Partilhar via

Girar e revogar uma chave gerenciada pelo cliente

  • Artigo

Este artigo é a terceira parte de uma série de tutoriais de quatro partes. A primeira parte fornece uma visão geral das chaves gerenciadas pelo cliente, seus recursos e considerações antes de habilitar uma no registro. Na segunda parte, você aprenderá a habilitar uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager. Este artigo orienta você na rotação, atualização e revogação de uma chave gerenciada pelo cliente.

Girar uma chave gerenciada pelo cliente

Para girar uma chave, você pode atualizar a versão da chave no Cofre de Chaves do Azure ou criar uma nova chave. Ao girar a chave, você pode especificar a mesma identidade que usou para criar o registro.

Opcionalmente, pode:

  • Configure uma nova identidade atribuída pelo usuário para acessar a chave.
  • Habilite e especifique a identidade atribuída ao sistema do Registro.

Nota

Para habilitar a identidade atribuída pelo sistema do Registro no portal, selecione Configurações>de Identidade e defina o status da identidade atribuída pelo sistema como Ativado.

Certifique-se de que o acesso necessário ao cofre de chaves esteja definido para a identidade que você configura para acesso à chave.

Criar ou atualizar a versão da chave usando a CLI do Azure

Para criar uma nova versão de chave, execute o comando az keyvault key create :

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Se você configurar o Registro para detetar atualizações de versão de chave, a chave gerenciada pelo cliente será atualizada automaticamente dentro de uma hora.

Se você configurar o registro para atualização manual para uma nova versão de chave, execute o comando az-acr-encryption-rotate-key . Passe o novo ID de chave e a identidade que você deseja configurar.

Gorjeta

Ao executar az-acr-encryption-rotate-keyo , você pode passar um ID de chave versionado ou um ID de chave sem versão. Se você usar um ID de chave sem versão, o Registro será configurado para detetar automaticamente atualizações posteriores da versão da chave.

Para atualizar manualmente uma versão de chave gerenciada pelo cliente, você tem três opções:

  • Gire a chave e use um ID de cliente de uma identidade gerenciada.

Se estiver a utilizar a chave a partir de um cofre de chaves diferente, verifique se tem identity o get, wrape unwrap permissões nesse cofre de chaves.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Gire a chave e use uma identidade atribuída pelo usuário.

Antes de usar a identidade atribuída pelo usuário, verifique se o get, wrape unwrap as permissões estão atribuídas a ele.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Gire a chave e use uma identidade atribuída pelo sistema.

Antes de usar a identidade atribuída pelo sistema, verifique se o , wrape unwrap as getpermissões estão atribuídas a ele.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Criar ou atualizar a versão da chave usando o portal do Azure

Use as configurações de criptografia do Registro para atualizar as configurações de cofre de chaves, chaves ou identidade de uma chave gerenciada pelo cliente.

Por exemplo, para configurar uma nova chave:

  1. No portal, aceda ao seu registo.

  2. Em Configurações, selecione Chave de alteração de criptografia>.

    Captura de ecrã das opções de chave de encriptação no portal do Azure.

  3. Em Criptografia, escolha uma das seguintes opções:

    • Escolha Selecionar no Cofre da Chave e, em seguida, selecione um cofre de chaves e uma chave existentes ou selecione Criar novo. A chave selecionada não tem versão e permite a rotação automática de chaves.
    • Selecione Inserir URI de chave e forneça um identificador de chave diretamente. Você pode fornecer um URI de chave versionada (para uma chave que deve ser girada manualmente) ou um URI de chave sem versão (que permite a rotação automática de chaves).

  4. Conclua a seleção de teclas e selecione Salvar.

Revogar uma chave gerenciada pelo cliente

Você pode revogar uma chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.

Para alterar a política de acesso da identidade gerenciada que seu registro usa, execute o comando az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Para excluir as versões individuais de uma chave, execute o comando az-keyvault-key-delete . Esta operação requer a permissão chaves/exclusão .

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Nota

A revogação de uma chave gerenciada pelo cliente bloqueará o acesso a todos os dados do Registro. Se você habilitar o acesso à chave ou restaurar uma chave excluída, o registro selecionará a chave e você poderá recuperar o controle do acesso aos dados criptografados do Registro.

Próximos passos

Avance para o próximo artigo para solucionar problemas comuns, como erros ao remover uma identidade gerenciada, erros 403 e exclusões acidentais de chaves.