Konfigurieren kundenseitig verwalteter Schlüssel für Ihr Azure Cosmos DB-Konto mit Azure Key Vault
GILT FÜR: NoSQL MongoDB Cassandra Gremlin Tabelle
Die in Ihrem Azure Cosmos-Konto gespeicherten Daten werden automatisch und nahtlos mit von Microsoft verwalteten Schlüsseln (also dienstseitig verwalteten Schlüsseln) verschlüsselt. Sie können jedoch eine zweite Verschlüsselungsschicht mit von Ihnen verwalteten Schlüsseln hinzufügen. Diese Schlüssel werden als kundenseitig verwaltete Schlüssel (oder CMK für „Customer-Managed Keys“) bezeichnet. Kundenseitig verwaltete Schlüssel werden in einer Azure Key Vault-Instanz gespeichert.
In diesem Artikel erfahren Sie, wie Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln zum Zeitpunkt der Erstellung eines neuen Azure Cosmos DB-Kontos konfigurieren. In diesem Beispiel eines mandantenübergreifenden Szenarios befindet sich das Azure Cosmos DB-Konto in einem Mandanten, der von einem unabhängigen Softwareanbieter (Independent Software Vendor, ISV) verwaltet und der als Dienstanbieter bezeichnet wird. Der für die Verschlüsselung des Azure Cosmos DB-Kontos verwendete Schlüssel befindet sich in einem Schlüsseltresor in einem anderen Mandanten, der vom Kunden verwaltet wird.
Informationen zu mandantenübergreifenden kundenseitig verwalteten Schlüsseln
Viele Dienstanbieter, die Software as a Service (SaaS)-Angebote auf Azure erstellen, möchten ihren Kunden die Möglichkeit bieten, ihre eigenen Verschlüsselungsschlüssel zu verwalten. Kundenseitig verwaltete Schlüssel ermöglichen es einem Dienstanbieter, die Daten seines Kunden mithilfe eines Verschlüsselungsschlüssels zu verschlüsseln, der von diesem Kunden verwaltet wird und auf den der Dienstanbieter nicht zugreifen kann. In Azure können Kund*innen von Dienstanbietern ihre Verschlüsselungsschlüssel mithilfe von Azure Key Vault in ihren eigenen Microsoft Entra-Mandanten und -Abonnements verwalten.
Azure-Plattformdienste und -ressourcen, die dem Dienstanbieter gehören und sich in seinem Mandanten befinden, benötigen Zugriff auf den Schlüssel vom Mandanten des Kunden, um die Verschlüsselungs-/Entschlüsselungsvorgänge durchführen zu können.
Die folgende Abbildung zeigt eine Verschlüsselung ruhender Daten mit Verbundidentität in einem mandantenübergreifenden CMK-Workflow, der einen Dienstanbieter und seinen Kunden umfasst.
Im obigen Beispiel gibt es zwei Microsoft Entra-Mandanten: den Mandanten eines unabhängigen Dienstanbieters (Mandant 1) und den Kundenmandanten (Mandant 2). Mandant 1 hostet Azure-Plattformdienste und Mandant 2 hostet den Schlüsseltresor des Kunden.
Eine mehrmandantenfähige Anwendungsregistrierung wird durch den Dienstanbieter in Mandant 1 erstellt. Mithilfe einer benutzerseitig zugewiesenen verwalteten Identität werden Verbundidentitätsinformationen für diese Anwendung erstellt. Anschließend werden der Name und die Anwendungs-ID der App für den Kunden freigegeben.
Ein Benutzer mit den entsprechenden Rechten installiert die Anwendung des Dienstanbieters im Mandanten des Kunden, Mandant 2. Anschließend gewährt ein Benutzer dem der installierten Anwendung zugeordneten Dienstprinzipal Zugriff auf den Schlüsseltresor des Kunden. Der Kunde speichert auch den Verschlüsselungsschlüssel, oder kundenseitig verwalteten Schlüssel, im Schlüsseltresor. Der Kunde gibt den Schlüsselspeicherort (die URL des Schlüssels) für den Dienstanbieter frei.
Der Dienstanbieter hat jetzt Folgendes:
- Eine Anwendungs-ID für eine mehrmandantenfähige Anwendung, die im Mandanten von Kund*innen installiert ist und der Zugriff auf den vom Kunden verwalteten Schlüssel gewährt wurde.
- Eine verwaltete Identität, die als Berechtigungsnachweis für die mehrmandantenfähige Anwendung konfiguriert ist.
- Den Speicherort des Schlüssels im Schlüsseltresor des Kunden.
Mit diesen drei Parametern stellt der Dienstanbieter Azure-Ressourcen in Mandant 1 bereit, die mit dem kundenseitig verwalteten Schlüssel in Mandant 2 verschlüsselt werden können.
Jetzt unterteilen wir die vorstehende End-to-End-Lösung in drei Phasen:
- Der Dienstanbieter konfiguriert Identitäten.
- Der Kunde gewährt der mehrmandantenfähigen App des Dienstanbieters Zugriff auf einen Verschlüsselungsschlüssel in Azure Key Vault.
- Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des kundenseitig verwalteten Schlüssels.
Vorgänge in Phase 1 wären ein einmaliges Setup für die meisten Dienstanbieteranwendungen. Vorgänge in den Phasen 2 und 3 würden für jeden Kunden wiederholt.
Phase 1: Der Dienstanbieter konfiguriert eine Microsoft Entra-Anwendung.
Schritt | BESCHREIBUNG | Minimale Rolle in Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) | Minimale Rolle in Microsoft Entra RBAC |
---|---|---|---|
1. | Erstellen Sie eine neue mehrmandantenfähige Microsoft Entra-Anwendungsregistrierung oder beginnen Sie mit einer bestehenden Anwendungsregistrierung. Beachten Sie die Anwendungs-ID (Client-ID) der Anwendungsregistrierung über das Azure-Portal, die Microsoft Graph-API, Azure PowerShell oder Azure CLI. | Keine | Anwendungsentwickler |
2. | Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität (zur Verwendung als Verbundidentitätsanmeldeinformationen). Azure-Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager-Vorlagen |
Mitwirkende*r für verwaltete Identität | None |
3. | Konfigurieren Sie die benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann. Graph-API-Referenz/ Azure-Portal/ Azure CLI/ Azure PowerShell |
Keine | Besitzer der Anwendung |
4. | Geben Sie den Anwendungsnamen und die Anwendungs-ID für den Kunden frei, damit er die Anwendung installieren und autorisieren kann. | Keine | Keine |
Überlegungen für Dienstanbieter
- Azure Ressource Manager (ARM)-Vorlagen werden für die Erstellung von Microsoft Entra-Anwendungen nicht empfohlen.
- Dieselbe mehrmandantenfähige Anwendung kann verwendet werden, um auf Schlüssel in einer beliebigen Anzahl von Mandanten zuzugreifen, wie z. B. Mandant 2, Mandant 3, Mandant 4 und so weiter. In jedem Mandanten wird eine unabhängige Instanz der Anwendung erstellt, die dieselbe Anwendungs-ID, aber eine andere Objekt-ID, enthält. Jede Instanz dieser Anwendung wird somit unabhängig autorisiert. Berücksichtigen Sie, wie das für dieses Feature verwendete Anwendungsobjekt verwendet wird, um Ihre Anwendung für alle Kunden zu partitionieren.
- Die Anwendung kann über maximal 20 Anmeldeinformationen für Verbundidentitäten verfügen, sodass ein Dienstanbieter die Freigabe von Verbundidentitäten für seine Kunden vornehmen muss. Weitere Informationen zu Überlegungen und Einschränkungen beim Entwurf von Verbundidentitäten finden Sie unter Konfigurieren einer Vertrauensstellung zwischen einer App und einem externen Identitätsanbieter.
- In seltenen Fällen kann ein Dienstanbieter ein einziges Anwendungsobjekt pro Kund*in verwenden, was jedoch erhebliche Wartungskosten für die Verwaltung von Anwendungen in großem Umfang für alle Kund*innen erfordert.
- Es ist nicht möglich, die Herausgeberüberprüfung im Mandant des Dienstanbieters zu automatisieren.
Phase 2 – Der Kunde autorisiert den Zugriff auf den Schlüsseltresor
Schritt | BESCHREIBUNG | Azure RBAC-Rollen mit den geringstmöglichen Berechtigungen | Microsoft Entra-Rollen mit den geringsten Berechtigungen |
---|---|---|---|
1. | Keine | Benutzer mit Berechtigungen zum Installieren von Anwendungen | |
2. | Erstellen Sie einen Azure Key Vault und einen Schlüssel, der als kundenseitig verwalteter Schlüssel verwendet wird. | Ein Benutzer muss der Rolle Key Vault-Mitwirkender zugewiesen werden, um den Schlüsseltresor erstellen zu können. Ein Benutzer muss der Rolle Key Vault-Kryptografiebeauftragter zugewiesen werden, um dem Schlüsseltresor einen Schlüssel hinzufügen zu können. |
Keine |
3. | Gewähren des Zugriffs auf die genehmigte Anwendungsidentität für den Azure-Schlüsseltresor durch Zuweisen der Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore | Um der Anwendung die Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore zuweisen zu können, müssen Sie der Rolle Benutzerzugriffsadministrator zugewiesen worden sein. | Keine |
4. | Kopieren Sie die Schlüsseltresor-URL und den Schlüsselnamen in die Konfiguration von kundenseitig verwalteten Schlüsseln des SaaS-Angebots. | Keine | Keine |
Hinweis
Ein Beispiel für die Autorisierung des Zugriffs auf das verwaltete HSM zur Verschlüsselung mit CMK finden Sie hier. Weitere Informationen zum Verwalten von Schlüsseln mit verwaltetem HSM finden Sie unter Verwalten eines verwalteten HSM mithilfe der Azure CLI.
Überlegungen für Kunden von Dienstanbietern
- Im Kundenmandanten, Mandant 2, kann ein Administrator Richtlinien festlegen, damit Nicht-Administratorbenutzer Anwendungen nicht installieren können. Diese Richtlinien können verhindern, dass Nicht-Administratorbenutzer Dienstprinzipale erstellen. Wenn eine solche Richtlinie konfiguriert ist, müssen Benutzer*innen mit der Berechtigung zum Erstellen von Dienstprinzipalen beteiligt sein.
- Der Zugriff auf Azure Key Vault kann mithilfe von Azure RBAC oder Zugriffsrichtlinien autorisiert werden. Stellen Sie beim Gewähren des Zugriffs auf einen Schlüsseltresor sicher, dass Sie den aktiven Mechanismus für Ihren Schlüsseltresor verwenden.
- Eine Microsoft Entra-Anwendungsregistrierung hat eine Anwendungs-ID (Client-ID). Wenn die Anwendung in Ihrem Mandanten installiert ist, wird ein Dienstprinzipal erstellt. Der Dienstprinzipal gibt dieselbe Anwendungs-ID als App-Registrierung frei, generiert aber seine eigene Objekt-ID. Wenn Sie die Anwendung für den Zugriff auf Ressourcen autorisieren, müssen Sie möglicherweise die Eigenschaft
Name
oderObjectID
des Dienstprinzips verwenden.
Phase 3: Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des kundenseitig verwalteten Schlüssels.
Nachdem die Phasen 1 und 2 abgeschlossen sind, kann der Dienstanbieter die Verschlüsselung auf der Azure-Ressource mit dem Schlüssel und dem Schlüsseltresor im Mandant des Kunden und der Azure-Ressource im Mandant des ISV konfigurieren. Der Dienstanbieter kann mandantenübergreifende kundenseitig verwaltete Schlüssel mit den von dieser Azure-Ressource unterstützten Client-Tools, mit einer ARM-Vorlage oder mit der REST-API konfigurieren.
Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln
In diesem Abschnitt wird beschrieben, wie Sie einen mandantenübergreifenden kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) konfigurieren und Kundendaten verschlüsseln. Sie erfahren, wie Sie Kundendaten in einer Ressource in Mandant1 mit einem CMK verschlüsseln, der in einem Schlüsseltresor in Mandant2 gespeichert ist. Hierfür können Sie das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.
Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus.
Der Dienstanbieter konfiguriert Identitäten
Die folgenden Schritte werden vom Dienstanbieter im Mandanten Mandant1 des Dienstanbieters ausgeführt.
Der Dienstanbieter erstellt eine neue Registrierung für die mehrinstanzenfähige App.
Sie können entweder eine neue Registrierung für die mehrinstanzenfähige Microsoft Entra-Anwendung erstellen oder mit einer vorhandenen Registrierung einer mehrinstanzenfähigen Anwendung beginnen. Wenn Sie mit einer vorhandenen Anwendungsregistrierung beginnen, beachten Sie die Anwendungs-ID (Client-ID) der Anwendung.
So erstellen Sie eine neue Registrierung:
Suchen Sie im Suchfeld nach Microsoft Entra ID. Suchen Sie die Microsoft Entra ID-Erweiterung, und wählen Sie sie aus.
Wählen Sie im linken Bereich Verwalten > App-Registrierungen aus.
Wählen Sie + Neue Registrierung aus.
Geben Sie den Namen für die Anwendungsregistrierung an, und wählen Sie Konto in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra-Verzeichnis – mehrinstanzenfähig) aus.
Wählen Sie Registrieren aus.
Beachten Sie die ApplicationId/ClientId der Anwendung.
Der Dienstanbieter erstellt eine benutzerseitig zugewiesene verwaltete Identität
Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die als Verbundidentitätsanmeldeinformationen verwendet werden soll.
Suchen Sie im Suchfeld nach Verwaltete Identitäten. Suchen Sie die Erweiterung Verwaltete Identitäten, und wählen Sie sie aus.
Wählen Sie + Erstellen aus.
Geben Sie die Ressourcengruppe, die Region und den Namen für die verwaltete Identität an.
Klicken Sie auf Überprüfen + erstellen.
Beachten Sie bei erfolgreicher Bereitstellung die Azure Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität, die unter Eigenschaften verfügbar ist. Beispiel:
/subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA
Der Dienstanbieter konfiguriert die benutzerseitig zugewiesene verwaltete Identität als Verbundanmeldeinformationen für die Anwendung
Konfigurieren Sie eine benutzerseitig zugewiesene verwaltete Identität als Verbundidentitätsinformationen für die Anwendung, damit sie die Identität der Anwendung wechseln kann.
Navigieren Sie zu Microsoft Entra ID > App-Registrierungen > Ihre Anwendung.
Wählen Sie Zertifikate & Geheimnisse aus.
Wählen Sie Verbundanmeldeinformationen aus.
Wählen Sie + Anmeldeinformationen hinzufügen aus.
Wählen Sie unter dem Szenario „Verbundanmeldeinformationen“ die Option Kundenseitig verwaltete Schlüssel aus.
Klicken Sie auf Verwaltete Identität auswählen. Wählen Sie im Bereich das Abonnement aus. Wählen Sie unter Verwaltete Identität die Option Benutzerseitig zugewiesene verwaltete Identität aus. Suchen Sie im Feld Auswählen nach der zuvor erstellten verwalteten Identität, und klicken Sie unten im Bereich auf Auswählen.
Geben Sie unter Details zu Anmeldeinformationen einen Namen und eine optionale Beschreibung für die Anmeldeinformationen an, und wählen Sie Hinzufügen aus.
Der Dienstanbieter gibt die Anwendungs-ID für den Kunden frei
Suchen Sie die Anwendungs-ID (Client-ID) der mehrinstanzenfähigen Anwendung, und geben Sie sie für den Kunden frei.
Der Kunde gewährt der App des Dienstanbieters Zugriff auf den Schlüssel im Schlüsseltresor
Die folgenden Schritte werden vom Kunden in seinem Mandanten, Mandant2, ausgeführt. Der Kunde kann das Azure-Portal, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.
Der Benutzer, der die Schritte ausführt, muss ein Administrator mit einer privilegierten Rolle sein, z. B. Anwendungsadministrator, Cloudanwendungsadministrator oder Globaler Administrator.
Melden Sie sich beim Azure-Portal an, und führen Sie die folgenden Schritte aus.
Der Kunde installiert die Dienstanbieteranwendung im Kundenmandanten
Zum Installieren der registrierten Anwendung des Dienstanbieters im Mandanten des Kunden erstellen Sie einen Dienstprinzipal mit der Anwendungs-ID aus der registrierten App. Sie können den Dienstprinzipal auf eine der folgenden Arten erstellen:
- Verwenden Sie Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell oder Azure CLI zum manuellen Erstellen des Dienstprinzipals.
- Erstellen Sie eine Administrator-Zustimmungs-URL, und erteilen Sie mandantenweite Zustimmung zum Erstellen des Dienstprinzipals. Sie müssen sie mit Ihrer App-Id bereitstellen.
Der Kunde erstellt einen Schlüsseltresor
Zum Erstellen des Schlüsseltresors muss dem Konto des Benutzers die Rolle Key Vault-Mitwirkender oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüsseltresors erlaubt.
Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option + Ressource erstellen aus. Geben Sie im Suchfeld den Begriff Schlüsseltresore ein. Wählen Sie in der Ergebnisliste den Eintrag Schlüsseltresore aus. Wählen Sie auf der Seite Schlüsseltresore die Option Erstellen aus.
Wählen Sie auf der Registerkarte Grundlagen ein Abonnement aus. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie einen Namen für die Ressourcengruppe ein.
Geben Sie einen eindeutigen Namen für den Schlüsseltresor ein.
Wählen Sie eine Region und einen Tarif aus.
Aktivieren Sie den Löschschutz für den neuen Schlüsseltresor.
Wählen Sie auf der Registerkarte Zugriffsrichtlinie für das Berechtigungsmodell die Option Rollenbasierte Zugriffssteuerung in Azure aus.
Wählen Sie Überprüfen + erstellen und danach Erstellen aus.
Notieren Sie sich den Namen des Schlüsseltresors und die URI. Anwendungen, die auf Ihren Schlüsseltresor zugreifen, müssen diesen URI verwenden.
Weitere Informationen finden Sie unter Schnellstart – Erstellen einer Azure Key Vault-Instanz über das Azure-Portal.
Der Kunde weist einem Benutzerkonto die Rolle „Key Vault-Kryptografiebeauftragter“ zu.
Mit diesem Schritt wird sichergestellt, dass Sie Verschlüsselungsschlüssel erstellen können.
- Navigieren Sie zu Ihrem Schlüsseltresor, und wählen Sie im linken Bereich Access Control (IAM) aus.
- Wählen Sie unter Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
- Suchen Sie nach der Rolle Key Vault-Kryptografiebeauftragter, und wählen Sie sie aus.
- Wählen Sie unter Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
- Wählen Sie Mitglieder aus, und suchen Sie nach Ihrem Benutzerkonto.
- Wählen Sie Überprüfen und zuweisen aus.
Der Kunde erstellt einen Verschlüsselungsschlüssel
Zum Erstellen des Verschlüsselungsschlüssels muss dem Konto des Benutzers die Rolle Key Vault-Kryptografiebeauftragter oder eine andere Rolle zugewiesen werden, die die Erstellung eines Schlüssels erlaubt.
- Wählen Sie auf der Seite „Key Vault-Eigenschaften“ die Option Schlüssel aus.
- Wählen Sie die Option Generieren/Importieren aus.
- Geben Sie auf dem Bildschirm Schlüssel erstellen einen Namen für den Schlüssel an. Behalten Sie bei den anderen Optionen die Standardwerte bei.
- Klicken Sie auf Erstellen.
- Kopieren Sie den Schlüssel-URI.
Der Kunde gewährt der Dienstanbieteranwendung Zugriff auf den Schlüsseltresor
Weisen Sie die Azure RBAC-Rolle Kryptografiedienstverschlüsselung für Schlüsseltresore der registrierten Anwendung des Dienstanbieters zu, damit sie auf den Schlüsseltresor zugreifen kann.
- Navigieren Sie zu Ihrem Schlüsseltresor, und wählen Sie im linken Bereich Access Control (IAM) aus.
- Wählen Sie unter Zugriff auf diese Gruppe gewähren die Option Rollenzuweisung hinzufügen aus.
- Suchen Sie nach der Option Kryptografiedienstverschlüsselung für Schlüsseltresore, und wählen Sie sie aus.
- Wählen Sie unter Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus.
- Wählen Sie Mitglieder aus, und suchen Sie nach dem Namen der Anwendung, die Sie aus dem Dienstanbieter installiert haben.
- Wählen Sie Überprüfen und zuweisen aus.
Jetzt können Sie kundenseitig verwaltete Schlüssel mit dem Schlüsseltresor-URI und dem Schlüssel konfigurieren.
Erstellen eines neuen Azure Cosmos DB-Kontos, das mit einem Schlüssel aus einem anderen Mandanten verschlüsselt ist
Bis zu diesem Punkt haben Sie die mehrinstanzenfähige Anwendung im Mandanten des Dienstanbieters konfiguriert. Sie haben die Anwendung im Mandanten des Kunden installiert sowie den Schlüsseltresor und Schlüssel im Mandanten des Kunden konfiguriert. Als Nächstes können Sie ein Azure Cosmos DB-Konto im Mandanten des Dienstanbieters erstellen und kundenseitig verwaltete Schlüssel mit dem Schlüssel im Mandanten des Kunden konfigurieren.
Beim Erstellen eines Azure Cosmos DB-Kontos mit kundenseitig verwalteten Schlüsseln müssen wir sicherstellen, dass es Zugriff auf die vom Kunden verwendeten Schlüssel hat. In Szenarien mit nur einem Mandanten können Sie entweder dem Azure Cosmos DB-Prinzipal direkten Zugriff auf den Schlüsseltresor gewähren oder eine bestimmte verwaltete Identität verwenden. In einem mandantenübergreifenden Szenario können wir uns nicht mehr auf den direkten Zugriff auf den Schlüsseltresor verlassen, da er sich in einem anderen vom Kunden verwalteten Mandanten befindet. Diese Einschränkung ist der Grund, warum wir in den vorherigen Abschnitten eine mandantenübergreifende Anwendung erstellt und eine verwaltete Identität innerhalb der Anwendung registriert haben, um ihr Zugriff auf den Schlüsseltresor des Kunden zu gewähren. Diese verwaltete Identität wird zusammen mit der mandantenübergreifenden Anwendungs-ID bei der Erstellung des mandantenübergreifenden kundenseitig verwalteten Schlüssels für das Azure Cosmos DB-Konto verwendet. Weitere Informationen finden Sie im Abschnitt Phase 3: Der Dienstanbieter verschlüsselt Daten in einer Azure-Ressource mithilfe des vom Kunden verwalteter Schlüssels dieses Artikels.
Sobald eine neue Version des Schlüssels im Schlüsseltresor verfügbar ist, wird er automatisch für das Azure Cosmos DB-Konto aktualisiert.
Verwenden von JSON-Vorlagen von Azure Resource Manager
Stellen Sie eine ARM-Vorlage mit den folgenden spezifischen Parametern bereit:
Hinweis
Wenn Sie dieses Beispiel in einer Ihrer Azure-Resource Manager-Vorlagen neu erstellen, verwenden Sie die apiVersion
2022-05-15
.
Parameter | BESCHREIBUNG | Beispielwert |
---|---|---|
keyVaultKeyUri |
Bezeichner des vom Kunden verwalteten Schlüssels, der sich im Schlüsseltresor des Dienstanbieters befindet. | https://my-vault.vault.azure.com/keys/my-key |
identity |
Objekt, das angibt, dass die verwaltete Identität dem Azure Cosmos DB-Konto zugewiesen werden soll. | "identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}} |
defaultIdentity |
Kombination aus der Ressourcen-ID der verwalteten Identität und der Anwendungs-ID der mehrinstanzenfähigen Microsoft Entra-Anwendung. | UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e |
Hier ist ein Beispiel eines Vorlagensegments mit den drei konfigurierten Parametern:
{
"kind": "GlobalDocumentDB",
"location": "East US 2",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity": {}
}
},
"properties": {
"locations": [
{
"locationName": "East US 2",
"failoverPriority": 0,
"isZoneRedundant": false
}
],
"databaseAccountOfferType": "Standard",
"keyVaultKeyUri": "https://my-vault.vault.azure.com/keys/my-key",
"defaultIdentity": "UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}
}
Wichtig
Dieses Feature wird von Azure PowerShell, der Azure CLI oder dem Azure-Portal noch nicht unterstützt.
Sie können kundenseitig verwaltete Schlüssel nicht mit einer bestimmten Version der Schlüsselversion konfigurieren, wenn Sie ein neues Azure Cosmos DB-Konto erstellen. Der Schlüssel selbst muss ohne Versionen und nachstehende Schrägstriche übergeben werden.
Informationen zum Widerrufen oder Deaktivieren kundenseitig verwalteter Schlüssel finden Sie unter Konfigurieren kundenseitig verwalteter Schlüssel für Ihr Azure Cosmos DB-Konto mit Azure Key Vault.