Obměna a odvolání klíče spravovaného zákazníkem

  • Článek

Tento článek je třetí částí čtyřdílné série kurzů. První část obsahuje přehled klíčů spravovaných zákazníkem, jejich funkcí a důležitých informací, než ho povolíte v registru. V druhé části se dozvíte, jak povolit klíč spravovaný zákazníkem pomocí Azure CLI, webu Azure Portal nebo šablony Azure Resource Manageru. Tento článek vás provede obměnou, aktualizací a odvoláním klíče spravovaného zákazníkem.

Obměna klíče spravovaného zákazníkem

Pokud chcete klíč otočit, můžete buď aktualizovat verzi klíče ve službě Azure Key Vault, nebo vytvořit nový klíč. Při obměně klíče můžete zadat stejnou identitu, kterou jste použili k vytvoření registru.

Volitelně:

  • Nakonfigurujte novou identitu přiřazenou uživatelem pro přístup ke klíči.
  • Povolte a zadejte identitu přiřazenou systémem registru.

Poznámka:

Pokud chcete na portálu povolit identitu přiřazenou systémem registru, vyberte Nastavení>Identity a nastavte stav identity přiřazené systémem na Zapnuto.

Ujistěte se, že je požadovaný přístup trezoru klíčů nastavený pro identitu, kterou nakonfigurujete pro přístup ke klíči.

Vytvoření nebo aktualizace verze klíče pomocí Azure CLI

Pokud chcete vytvořit novou verzi klíče, spusťte příkaz az keyvault key create :

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Pokud nakonfigurujete registr tak, aby zjistil aktualizace verzí klíčů, klíč spravovaný zákazníkem se automaticky aktualizuje do jedné hodiny.

Pokud nakonfigurujete registr pro ruční aktualizaci pro novou verzi klíče, spusťte příkaz az-acr-encryption-rotate-key . Předejte nové ID klíče a identitu, kterou chcete nakonfigurovat.

Tip

Při spuštění az-acr-encryption-rotate-keymůžete předat ID klíče s verzí nebo ID neverzeného klíče. Pokud použijete ID neverzeného klíče, registr se pak nakonfiguruje tak, aby automaticky detekoval aktualizace novější verze klíče.

Pokud chcete aktualizovat verzi klíče spravovaného zákazníkem ručně, máte tři možnosti:

  • Klíč otočte a použijte ID klienta spravované identity.

Pokud používáte klíč z jiného trezoru klíčů, ověřteidentity, jestli má getwrapklíč a unwrap oprávnění k ho trezoru klíčů.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Klíč otočte a použijte identitu přiřazenou uživatelem.

Než použijete identitu přiřazenou uživatelem, ověřte, že jsou k ní přiřazena getwrapoprávnění a unwrap že jsou k ní přiřazena oprávnění.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Otočte klíč a použijte identitu přiřazenou systémem.

Než použijete identitu přiřazenou systémem, ověřte, že jsou k ní přiřazena getwrapoprávnění a unwrap že jsou k ní přiřazena oprávnění.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Vytvoření nebo aktualizace verze klíče pomocí webu Azure Portal

Pomocí nastavení šifrování registru aktualizujte trezor klíčů, klíč nebo nastavení identity pro klíč spravovaný zákazníkem.

Pokud chcete například nakonfigurovat nový klíč:

  1. Na portálu přejděte do svého registru.

  2. V části Nastavení vyberte Šifrovací>klíč změnit.

    Snímek obrazovky s možnostmi šifrovacího klíče na webu Azure Portal

  3. V části Šifrování zvolte jednu z následujících možností:

    • Zvolte Vybrat ze služby Key Vault a pak vyberte existující trezor klíčů a klíč nebo vyberte Vytvořit nový. Vybraný klíč není převedený a umožňuje automatické obměně klíčů.
    • Vyberte Enter key URI a zadejte identifikátor klíče přímo. Můžete zadat identifikátor URI klíče s verzí (pro klíč, který se musí otočit ručně) nebo identifikátor URI neversionovaného klíče (který umožňuje automatickou obměnu klíčů).

  4. Dokončete výběr klíče a pak vyberte Uložit.

Odvolání klíče spravovaného zákazníkem

Šifrovací klíč spravovaný zákazníkem můžete odvolat změnou zásad přístupu, změnou oprávnění v trezoru klíčů nebo odstraněním klíče.

Pokud chcete změnit zásady přístupu spravované identity, kterou registr používá, spusťte příkaz az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Pokud chcete odstranit jednotlivé verze klíče, spusťte příkaz az-keyvault-key-delete . Tato operace vyžaduje oprávnění klíče nebo odstranění .

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Poznámka:

Odvolání klíče spravovaného zákazníkem zablokuje přístup ke všem datům registru. Pokud povolíte přístup ke klíči nebo obnovíte odstraněný klíč, registr klíč vybere a můžete znovu získat kontrolu nad přístupem k šifrovaným datům registru.

Další kroky

V dalším článku se dozvíte, jak řešit běžné problémy, jako jsou chyby, když odebíráte spravovanou identitu, chyby 403 a náhodné odstranění klíčů.