Konfigurera kundhanterade nycklar mellan klientorganisationer för ditt Azure Cosmos DB-konto med Azure Key Vault

GÄLLER FÖR: NoSQL MongoDB Kassandra Gremlin Bord

Data som lagras i ditt Azure Cosmos DB-konto krypteras automatiskt och sömlöst med tjänsthanterade nycklar som hanteras av Microsoft. Du kan dock välja att lägga till ett andra krypteringslager med nycklar som du hanterar. Dessa nycklar kallas kundhanterade nycklar (eller CMK). Kundhanterade nycklar lagras i en Azure Key Vault-instans.

Den här artikeln beskriver hur du konfigurerar kryptering med kundhanterade nycklar när du skapar ett Azure Cosmos DB-konto. I det här scenariot med flera klientorganisationer finns Azure Cosmos DB-kontot i en klientorganisation som hanteras av en oberoende programvaruleverantör (ISV) som kallas tjänstleverantör. Nyckeln som används för kryptering av Azure Cosmos DB-kontot finns i ett nyckelvalv i en annan klientorganisation som hanteras av kunden.

Om kundhanterade nycklar mellan klientorganisationer

Många tjänsteleverantörer som skapar SaaS-erbjudanden (Software as a Service) i Azure vill erbjuda sina kunder möjlighet att hantera sina egna krypteringsnycklar. Med kundhanterade nycklar kan en tjänstleverantör kryptera kundens data med hjälp av en krypteringsnyckel som hanteras av tjänsteleverantörens kund och som inte är tillgänglig för tjänstleverantören. I Azure kan tjänsteleverantörens kund använda Azure Key Vault för att hantera sina krypteringsnycklar i sin egen Microsoft Entra-klientorganisation och prenumeration.

Azure-plattformstjänster och resurser som ägs av tjänstleverantören och som finns i tjänstleverantörens klientorganisation kräver åtkomst till nyckeln från kundens klientorganisation för att utföra krypterings-/dekrypteringsåtgärderna.

Bilden nedan visar en vilande datakryptering med federerad identitet i ett CMK-arbetsflöde mellan klientorganisationer som sträcker sig över en tjänstleverantör och dess kund.

I exemplet ovan finns det två Microsoft Entra-klienter: en oberoende tjänstleverantörs klientorganisation (klientorganisation 1) och en kunds klientorganisation (klientorganisation 2). Klientorganisation 1 är värd för Azure-plattformstjänster och Klientorganisation 2 är värd för kundens nyckelvalv.

En programregistrering för flera klienter skapas av tjänstleverantören i klientorganisation 1. En federerad identitetsautentiseringsuppgift skapas i det här programmet med hjälp av en användartilldelad hanterad identitet. Sedan delas appens namn och program-ID med kunden.

En användare med rätt behörighet installerar tjänstleverantörens program i kundklientorganisationen, Klient 2. En användare ger sedan tjänstens huvudnamn som är associerat med det installerade programmet åtkomst till kundens nyckelvalv. Kunden lagrar även krypteringsnyckeln, eller den kundhanterade nyckeln, i nyckelvalvet. Kunden delar nyckelplatsen (nyckelns URL) med tjänstleverantören.

Tjänstleverantören har nu:

• Ett program-ID för ett program med flera klienter installerat i kundens klientorganisation, som har beviljats åtkomst till den kundhanterade nyckeln.
• En hanterad identitet som konfigurerats som autentiseringsuppgifter i programmet för flera klientorganisationer.
• Platsen för nyckeln i kundens nyckelvalv.

Med dessa tre parametrar etablerar tjänstleverantören Azure-resurser i Klientorganisation 1 som kan krypteras med den kundhanterade nyckeln i klientorganisation 2.

Nu ska vi dela upp lösningen ovan från slutpunkt till slutpunkt i tre faser:

1. Tjänstleverantören konfigurerar identiteter.
2. Kunden ger tjänstleverantörens app med flera klientorganisationer åtkomst till en krypteringsnyckel i Azure Key Vault.
3. Tjänstleverantören krypterar data i en Azure-resurs med hjälp av CMK.

Åtgärder i fas 1 skulle vara en engångskonfiguration för de flesta tjänstleverantörsprogram. Åtgärder i fas 2 och 3 upprepas för varje kund.

Fas 1 – Tjänstleverantören konfigurerar ett Microsoft Entra-program

Steg	beskrivning	Minsta roll i Azure RBAC	Minsta roll i Microsoft Entra RBAC
1.	Skapa en ny microsoft entra-programregistrering för flera användare eller börja med en befintlig programregistrering. Observera program-ID (klient-ID) för programregistreringen med hjälp av Azure Portal, Microsoft Graph API, Azure PowerShell eller Azure CLI	Ingen	Programutvecklare
2.	Skapa en användartilldelad hanterad identitet (som ska användas som en federerad identitetsautentisering). Azure Portal Azure CLI / Azure PowerShell/ Azure Resource Manager-mallar /	Hanterad identitetsdeltagare	Ingen
3.	Konfigurera användartilldelad hanterad identitet som en federerad identitetsautentiseringsuppgift i programmet, så att den kan personifiera programmets identitet. Graph API-referens/ Azure Portal/ Azure CLI/ Azure PowerShell	Ingen	Programmets ägare
4.	Dela programnamnet och program-ID:t med kunden så att de kan installera och auktorisera programmet.	Ingen	Ingen

Överväganden för tjänsteleverantörer

• Azure Resource Manager-mallar (ARM) rekommenderas inte för att skapa Microsoft Entra-program.
• Samma program för flera klienter kan användas för att komma åt nycklar i valfritt antal klienter, till exempel klientorganisation 2, klientorganisation 3, klientorganisation 4 och så vidare. I varje klientorganisation skapas en oberoende instans av programmet som har samma program-ID men ett annat objekt-ID. Varje instans av det här programmet godkänns därför oberoende av varandra. Fundera på hur programobjektet som används för den här funktionen används för att partitionera programmet mellan alla kunder.
  • Programmet kan ha högst 20 federerade identitetsuppgifter, vilket kräver att en tjänstleverantör delar federerade identiteter mellan sina kunder. Mer information om designöverväganden och begränsningar för federerade identiteter finns i Konfigurera en app för att lita på en extern identitetsprovider
• I sällsynta fall kan en tjänstleverantör använda ett enda programobjekt per kund, men det kräver betydande underhållskostnader för att hantera program i stor skala för alla kunder.
• I tjänstleverantörens klientorganisation går det inte att automatisera utgivarverifieringen.

Fas 2 – Kunden auktoriserar åtkomst till nyckelvalvet

Steg	beskrivning	Minst privilegierade Azure RBAC-roller	Minst privilegierade Microsoft Entra-roller
1.	Rekommenderas: Skicka användaren för att logga in på din app. Om användaren kan logga in finns det ett huvudnamn för tjänsten för din app i klientorganisationen. Använd Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell eller Azure CLI för att skapa tjänstens huvudnamn. Skapa en URL för administratörsmedgivande och bevilja klientomfattande medgivande för att skapa tjänstens huvudnamn med hjälp av program-ID:t.	Ingen	Användare med behörighet att installera program
2.	Skapa ett Azure Key Vault och en nyckel som används som kundhanterad nyckel.	En användare måste tilldelas rollen Key Vault-deltagare för att kunna skapa nyckelvalvet En användare måste tilldelas rollen Key Vault Crypto Officer för att lägga till en nyckel i nyckelvalvet	Ingen
3.	Ge den medgivande programidentiteten åtkomst till Azure-nyckelvalvet genom att tilldela rollen Key Vault Crypto Service Encryption User	Om du vill tilldela key vault-krypteringstjänstens användarroll till programmet måste du ha tilldelats rollen Administratör för användaråtkomst.	Ingen
4.	Kopiera nyckelvalvets URL och nyckelnamn till konfigurationen av kundhanterade nycklar för SaaS-erbjudandet.	Ingen	Ingen

Kommentar

Om du vill auktorisera åtkomst till Managed HSM för kryptering med hjälp av CMK kan du läsa exempel för Lagringskonto här. Mer information om hur du hanterar nycklar med Hanterad HSM finns i Hantera en hanterad HSM med Hjälp av Azure CLI

Överväganden för kunder hos tjänsteleverantörer

• I kundens klientorganisation, Klientorganisation 2, kan en administratör ange principer för att blockera användare som inte är administratörer från att installera program. Dessa principer kan hindra användare som inte är administratörer från att skapa tjänstens huvudnamn. Om en sådan princip har konfigurerats måste användare med behörighet att skapa tjänstens huvudnamn vara inblandade.
• Åtkomst till Azure Key Vault kan auktoriseras med hjälp av Azure RBAC eller åtkomstprinciper. När du beviljar åtkomst till ett nyckelvalv bör du använda den aktiva mekanismen för ditt nyckelvalv.
• En Microsoft Entra-programregistrering har ett program-ID (klient-ID). När programmet installeras i klientorganisationen skapas ett huvudnamn för tjänsten. Tjänstens huvudnamn delar samma program-ID som appregistreringen, men genererar ett eget objekt-ID. När du ger programmet åtkomst till resurser kan du behöva använda tjänstens huvudnamn Name eller ObjectID egenskap.

Fas 3 – Tjänstleverantören krypterar data i en Azure-resurs med hjälp av den kundhanterade nyckeln

När fas 1 och 2 har slutförts kan tjänstleverantören konfigurera kryptering på Azure-resursen med nyckel- och nyckelvalvet i kundens klientorganisation och Azure-resursen i ISV:s klientorganisation. Tjänstleverantören kan konfigurera kundhanterade nycklar mellan klientorganisationer med de klientverktyg som stöds av den Azure-resursen, med en ARM-mall eller med REST-API:et.

Konfigurera kundhanterade nycklar mellan klientorganisationer

I det här avsnittet beskrivs hur du konfigurerar en kundhanterad nyckel för flera klientorganisationer (CMK) och krypterar kunddata. Du lär dig hur du krypterar kunddata i en resurs i Tenant1 med hjälp av en CMK som lagras i ett nyckelvalv i Tenant2. Du kan använda Azure Portal, Azure PowerShell eller Azure CLI.

Portal

Logga in på Azure Portal och följ dessa steg.

Tjänstleverantören konfigurerar identiteter

Följande steg utförs av tjänstleverantören i tjänstleverantörens klientorganisation 1.

Tjänstleverantören skapar en ny appregistrering för flera klientorganisationer

Du kan antingen skapa en ny Microsoft Entra-programregistrering för flera klientorganisationer eller börja med en befintlig programregistrering för flera klientorganisationer. Om du börjar med en befintlig programregistrering bör du notera programmets program-ID (klient-ID).

Så här skapar du en ny registrering:

1. Sök efter Microsoft Entra-ID i sökrutan. Leta upp och välj Microsoft Entra ID-tillägget .

2. Välj Hantera > Appregistreringar i det vänstra fönstret.

3. Välj + Ny registrering.

4. Ange namnet på programregistreringen och välj Konto i valfri organisationskatalog (Alla Microsoft Entra-kataloger – Multitenant).

5. Välj Registrera.

6. Observera ApplicationId/ClientId för programmet.

   

Tjänstleverantören skapar en användartilldelad hanterad identitet

Skapa en användartilldelad hanterad identitet som ska användas som en federerad identitetsautentiseringsuppgift.

1. Sök efter hanterade identiteter i sökrutan. Leta upp och välj tillägget Hanterade identiteter .

2. Välj + Skapa.

3. Ange resursgruppen, regionen och namnet för den hanterade identiteten.

4. Välj Granska + skapa.

5. Observera Azure ResourceId för den användartilldelade hanterade identiteten vid lyckad distribution, som är tillgängligt under Egenskaper. Till exempel:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Tjänstleverantören konfigurerar den användartilldelade hanterade identiteten som en federerad autentiseringsuppgift i programmet

Konfigurera en användartilldelad hanterad identitet som en federerad identitetsautentiseringsuppgift i programmet så att den kan personifiera programmets identitet.

1. Gå till Microsoft Entra-ID > Appregistreringar > ditt program.

2. Välj Certifikat och hemligheter.

3. Välj Federerade autentiseringsuppgifter.

   

4. Välj + Lägg till autentiseringsuppgifter.

5. Under Scenario med federerade autentiseringsuppgifter väljer du Kundhanterade nycklar.

6. Klicka på Välj en hanterad identitet. Välj prenumerationen i fönstret. Under Hanterad identitet väljer du Användartilldelad hanterad identitet. I rutan Välj söker du efter den hanterade identitet som du skapade tidigare och klickar sedan på Välj längst ned i fönstret.

   

7. Under Information om autentiseringsuppgifter anger du ett namn och en valfri beskrivning för autentiseringsuppgifterna och väljer Lägg till.

   

PowerShell

Om du vill använda Azure PowerShell för att konfigurera ISV:s klientorganisation installerar du den senaste Az-modulen . Mer information om hur du installerar PowerShell finns i Installera Azure PowerShell på Windows med PowerShellGet.

• Om du väljer att använda Azure PowerShell lokalt:
  • Installera den senaste versionen av Az PowerShell-modulen.
  • Anslut till ditt Azure-konto med hjälp av cmdleten Connect-AzAccount .
• Om du väljer att använda Azure Cloud Shell:
  • Mer information finns i Översikt över Azure Cloud Shell .

Tjänstleverantören konfigurerar identiteter

Följande steg utförs av tjänstleverantören (ISV) i tjänstleverantörens klientorganisation, Tenant1.

Tjänstleverantören loggar in på Azure

I Azure PowerShell loggar du in på ISV:s klientorganisation och ställer in den aktiva prenumerationen på ISV-prenumerationen.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Tjänstleverantören skapar en ny appregistrering för flera klientorganisationer

Välj ett namn för ditt registrerade program för flera klientorganisationer i Tenant1 och skapa programmet för flera klientorganisationer i Azure Portal.

Det namn som du anger för programmet för flera klientorganisationer används av kunden för att identifiera programmet i Klientorganisation2. Observera appens objekt-ID och program-ID. Du behöver dessa värden i efterföljande steg.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Tjänstleverantören skapar en användartilldelad hanterad identitet

Logga in på ISV:s klientorganisation och skapa sedan en användartilldelad hanterad identitet som ska användas som en federerad identitetsautentiseringsuppgift. Om du vill skapa en ny användartilldelad hanterad identitet måste du tilldelas en roll som innehåller åtgärden Microsoft.ManagedIdentity/userAssignedIdentities/write .

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Tjänstleverantören konfigurerar den användartilldelade hanterade identiteten som en federerad autentiseringsuppgift i programmet

Konfigurera en användartilldelad hanterad identitet som en federerad identitetsautentiseringsuppgift i programmet så att den kan personifiera programmets identitet.

Om du vill konfigurera federerade identitetsautentiseringsuppgifter från PowerShell installerar du först version 6.3.0 eller senare av az.resources-modulen .

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Tjänstleverantören konfigurerar identiteter

Följande steg utförs av tjänstleverantören i tjänstleverantörens klientorganisation 1.

Tjänstleverantören loggar in på Azure

Logga in på Azure för att använda Azure CLI.

az login

Tjänstleverantören skapar en ny appregistrering för flera klientorganisationer

Välj ett namn för ditt program för flera klientorganisationer i Tenant1 och skapa programmet för flera klientorganisationer i Azure Portal.

Det namn som du anger för programmet för flera klientorganisationer används av kunden för att identifiera programmet i Klientorganisation2. Kopiera appens program-ID (eller klient-ID), appens objekt-ID och även appens klient-ID. Du behöver dessa värden i följande steg.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Tjänstleverantören skapar en användartilldelad hanterad identitet

Logga in på ISV:s klientorganisation och skapa sedan en användartilldelad hanterad identitet som ska användas som en federerad identitetsautentiseringsuppgift. Om du vill skapa en ny användartilldelad hanterad identitet måste du tilldelas en roll som innehåller åtgärden Microsoft.ManagedIdentity/userAssignedIdentities/write .

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Tjänstleverantören konfigurerar den användartilldelade hanterade identiteten som en federerad autentiseringsuppgift i programmet

Kör metoden az ad app federated-credential create för att konfigurera en federerad identitetsautentisering i en app och skapa en förtroenderelation med en extern identitetsprovider.

Använd api://AzureADTokenExchange som audience värde i den federerade identitetsautentiseringsuppgiften. Mer information finns i API-referensen .

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Tjänstleverantören delar program-ID:t med kunden

Hitta program-ID :t (klient-ID) för programmet för flera klientorganisationer och dela det med kunden.

Kunden ger tjänstleverantörens app åtkomst till nyckeln i nyckelvalvet

Följande steg utförs av kunden i kundens klientorganisation 2. Kunden kan använda Azure Portal, Azure PowerShell eller Azure CLI.

Användaren som kör stegen måste vara en administratör med en privilegierad roll, till exempel programadministratör, molnprogramadministratör eller global administratör.

Portal

Logga in på Azure Portal och följ dessa steg.

Kunden installerar tjänstproviderprogrammet i kundens klientorganisation

Om du vill installera tjänstleverantörens registrerade program i kundens klientorganisation skapar du ett huvudnamn för tjänsten med program-ID:t från den registrerade appen. Du kan skapa tjänstens huvudnamn på något av följande sätt:

• Använd Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell eller Azure CLI för att skapa tjänstens huvudnamn manuellt.
• Skapa en URL för administratörsmedgivande och bevilja klientomfattande medgivande för att skapa tjänstens huvudnamn. Du måste ange app-ID:et för dem.

Kunden skapar ett nyckelvalv

Om du vill skapa nyckelvalvet måste användarens konto tilldelas rollen Key Vault-deltagare eller en annan roll som gör det möjligt att skapa ett nyckelvalv.

1. På menyn Azure Portal eller på startsidan väljer du + Skapa en resurs. I sökrutan anger du Nyckelvalv. I resultatlistan väljer du Nyckelvalv. På sidan Nyckelvalv väljer du Skapa.

2. På fliken Grundläggande väljer du en prenumeration. Under Resursgrupp väljer du Skapa ny och anger ett resursgruppsnamn.

3. Ange ett unikt namn för nyckelvalvet.

4. Välj en region och prisnivå.

5. Aktivera rensningsskydd för det nya nyckelvalvet.

6. På fliken Åtkomstprincip väljer du Rollbaserad åtkomstkontroll i Azure för Behörighetsmodell.

7. Välj Granska + skapa och sedan Skapa.

   

Anteckna namnet på nyckelvalvet och URI-program som har åtkomst till ditt nyckelvalv måste använda den här URI:n.

Mer information finns i Snabbstart – Skapa ett Azure Key Vault med Azure Portal.

Kunden tilldelar Key Vault Crypto Officer-rollen till ett användarkonto

Det här steget säkerställer att du kan skapa krypteringsnycklar.

1. Gå till nyckelvalvet och välj Åtkomstkontroll (IAM) i den vänstra rutan.
2. Under Bevilja åtkomst till denna resurs väljer du Lägg till rolltilldelning.
3. Sök efter och välj Key Vault Crypto Officer.
4. Under Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.
5. Välj Medlemmar och sök efter ditt användarkonto.
6. Välj Granska + tilldela.

Kunden skapar en krypteringsnyckel

För att kunna skapa krypteringsnyckeln måste användarens konto tilldelas rollen Key Vault Crypto Officer eller en annan roll som gör det möjligt att skapa en nyckel.

1. På sidan Key Vault-egenskaper väljer du Nycklar.
2. Välj Generera/Importera.
3. På skärmen Skapa en nyckel anger du ett namn för nyckeln. Lämna standardvärdena för de andra alternativen.
4. Välj Skapa.
5. Kopiera nyckel-URI:n.

Kunden ger tjänstleverantörsprogrammet åtkomst till nyckelvalvet

Tilldela Azure RBAC-rollen Key Vault Crypto Service Encryption User till tjänstleverantörens registrerade program så att det kan komma åt nyckelvalvet.

1. Gå till nyckelvalvet och välj Åtkomstkontroll (IAM) i den vänstra rutan.
2. Under Bevilja åtkomst till denna resurs väljer du Lägg till rolltilldelning.
3. Sök efter och välj Key Vault Crypto Service Encryption User( Key Vault Crypto Service Encryption User).
4. Under Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.
5. Välj Medlemmar och sök efter programnamnet för det program som du installerade från tjänstleverantören.
6. Välj Granska + tilldela.

Nu kan du konfigurera kundhanterade nycklar med nyckelvalvets URI och nyckel.

PowerShell

Om du vill använda Azure PowerShell för att konfigurera klientens klientorganisation installerar du den senaste Az-modulen . Mer information om hur du installerar PowerShell finns i Installera Azure PowerShell på Windows med PowerShellGet.

• Om du väljer att använda Azure PowerShell lokalt:
  • Installera den senaste versionen av Az PowerShell-modulen.
  • Anslut till ditt Azure-konto med hjälp av cmdleten Connect-AzAccount .
• Om du väljer att använda Azure Cloud Shell:
  • Mer information finns i Översikt över Azure Cloud Shell .

Kunden loggar in på Azure

I Azure PowerShell loggar du in på kundens klientorganisation och anger den aktiva prenumerationen till kundens prenumeration.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Kunden installerar tjänstproviderprogrammet i kundens klientorganisation

När du har fått program-ID för tjänstleverantörens program för flera klientorganisationer installerar du programmet i din klientorganisation, Tenant2, genom att skapa ett huvudnamn för tjänsten.

Kör följande kommandon i klientorganisationen där du planerar att skapa nyckelvalvet.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Kunden skapar ett nyckelvalv

Om du vill skapa nyckelvalvet måste kundens konto tilldelas rollen Key Vault-deltagare eller en annan roll som gör det möjligt att skapa ett nyckelvalv.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Kunden tilldelar Key Vault Crypto Officer-rollen till ett användarkonto

Tilldela rollen Key Vault Crypto Officer till ett användarkonto. Det här steget säkerställer att användaren kan skapa nyckelvalvet och krypteringsnycklarna. Exemplet nedan tilldelar rollen till den aktuella inloggade användaren.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Kunden skapar en krypteringsnyckel

För att kunna skapa krypteringsnyckeln måste användarens konto tilldelas rollen Key Vault Crypto Officer eller en annan roll som gör det möjligt att skapa en nyckel.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Kunden ger tjänstleverantörsprogrammet åtkomst till nyckelvalvet

Tilldela Azure RBAC-rollen Key Vault Crypto Service Encryption User till tjänstleverantörens registrerade program, via tjänstens huvudnamn som du skapade tidigare, så att det kan komma åt nyckelvalvet.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Nu kan du konfigurera kundhanterade nycklar med nyckelvalvets URI och nyckel.

Azure CLI

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Kunden loggar in på Azure

Logga in på Azure för att använda Azure CLI.

az login

Kunden installerar tjänstproviderprogrammet i kundens klientorganisation

När du har fått program-ID:t för tjänstleverantörens program för flera klientorganisationer installerar du programmet i klientorganisationen 2 med hjälp av följande kommando. När du installerar programmet skapas ett huvudnamn för tjänsten i din klientorganisation.

Kör följande kommandon i klientorganisationen där du planerar att skapa nyckelvalvet.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Kunden skapar ett nyckelvalv

Om du vill skapa nyckelvalvet måste kundens konto tilldelas rollen Key Vault-deltagare eller en annan roll som gör det möjligt att skapa ett nyckelvalv.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Kunden tilldelar Key Vault Crypto Officer-rollen till ett användarkonto

Det här steget säkerställer att du kan skapa nyckelvalvet och krypteringsnycklarna.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Kunden skapar en krypteringsnyckel

För att kunna skapa krypteringsnyckeln måste användarens konto tilldelas rollen Key Vault Crypto Officer eller en annan roll som gör det möjligt att skapa en nyckel.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Kunden ger tjänstleverantörsprogrammet åtkomst till nyckelvalvet

Tilldela Azure RBAC-rollen Key Vault Crypto Service Encryption User till tjänstleverantörens registrerade program, via tjänstens huvudnamn som du skapade tidigare, så att det registrerade programmet kan komma åt nyckelvalvet.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Nu kan du konfigurera kundhanterade nycklar med nyckelvalvets URI och nyckel.

Skapa ett nytt Azure Cosmos DB-konto krypterat med en nyckel från en annan klientorganisation

Fram tills nu har du konfigurerat programmet för flera klientorganisationer i tjänstleverantörens klientorganisation. Du har också installerat programmet på kundens klientorganisation och konfigurerat nyckelvalvet och nyckeln i kundens klientorganisation. Sedan kan du skapa ett Azure Cosmos DB-konto på tjänstleverantörens klientorganisation och konfigurera kundhanterade nycklar med nyckeln från kundens klientorganisation.

När du skapar ett Azure Cosmos DB-konto med kundhanterade nycklar måste vi se till att det har åtkomst till de nycklar som kunden använde. I scenarier med en klientorganisation ger du antingen direkt åtkomst till nyckelvalvet till Azure Cosmos DB-huvudkontot eller använder en specifik hanterad identitet. I ett scenario mellan klientorganisationer kan vi inte längre vara beroende av direkt åtkomst till nyckelvalvet som i en annan klientorganisation som hanteras av kunden. Den här begränsningen är orsaken till att vi i föregående avsnitt skapade ett program mellan klientorganisationer och registrerade en hanterad identitet i programmet för att ge den åtkomst till kundens nyckelvalv. Den här hanterade identiteten, tillsammans med program-ID:t för flera klientorganisationer, är det vi använder när vi skapar CMK:t för flera klientorganisationer i Azure Cosmos DB-kontot. Mer information finns i Avsnittet Fas 3 – Tjänstleverantören krypterar data i en Azure-resurs med hjälp av avsnittet kundhanterad nyckel i den här artikeln.

När en ny version av nyckeln är tillgänglig i nyckelvalvet uppdateras den automatiskt på Azure Cosmos DB-kontot.

Använda Azure Resource Manager JSON-mallar

Distribuera en ARM-mall med följande specifika parametrar:

Kommentar

Om du återskapar det här exemplet i en av dina Azure Resource Manager-mallar använder du en apiVersion av 2022-05-15.

Parameter	Description	Exempelvärde
keyVaultKeyUri	Identifierare för den kundhanterade nyckel som finns i tjänstleverantörens nyckelvalv.	https://my-vault.vault.azure.com/keys/my-key
identity	Objekt som anger att den hanterade identiteten ska tilldelas till Azure Cosmos DB-kontot.	"identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}}
defaultIdentity	Kombination av resurs-ID för den hanterade identiteten och program-ID för Microsoft Entra-programmet för flera klientorganisationer.	UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

Här är ett exempel på ett mallsegment med de tre parametrarna konfigurerade:

{
  "kind": "GlobalDocumentDB",
  "location": "East US 2",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity": {}
    }
  },
  "properties": {
    "locations": [
      {
        "locationName": "East US 2",
        "failoverPriority": 0,
        "isZoneRedundant": false
      }
    ],
    "databaseAccountOfferType": "Standard",
    "keyVaultKeyUri": "https://my-vault.vault.azure.com/keys/my-key",
    "defaultIdentity": "UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
  }
}

Viktigt!

Den här funktionen stöds ännu inte i Azure PowerShell, Azure CLI eller i Azure Portal.

Du kan inte konfigurera kundhanterade nycklar med en specifik version av nyckelversionen när du skapar ett nytt Azure Cosmos DB-konto. Själva nyckeln måste skickas utan versioner och inga avslutande omvänt snedstreck.

Information om hur du återkallar eller inaktiverar kundhanterade nycklar finns i Konfigurera kundhanterade nycklar för ditt Azure Cosmos DB-konto med Azure Key Vault

Se även

• Konfigurera kundhanterade nycklar för ditt Azure Cosmos-konto med Azure Key Vault