰，例如 Tenant2、Tenant3、Tenant4 等等。 在每個租用戶中，會建立應用程式的獨立執行個體，該執行個體具有相同的應用程式識別碼，但不同的物件識別碼。 因此，此應用程式的每個執行個體都會獨立獲得授權。 請考慮如何使用此功能的應用程式物件將應用程式分割給所有客戶。
  • 應用程式最多可以有 20 個同盟身分識別認證，而這需要服務提供者在其客戶之間共用同盟身分識別。 如需同盟身分識別設計考量和限制的詳細資訊，請參閱設定應用程式以信任外部身分識別提供者
• 在罕見的情況下，服務提供者可能會根據其客戶使用單一 Application 物件，但這需要大量維護成本，才能跨所有客戶大規模管理應用程式。
• 在服務提供者租用戶中，無法自動進行發行者驗證 (機器翻譯)。

階段 2 - 客戶授權存取金鑰保存庫

步驟	描述	最低特殊權限的 Azure RBAC 角色	具有最低權限的 Microsoft Entra 角色
1.	建議：將使用者送去登入您的應用程式。 如果使用者可以登入，則應用程式的服務主體存在於其租用戶中。 使用 Microsoft Graph、Microsoft Graph PowerShell、Azure PowerShell 或 Azure CLI 來建立服務主體。 建構管理員同意的 URL並授與全租用戶同意，以使用應用程式識別碼建立服務主體。	無	具有安裝應用程式權限的使用者
2.	建立 Azure Key Vault，以及作為客戶自控金鑰的金鑰。	使用者必須獲指派金鑰保存庫參與者角色，才能建立金鑰保存庫 使用者必須獲指派金鑰保存庫密碼編譯人員角色，才能將金鑰新增至金鑰保存庫	無
3.	指派金鑰保存庫密碼編譯服務加密使用者角色，以將同意的應用程式身分識別存取權授與 Azure 金鑰保存庫。	若要將 [金鑰保存庫密碼編譯服務加密使用者]角色指派給應用程式，您必須已獲指派使用者存取管理員角色。	無
4.	將金鑰保存庫 URL 和金鑰名稱複製至 SaaS 供應項目的客戶自控金鑰設定中。	無	無

注意

若要使用 CMK 授權存取受控 HSM 以進行加密，請參閱此處的儲存體帳戶範例。 如需使用受控 HSM 管理金鑰的詳細資訊，請參閱使用 Azure CLI 管理受控 HSM

服務提供者的客戶考量

• 在客戶租用戶 Tenant2 中，管理員可以設定原則來封鎖非管理使用者安裝應用程式。 這些原則可防止非管理使用者建立服務主體。 如果已設定這類原則，則必須涉及具有建立服務主體權限的使用者。
• 使用 Azure RBAC 或存取原則可以授權存取 Azure Key Vault。 授與金鑰保存庫的存取權時，請務必使用金鑰保存庫的作用中機制。
• Microsoft Entra 應用程式註冊具有應用程式識別碼 (用戶端識別碼)。 在您的租用戶中安裝應用程式時，會建立服務主體。 服務主體會共用與應用程式註冊相同的應用程式識別碼，但會產生自己的物件識別碼。 當您授權應用程式能夠存取資源時，可能需要使用服務主體 Name 或 ObjectID 屬性。

階段 3 - 服務提供者使用客戶自控金鑰來加密 Azure 資源中的資料

在階段 1 和 2 完成之後，服務提供者可以使用客戶租用戶中的金鑰和金鑰保存庫，以及 ISV 租用戶中的 Azure 資源，在 Azure 資源上設定加密。 服務提供者可以使用該 Azure 資源支援的用戶端工具、ARM 範本或 REST API，設定跨租用戶客戶自控金鑰。

設定跨租用戶的客戶自控金鑰

本節說明如何設定跨租用戶的客戶自控金鑰 (CMK) 以及加密客戶資料。 您將了解如何使用 Tenant2 的金鑰保存庫中所儲存的 CMK，來加密 Tenant1 的資源中的客戶資料。 您可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI。

入口網站

登入 Azure 入口網站並遵循下列步驟。

服務提供者設定身分識別

下列步驟是由服務提供者在其租用戶 Tenant1 中執行。

服務提供者建立新的多租用戶應用程式註冊

您可以建立新的多租用戶 Microsoft Entra 應用程式註冊，或從現有的多租用戶應用程式註冊開始。 如果從現有的應用程式註冊開始，請記下應用程式的應用程式識別碼 (用戶端識別碼)。

若要建立新的註冊：

1. 在搜尋方塊中，搜尋 Microsoft Entra ID。 找出並選取 Microsoft Entra ID 延伸模組。

2. 從左窗格中，選取 [管理] > [應用程式註冊]。

3. 選取 + 新增註冊。

4. 提供應用程式註冊的名稱，然後選取 [任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 – 多租用戶)]。

5. 選取註冊。

6. 請記下應用程式的 ApplicationId/ClientId。

   

服務提供者建立使用者指派的受控識別

建立使用者指派的受控識別，以作為同盟身分識別認證。

1. 在搜尋方塊中，搜尋「受控識別」。 找出並選取 [受控識別] 延伸模組。

2. 選取 + 建立。

3. 提供受控識別的資源群組、區域和名稱。

4. 選取 [檢閱 + 建立]。

5. 成功部署時，請記下使用者指派受控識別的 Azure ResourceId，其可在 [屬性] 下取得。 例如：

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

服務提供者將使用者指派的受控識別設定為應用程式上的同盟認證

將使用者指派的受控識別設定為應用程式的同盟身分識別認證，以模擬應用程式的身分識別。

1. 瀏覽至 [Microsoft Entra ID] > [應用程式註冊] > [您的應用程式]。

2. 選取 [憑證和秘密]。

3. 選取 [同盟認證]。

   

4. 選取 [+ 新增認證]。

5. 在 [同盟認證案例] 下，選取 [客戶自控金鑰]。

6. 按一下 [選取受控識別]。 從窗格中，選取訂用帳戶。 在 [受控識別] 下，選取 [使用者指派的受控識別]。 在 [選取] 方塊中，搜尋您稍早建立的受控識別，然後按一下窗格底部的 [選取]。

   

7. 在 [認證詳細資料] 下，提供認證的名稱和選用描述，然後選取 [新增]。

   

PowerShell

若要使用 Azure PowerShell 來設定 ISV 的租用戶，請安裝最新的 Az 模組。 如需如何安裝 PowerShell 的詳細資訊，請參閱使用 PowerShellGet 在 Windows 上安裝 Azure PowerShell。

• 如果您選擇在本機使用 Azure PowerShell：
  • 安裝最新版的 Az PowerShell 模組。
  • 使用 Connect-AzAccount Cmdlet 連線至 Azure 帳戶。
• 如果您選擇使用 Azure Cloud Shell：
  • 請參閱 Azure Cloud Shell 概觀 以取得詳細資訊。

服務提供者設定身分識別

下列步驟是服務提供者 (ISV) 在服務提供者的租用戶 Tenant1 中執行。

服務提供者登入 Azure

在 Azure PowerShell 中，登入 ISV 的租用戶，並將使用中訂用帳戶設定為 ISV 的訂用帳戶。

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

服務提供者建立新的多租用戶應用程式註冊

在 Tenant1 中挑選多租用戶已註冊應用程式的名稱，並在 Azure 入口網站中建立多租用戶應用程式。

客戶會使用您為多租用戶應用程式所提供的名稱來識別 Tenant2 中的應用程式。 請記下應用程式的物件識別碼和應用程式識別碼。 您在後續步驟中將需要這些值。

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

服務提供者建立使用者指派的受控識別

登入 ISV 的租用戶，然後建立要用作同盟身分識別認證的使用者指派受控身分識別。 若要建立新的使用者指派受控身分識別，您必須獲指派包括 Microsoft.ManagedIdentity/userAssignedIdentities/write 動作的角色。

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

服務提供者將使用者指派的受控識別設定為應用程式上的同盟認證

將使用者指派的受控識別設定為應用程式的同盟身分識別認證，以模擬應用程式的身分識別。

若要從 PowerShell 設定同盟身分識別認證，請先安裝 Az.Resources 模組的 6.3.0 版或更新版本。

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• 在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。

  

• 若要在本地執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱使用 Azure CLI 登入。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

服務提供者設定身分識別

下列步驟是由服務提供者在其租用戶 Tenant1 中執行。

服務提供者登入 Azure

登入 Azure 以使用 Azure CLI。

az login

服務提供者建立新的多租用戶應用程式註冊

在 Tenant1 中挑選多租用戶應用程式的名稱，並在 Azure 入口網站中建立多租用戶應用程式。

客戶會使用您為多租用戶應用程式所提供的名稱來識別 Tenant2 中的應用程式。 複製應用程式的應用程式識別碼 (或用戶端識別碼)、應用程式的物件識別碼，以及應用程式的租用戶識別碼。 您會在後續步驟中用到這些值。

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

服務提供者建立使用者指派的受控識別

登入 ISV 的租用戶，然後建立要用作同盟身分識別認證的使用者指派受控身分識別。 若要建立新的使用者指派受控身分識別，您必須獲指派包括 Microsoft.ManagedIdentity/userAssignedIdentities/write 動作的角色。

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

服務提供者將使用者指派的受控識別設定為應用程式上的同盟認證

執行 az ad app federated-credential create 方法，以在應用程式上設定同盟身分識別認證，並建立與外部身分識別提供者的信任關係。

使用 api://AzureADTokenExchange 作為同盟身分識別認證中的 audience 值。 如需詳細資訊，請參閱 API 參考。

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

服務提供者與客戶共用應用程式識別碼

尋找多租用戶應用程式的應用程式識別碼 (用戶端識別碼)，並與客戶共用。

客戶將服務提供者的應用程式存取權授與金鑰保存庫中金鑰

下列步驟是由客戶在其租用戶 Tenant2 中執行。 客戶可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI。

執行這些步驟的使用者必須是具有特殊權限角色的管理員，例如應用程式管理員、雲端應用程式管理員或全域管理員。

入口網站

登入 Azure 入口網站並遵循下列步驟。

客戶在客戶租用戶中安裝服務提供者應用程式

若要在客戶的租用戶中安裝服務提供者的已註冊應用程式，您可以從已註冊的應用程式建立具有應用程式識別碼的服務主體。 您可以使用下列任一種方式來建立服務主體：

• 使用 Microsoft Graph、Microsoft Graph PowerShell、Azure PowerShell 或 Azure CLI 手動建立服務主體。
• 建構管理員同意的 URL，並授與全租用戶同意以建立服務主體。 您需要對其提供您的 AppId。

客戶建立金鑰保存庫

若要建立金鑰保存庫，必須將「金鑰保存庫參與者」角色或另一個允許建立金鑰保存庫的角色指派給使用者的帳戶。

1. 從 Azure 入口網站功能表或從首頁，選取 [+ 建立資源]。 在 [搜尋] 方塊中，輸入「金鑰保存庫」。 從結果清單中，選取 [金鑰保存庫]。 在 [金鑰保存庫] 頁面上，選取 [建立]。

2. 在 [基本] 索引標籤上，選擇訂用帳戶。 在 [資源群組] 下，選取 [新建]，然後輸入資源群組名稱。

3. 輸入金鑰保存庫的唯一名稱。

4. 選取區域和定價層。

5. 啟用新金鑰保存庫的清除保護。

6. 在 [存取原則] 索引標籤上，針對 [權限模型] 選取 [Azure 角色型存取控制]。

7. 選取 [檢閱 + 建立]，然後選取 [建立]。

   

記下可存取金鑰保存庫的金鑰保存庫名稱和 URI 應用程式必須使用此 URI。

如需詳細資訊，請參閱快速入門 - 使用 Azure 入口網站建立 Azure Key Vault。

客戶將「金鑰保存庫密碼編譯人員」角色指派給使用者帳戶

此步驟可確保您可以建立加密金鑰。

1. 瀏覽至您的金鑰保存庫，然後從左窗格中選取 [存取控制 (IAM)]。
2. 在授與此資源的存取權下方，選取新增角色指派。
3. 搜尋並選取 [金鑰保存庫密碼編譯人員]。
4. 在 [成員] 下，選取 [使用者、群組或服務主體]。
5. 選取 [成員]，然後搜尋您的使用者帳戶。
6. 選取 [檢閱 + 指派]。

客戶建立加密金鑰

若要建立加密金鑰，必須將「金鑰保存庫密碼編譯人員」角色或另一個允許建立金鑰的角色，指派給使用者的帳戶。

1. 在 [金鑰保存庫屬性] 頁面上，選取 [金鑰]。
2. 選取產生/匯入。
3. 在 [建立金鑰] 畫面上，指定金鑰的名稱。 將其他值保留為其預設值。
4. 選取 建立。
5. 複製金鑰 URI。

客戶將金鑰保存庫的存取權授與服務提供者應用程式

將 Azure RBAC 角色「金鑰保存庫密碼編譯服務加密使用者」指派給服務提供者的已註冊應用程式，以便存取金鑰保存庫。

1. 瀏覽至您的金鑰保存庫，然後從左窗格中選取 [存取控制 (IAM)]。
2. 在授與此資源的存取權下方，選取新增角色指派。
3. 搜尋並選取 [金鑰保存庫密碼編譯服務加密使用者]。
4. 在 [成員] 下，選取 [使用者、群組或服務主體]。
5. 選取 [成員]，然後搜尋您從服務提供者安裝之應用程式的應用程式名稱。
6. 選取 [檢閱 + 指派]。

您現在可以使用金鑰保存庫 URI 和金鑰來設定客戶自控金鑰。

PowerShell

若要使用 Azure PowerShell 來設定用戶端的租用戶，請安裝最新的 Az 模組。 如需如何安裝 PowerShell 的詳細資訊，請參閱使用 PowerShellGet 在 Windows 上安裝 Azure PowerShell。

• 如果您選擇在本機使用 Azure PowerShell：
  • 安裝最新版的 Az PowerShell 模組。
  • 使用 Connect-AzAccount Cmdlet 連線至 Azure 帳戶。
• 如果您選擇使用 Azure Cloud Shell：
  • 請參閱 Azure Cloud Shell 概觀 以取得詳細資訊。

客戶登入 Azure

在 Azure PowerShell 中，登入客戶的租用戶，並將使用中訂用帳戶設定為客戶的訂用帳戶。

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

客戶在客戶租用戶中安裝服務提供者應用程式

在您收到服務提供者多租用戶應用程式的應用程式識別碼之後，請建立服務主體以在租用戶 Tenant2 中安裝應用程式。

在您打算在其中建立金鑰保存庫的租用戶中執行下列命令。

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

客戶建立金鑰保存庫

若要建立金鑰保存庫，必須將「金鑰保存庫參與者」角色或另一個允許建立金鑰保存庫的角色，指派給客戶的帳戶。

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

客戶將「金鑰保存庫密碼編譯人員」角色指派給使用者帳戶

將「金鑰保存庫密碼編譯人員」角色指派給使用者帳戶。 此步驟確保使用者可以建立金鑰保存庫和加密金鑰。 下列範例會將角色指派給目前的登入使用者。

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

客戶建立加密金鑰

若要建立加密金鑰，必須將「金鑰保存庫密碼編譯人員」角色或另一個允許建立金鑰的角色，指派給使用者的帳戶。

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

客戶將金鑰保存庫的存取權授與服務提供者應用程式

透過您稍早所建立的服務主體，將 Azure RBAC 角色「金鑰保存庫密碼編譯服務加密使用者」指派給服務提供者的已註冊應用程式，以存取金鑰保存庫。

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

您現在可以使用金鑰保存庫 URI 和金鑰來設定客戶自控金鑰。

Azure CLI

• 在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。

  

• 若要在本地執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱使用 Azure CLI 登入。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

客戶登入 Azure

登入 Azure 以使用 Azure CLI。

az login

客戶在客戶租用戶中安裝服務提供者應用程式

一旦您收到服務提供者的多租用戶應用程式的應用程式識別碼，請使用下列命令在租用戶 Tenant2 中安裝應用程式。 安裝應用程式可在您的租用戶中建立服務主體。

在您打算在其中建立金鑰保存庫的租用戶中執行下列命令。

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

客戶建立金鑰保存庫

若要建立金鑰保存庫，必須將「金鑰保存庫參與者」角色或另一個允許建立金鑰保存庫的角色，指派給客戶的帳戶。

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

客戶將「金鑰保存庫密碼編譯人員」角色指派給使用者帳戶

此步驟可確保您可以建立金鑰保存庫和加密金鑰。

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

客戶建立加密金鑰

若要建立加密金鑰，必須將「金鑰保存庫密碼編譯人員」角色或另一個允許建立金鑰的角色，指派給使用者的帳戶。

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

客戶將金鑰保存庫的存取權授與服務提供者應用程式

透過您稍早所建立的服務主體，將 Azure RBAC 角色「金鑰保存庫密碼編譯服務加密使用者」指派給服務提供者的已註冊應用程式，讓已註冊應用程式可以存取金鑰保存庫。

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

您現在可以使用金鑰保存庫 URI 和金鑰來設定客戶自控金鑰。

建立以不同租用戶金鑰加密的新 Azure Cosmos DB 帳戶

到目前為止，您已在服務提供者的租用戶上設定多租用戶應用程式。 您還在客戶的租用戶上安裝該應用程式，並在客戶的租用戶上設定了金鑰保存庫和金鑰。 接下來，您可以在服務提供者租用戶上建立 Azure Cosmos DB 帳戶，並使用客戶租用戶金鑰來設定客戶自控金鑰。

使用客戶自控金鑰建立 Azure Cosmos DB 帳戶時，我們必須確定其可存取客戶所使用的金鑰。 在單一租用戶情節中，授與 Azure Cosmos DB 主體的直接金鑰保存庫存取權，或使用特定的受控識別。 在跨租用戶情節中，我們不再依賴對金鑰保存庫的直接存取，因為其在客戶管理的另一個租用戶中。 此限制式是我們在前幾節中建立跨租用戶應用程式，並在應用程式內註冊受控識別，使其能夠存取客戶金鑰保存庫的原因。 此受控識別與跨租用戶應用程式識別碼結合，是建立跨租用戶 CMK Azure Cosmos DB 帳戶時將使用的資訊。 如需詳細資訊，請參閱本文的階段 3 - 服務提供者使用客戶自控金鑰加密 Azure 資源中的資料一節。

每當金鑰保存庫中有新版本的金鑰可用時，就會在 Azure Cosmos DB 帳戶上自動更新金鑰。

使用 Azure Resource Manager JSON 範本

使用下列特定參數部署 ARM 範本：

注意

如果您要在其中一個 Azure Resource Manager 範本中重新建立此範例，請使用 2022-05-15 的 apiVersion。

參數	描述	範例值
keyVaultKeyUri	位於服務提供者金鑰保存庫中的客戶自控金鑰識別碼。	https://my-vault.vault.azure.com/keys/my-key
identity	指定受控識別應指派給 Azure Cosmos DB 帳戶的物件。	"identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}}
defaultIdentity	受控識別的資源識別碼與多租用戶 Microsoft Entra 應用程式的應用程式識別碼的組合。	UserAssignedIdentity=/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=11111111-1111-1111-1111-111111111111

以下是已設定三個參數的範本區段範例：

{
  "kind": "GlobalDocumentDB",
  "location": "East US 2",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity": {}
    }
  },
  "properties": {
    "locations": [
      {
        "locationName": "East US 2",
        "failoverPriority": 0,
        "isZoneRedundant": false
      }
    ],
    "databaseAccountOfferType": "Standard",
    "keyVaultKeyUri": "https://my-vault.vault.azure.com/keys/my-key",
    "defaultIdentity": "UserAssignedIdentity=/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=11111111-1111-1111-1111-111111111111"
  }
}

重要

Azure PowerShell、Azure CLI 或 Azure 入口網站尚不支援此功能。

當您建立新的 Azure Cosmos DB 帳戶時，無法使用特定版本的金鑰版本來設定客戶自控金鑰。 金鑰本身必須在不帶版本和尾端反斜線的情況下傳遞。

若要撤銷或停用客戶自控金鑰，請參閱使用 Azure Key Vault 為 Azure Cosmos DB 帳戶設定客戶自控金鑰

另請參閱

• 使用 Azure Key Vault 為您的 Azure Cosmos 帳戶設定客戶管理的金鑰