Поделиться через

Смена и отмена ключа, управляемого клиентом

  • Статья

Эта статья является третей частью в серии учебников из четырех частей. Часть одна содержит обзор ключей, управляемых клиентом, их функций и рекомендаций, прежде чем включить его в реестре. В первой части вы узнаете, как включить управляемый клиентом ключ с помощью Azure CLI, портал Azure или шаблона Azure Resource Manager. В этой статье описывается смена, обновление и отмена ключа, управляемого клиентом.

Смена ключа, управляемого клиентом

Чтобы сменить ключ, можно обновить версию ключа в Azure Key Vault или создать новый ключ. При смене ключа можно указать то же удостоверение, которое использовалось для создания реестра.

Кроме того, вы можете выполнить приведенные ниже действия.

  • Настройте новое удостоверение, назначаемое пользователем, для доступа к ключу.
  • Включите и укажите назначаемое системой удостоверение реестра.

Примечание.

Чтобы включить идентификацию, назначенную системой, на портале, выберите Параметры>Удостоверения и установите для статуса назначенной системой идентификацию Вкл.

Убедитесь, что необходимый доступ к хранилищу ключей задан для удостоверения, настроенного для доступа к ключам.

Создание или обновление версии ключа с помощью Azure CLI

Чтобы создать новую версию ключа, выполните команду az keyvault key create.

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Если вы настроите реестр для обнаружения обновлений версий ключей, управляемый клиентом ключ автоматически обновляется в течение одного часа.

Если вы настроите реестр для обновления вручную для новой версии ключа, выполните команду az-acr-encryption-rotate-key . Передайте новый идентификатор ключа и удостоверение, которое требуется настроить.

Совет

При запуске az-acr-encryption-rotate-keyможно передать идентификатор ключа с версией или идентификатор неверсированного ключа. Если вы используете идентификатор неверсированного ключа, реестр настраивается для автоматического обнаружения последующих обновлений версий ключей.

Чтобы обновить версию ключа, управляемой клиентом вручную, у вас есть три варианта:

  • Смените ключ и используйте идентификатор клиента управляемого удостоверения.

Если вы используете ключ из другого хранилища ключей, проверьте, что у identity есть разрешения get, wrap и unwrap для этого хранилища ключей.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Смена ключа и использование удостоверения, назначаемого пользователем.

Перед использованием удостоверения, назначаемого пользователем, убедитесь, что getwrapему назначены разрешения и unwrap разрешения.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Смена ключа и использование удостоверения, назначаемого системой.

Прежде чем использовать удостоверение, назначаемое системой, убедитесь, что getwrapему назначены разрешения и unwrap разрешения.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Создание или обновление версии ключа с помощью портал Azure

Используйте параметры шифрования реестра для обновления хранилища ключей, ключа или удостоверений для ключа, управляемого клиентом.

Например, вот как можно настроить новый ключ.

  1. На портале перейдите в реестр.

  2. В разделе Параметры выберите Шифрование>Изменить ключ.

    Снимок экрана: параметры ключа шифрования в портал Azure.

  3. В разделе "Шифрование" выберите один из следующих параметров:

    • Выберите пункт "Выбрать из Key Vault", а затем выберите существующее хранилище ключей и ключ или нажмите кнопку "Создать". Выбранная клавиша отменяется и включает автоматическую смену ключей.
    • Введите URI ключа и укажите ИД ключа напрямую. Вы можете указать URI ключа с версией (для ключа, который должен быть повернут вручную) или универсальный код ресурса (URI) с невернутым ключом (который обеспечивает автоматическую смену ключей).

  4. Завершите выбор ключа и нажмите кнопку "Сохранить".

Отмена ключа, управляемого клиентом

Вы можете отозвать ключ шифрования, управляемый клиентом, изменив политику доступа, изменив разрешения в хранилище ключей или удалив ключ.

Чтобы изменить политику доступа управляемого удостоверения, который использует реестр, выполните команду az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Чтобы удалить отдельные версии ключа, выполните команду az-keyvault-key-delete . Для этой операции требуется разрешение на ключи или удаление .

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Примечание.

Отмена ключа, управляемого клиентом, блокирует доступ ко всем данным реестра. Если вы включите доступ к ключу или восстановите удаленный раздел, реестр выберет этот ключ и сможете восстановить контроль доступа к зашифрованным данным реестра.

Следующие шаги

Перейдите к следующей статье , чтобы устранить распространенные проблемы, такие как ошибки при удалении управляемого удостоверения, 403 ошибок и случайных удалений ключей.