Delen via

Een door de klant beheerde sleutel draaien en intrekken

  • Artikel

Dit artikel is deel drie in een vierdelige reeks zelfstudies. Deel één biedt een overzicht van door de klant beheerde sleutels, hun functies en overwegingen voordat u er een inschakelt in uw register. In deel twee leert u hoe u een door de klant beheerde sleutel inschakelt met behulp van de Azure CLI, Azure Portal of een Azure Resource Manager-sjabloon. Dit artikel helpt u bij het draaien, bijwerken en intrekken van een door de klant beheerde sleutel.

Een door de klant beheerde sleutel draaien

Als u een sleutel wilt draaien, kunt u de sleutelversie in Azure Key Vault bijwerken of een nieuwe sleutel maken. Tijdens het roteren van de sleutel kunt u dezelfde identiteit opgeven die u hebt gebruikt om het register te maken.

U kunt desgewenst het volgende doen:

  • Configureer een nieuwe door de gebruiker toegewezen identiteit voor toegang tot de sleutel.
  • Schakel de door het systeem toegewezen identiteit van het register in en geef deze op.

Notitie

Als u de door het systeem toegewezen identiteit van het register in de portal wilt inschakelen, selecteert u Instellingen-identiteit> en stelt u de status van de door het systeem toegewezen identiteit in op Aan.

Zorg ervoor dat de vereiste sleutelkluistoegang is ingesteld voor de identiteit die u configureert voor sleuteltoegang.

De sleutelversie maken of bijwerken met behulp van de Azure CLI

Voer de opdracht az keyvault key create uit om een nieuwe sleutelversie te maken :

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Als u het register configureert om updates voor sleutelversies te detecteren, wordt de door de klant beheerde sleutel binnen één uur automatisch bijgewerkt.

Als u het register configureert voor handmatig bijwerken voor een nieuwe sleutelversie, voert u de opdracht az-acr-encryption-rotate-key uit. Geef de nieuwe sleutel-id en de identiteit door die u wilt configureren.

Tip

Wanneer u uitvoert az-acr-encryption-rotate-key, kunt u een versie-sleutel-id of een niet-geversiede sleutel-id doorgeven. Als u een niet-geversiede sleutel-id gebruikt, wordt het register vervolgens geconfigureerd om updates van latere sleutelversies automatisch te detecteren.

Als u handmatig een door de klant beheerde sleutelversie wilt bijwerken, hebt u drie opties:

  • Draai de sleutel en gebruik een client-id van een beheerde identiteit.

Als u de sleutel uit een andere sleutelkluis gebruikt, controleert u of de identity sleutel beschikt over de geten wrapunwrap machtigingen voor die sleutelkluis.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Draai de sleutel en gebruik een door de gebruiker toegewezen identiteit.

Voordat u de door de gebruiker toegewezen identiteit gebruikt, controleert u of de get, wrapen unwrap machtigingen eraan zijn toegewezen.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Draai de sleutel en gebruik een door het systeem toegewezen identiteit.

Voordat u de door het systeem toegewezen identiteit gebruikt, controleert u of de get, wrapen unwrap machtigingen eraan zijn toegewezen.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

De sleutelversie maken of bijwerken met behulp van Azure Portal

Gebruik de versleutelingsinstellingen van het register om de sleutelkluis, sleutel of identiteitsinstellingen voor een door de klant beheerde sleutel bij te werken.

Als u bijvoorbeeld een nieuwe sleutel wilt configureren:

  1. Ga in de portal naar uw register.

  2. Selecteer onder Instellingen de versleutelingswijzigingssleutel>.

    Schermopname van opties voor versleutelingssleutels in Azure Portal.

  3. Kies in Versleuteling een van de volgende opties:

    • Kies Selecteren uit Key Vault en selecteer vervolgens een bestaande sleutelkluis en sleutel of selecteer Nieuwe maken. De sleutel die u selecteert, is niet-geversied en maakt automatische sleutelrotatie mogelijk.
    • Selecteer Enter-sleutel-URI en geef rechtstreeks een sleutel-id op. U kunt een versie van een sleutel-URI opgeven (voor een sleutel die handmatig moet worden gedraaid) of een niet-omgedraaide sleutel-URI (waarmee automatische sleutelrotatie mogelijk is).

  4. Voltooi de sleutelselectie en selecteer Opslaan.

Een door de klant beheerde sleutel intrekken

U kunt een door de klant beheerde versleutelingssleutel intrekken door het toegangsbeleid te wijzigen, door de machtigingen voor de sleutelkluis te wijzigen of door de sleutel te verwijderen.

Als u het toegangsbeleid wilt wijzigen van de beheerde identiteit die door uw register wordt gebruikt, voert u de opdracht az-keyvault-delete-policy uit:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Als u de afzonderlijke versies van een sleutel wilt verwijderen, voert u de opdracht az-keyvault-key-delete uit. Voor deze bewerking is de machtiging sleutels/verwijderen vereist.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Notitie

Als u een door de klant beheerde sleutel inroept, wordt de toegang tot alle registergegevens geblokkeerd. Als u toegang tot de sleutel inschakelt of een verwijderde sleutel herstelt, kiest het register de sleutel en kunt u weer controle krijgen over de toegang tot de versleutelde registergegevens.

Volgende stappen

Ga naar het volgende artikel om veelvoorkomende problemen op te lossen, zoals fouten bij het verwijderen van een beheerde identiteit, 403-fouten en onbedoelde verwijderingen van sleutels.