你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Key Vault，为 Azure Cosmos DB 帐户配置跨租户客户管理的密钥

适用对象： NoSQL MongoDB Cassandra Gremlin 表

存储在 Azure Cosmos DB 帐户中的数据会使用由 Microsoft 管理的密钥（服务管理的密钥）自动进行无缝加密。 但可根据需要使用自己管理的密钥来添加另一个加密层。 这些密钥称为客户管理的密钥（或 CMK）。 客户管理的密钥存储在 Azure 密钥保管库实例中。

本文介绍如何在创建 Azure Cosmos DB 帐户时使用客户管理的密钥配置加密。 在此跨租户方案示例中，Azure Cosmos DB 帐户驻留在由称为服务商的独立软件供应商 (ISV) 管理的租户中。 用于加密 Azure Cosmos DB 帐户的密钥驻留在密钥保管库中，此密钥保管库位于客户管理的不同租户中。

关于跨租户客户管理的密钥

许多在 Azure 上生成软件即服务 (SaaS) 产品/服务的服务提供商都希望为客户提供管理他们自己的加密密钥的方案。 客户管理的密钥允许服务提供商使用加密密钥加密客户的数据，该密钥由服务提供商的客户管理，并且服务提供商无法访问该加密密钥。 在 Azure 中，服务提供商的客户可以使用 Azure Key Vault 管理自己的 Microsoft Entra 租户和订阅中的加密密钥。

由服务提供商所有且驻留在服务提供商租户中的 Azure 平台服务和资源需要访问客户租户中的密钥来执行加密/解密操作。

下图显示了跨服务提供商及其客户的跨租户 CMK 工作流中具有联合标识的静态数据加密。

上面的示例中存在两个 Microsoft Entra 租户：一个独立服务提供商的租户（租户 1）和一个客户的租户（租户 2）。 租户 1 托管 Azure 平台服务，租户 2 托管客户的密钥保管库。

多租户应用程序注册由服务提供商在租户 1 中创建。 联合标识凭据使用用户分配的托管标识在此应用程序上进行创建。 然后，与客户共享应用的名称和应用程序 ID。

具有适当权限的用户可在客户租户即租户 2 中安装服务提供商的应用程序。 然后，用户向已安装应用程序相关的服务主体授予对客户密钥保管库的访问权限。 客户还会将加密密钥或客户管理的密钥存储在密钥保管库中。 客户与服务提供商共享密钥位置（密钥的 URL）。

服务提供商现在拥有：

• 客户租户中安装的多租户应用程序的应用程序 ID，该应用程序已获得对客户管理的密钥的访问权限。
• 配置为多租户应用程序凭据的托管标识。
• 密钥在客户的密钥保管库中的位置。

通过这三个参数，服务提供商可在租户 1 中预配可使用租户 2 中客户管理的密钥进行加密的 Azure 资源。

让我们将上述端到端解决方案划分为三个阶段：

1. 服务提供商配置标识。
2. 客户允许服务提供商的多租户应用访问 Azure Key Vault 中的加密密钥。
3. 服务提供商使用 CMK 对 Azure 资源中的数据进行加密。

对于大多数服务提供商应用程序来说，阶段 1 中的操作将是一次性设置。 阶段 2 和 3 中的操作将对每个客户重复。

阶段 1 - 服务提供商配置 Microsoft Entra 应用程序

步骤	说明	Azure RBAC 中的最低权限角色	Microsoft Entra RBAC 中的最低角色
1.	创建新的多租户 Microsoft Entra 应用程序注册或从现有应用程序注册开始。 记下使用 Azure 门户、Microsoft Graph API、Azure PowerShell 或 Azure CLI 的应用程序注册的应用程序 ID（客户端 ID）	无	应用程序开发人员
2.	创建用户分配的托管标识（用作联合标识凭据）。 Azure 门户 / Azure CLI / Azure PowerShell/ Azure 资源管理器模板	托管标识参与者	无
3.	将用户分配的托管标识配置为应用程序上的联合标识凭据，以便它可以模拟应用程序的标识。 图形 API 参考/ Azure 门户/ Azure CLI/ Azure PowerShell	无	应用程序的所有者
4.	与客户共享应用程序名称和应用程序 ID，以便他们可以安装和授权应用程序。	无	无

服务提供商的注意事项

• 不建议使用 Azure 资源管理器 (ARM) 模板创建 Microsoft Entra 应用程序。
• 同一多租户应用程序可用于访问任意数量租户中的密钥，例如租户 2、租户 3、租户 4 等。 在每个租户中，将创建应用程序的独立实例，该实例具有相同的应用程序 ID，但对象 ID 不同。 因此，此应用程序的每个实例都独立获得授权。 请考虑如何使用用于此功能的应用程序对象将所有客户的应用程序分区。
  • 应用程序最多可以有 20 个联合标识凭据，这要求服务提供商在其客户之间共享联合标识。 有关联合标识设计注意事项和限制的详细信息，请参阅配置应用以信任外部标识提供者
• 在极少数情况下，服务提供商可能会针对各个客户使用单个应用程序对象，但这需要大量维护成本来大规模地管理所有客户的应用程序。
• 在服务提供商租户中，无法自动执行发布服务器验证。

阶段 2 - 客户授权访问密钥保管库

步骤	说明	最低特权 Azure RBAC 角色	最低特权 Microsoft Entra 角色
1.	建议：发送用户以登录到应用。 如果用户可以登录，则应用的服务主体存在于其租户中。 使用 Microsoft Graph、Microsoft Graph PowerShell、Azure PowerShell或 Azure CLI 创建服务主体。 构造管理员同意 URL，并授予租户范围的同意，以使用应用程序 ID 创建服务主体。	无	有权安装应用程序的用户
2.	创建 Azure Key Vault 和用作客户管理的密钥的密钥。	必须为用户分配密钥保管库参与者角色才能创建密钥保管库 必须为用户分配密钥保管库加密管理人员角色才能向密钥保管库添加密钥	无
3.	通过分配密钥保管库加密服务加密用户角色，为经同意的应用程序标识授予对 Azure 密钥保管库的访问权限	若要将“密钥保管库加密服务加密用户”角色分配给应用程序，必须已获得用户访问管理员角色。	无
4.	将密钥保管库 URL 和密钥名称复制到 SaaS 产品/服务的客户管理的密钥配置中。	无	无

注意

要授权访问托管 HSM 以使用 CMK 进行加密，请参阅此处的存储帐户示例。 有关使用托管 HSM 管理密钥的详细信息，请参阅使用 Azure CLI 管理托管 HSM

服务提供商客户的注意事项

• 在客户租户即租户 2 中，管理员可以设置策略来阻止非管理员用户安装应用程序。 这些策略可以防止非管理员用户创建服务主体。 如果配置了此类策略，则需要涉及有权创建服务主体的用户。
• 可以使用 Azure RBAC 或访问策略来授权访问 Azure 密钥保管库。 授予对密钥保管库的访问权限时，请确保使用针对密钥保管库的活动机制。
• Microsoft Entra 应用程序注册具有应用程序 ID（客户端 ID）。 在租户中安装应用程序时，将创建服务主体。 服务主体与应用注册共享相同的应用程序 ID，但会生成自己的对象 ID。 授权应用程序访问资源时，可能需要使用服务主体 Name 或 ObjectID 属性。

阶段 3 - 服务提供商使用客户管理的密钥对 Azure 资源中的数据进行加密

在阶段 1 和阶段 2 完成之后，服务提供商可以使用客户租户中的密钥和密钥保管库以及 ISV 租户中的 Azure 资源在 Azure 资源上配置加密。 服务提供商可以使用该 Azure 资源支持的客户端工具、ARM 模板或 REST API 配置跨租户客户管理的密钥。

配置跨租户客户管理的密钥

本部分介绍如何配置跨租户客户管理的密钥 (CMK) 并对客户数据进行加密。 了解如何使用 Tenant2 的密钥保管库中存储的 CMK 加密 Tenant1 的资源中的客户数据。 可以使用 Azure 门户、Azure PowerShell 或 Azure CLI。

Portal

登录到 Azure 门户并执行以下步骤。

服务提供商配置标识

以下步骤由服务提供商的租户 Tenant1 中的服务提供商执行。

服务提供商创建新的多租户应用注册

可以创建新的多租户 Microsoft Entra 应用程序注册，也可以从现有多租户应用程序注册开始。 如果从现有应用程序注册开始，请记下应用程序的应用程序 ID（客户端 ID）。

创建新的注册：

1. 在搜索框中搜索“Microsoft Entra ID”。 找到并选择“Microsoft Entra ID”扩展。

2. 从左窗格中选择“管理”>“应用注册”。

3. 选择“+ 新建注册”。

4. 提供应用程序注册的名称，并选择“任何组织目录中的帐户（任何 Microsoft Entra 目录 - 多租户）”。

5. 选择“注册”。

6. 记下应用程序的 ApplicationId/ClientId。

   

服务提供商创建用户分配的托管标识

创建用户分配的托管标识，以用作联合标识凭据。

1. 在搜索框中搜索“托管标识”。 找到并选择“托管标识”扩展。

2. 选择“+ 新建”。

3. 提供托管标识的资源组、区域和名称。

4. 选择“查看 + 创建”。

5. 成功部署时，请记下“属性”下的用户分配的托管标识的 Azure ResourceId。 例如：

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

服务提供商将用户分配的托管标识配置为应用程序上的联合凭据

将用户分配的托管标识配置为应用程序上的联合标识凭据，以便它可以模拟应用程序的标识。

1. 导航到“Microsoft Entra ID>”“应用注册>”“应用程序”。

2. 选择“证书和机密”。

3. 选择“联合凭据”。

   

4. 选择“+ 添加凭据”。

5. 在“联合凭据方案”下，选择“客户托管密钥”。

6. 单击“选择托管标识”。 在窗格中，选择订阅。 在“托管标识”下，选择“用户分配的托管标识”。 在“选择”框中，搜索之前创建的托管标识，然后单击窗格底部的“选择”。

   

7. 在“凭据详细信息”下，提供凭据的名称和可选说明，然后选择“添加”。

   

PowerShell

若要使用 Azure PowerShell 配置 ISV 的租户，请安装最新的 Az 模块。 有关如何安装 PowerShell 的详细信息，请参阅使用 PowerShellGet 在 Windows 上安装 Azure PowerShell。

• 如果选择在本地使用 Azure PowerShell：
  • 安装最新版本的 Az PowerShell 模块。
  • 使用 Connect-AzAccount cmdlet 连接到 Azure 帐户。
• 如果选择使用 Azure Cloud Shell：
  • 有关详细信息，请参阅 Azure Cloud Shell 概述。

服务提供商配置标识

以下步骤由服务提供商的租户 Tenant1 中的服务提供商 (ISV) 执行。

服务提供商登录到 Azure

在 Azure PowerShell 中，登录到 ISV 的租户，并将活动订阅设置为 ISV 的订阅。

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

服务提供商创建新的多租户应用注册

在 Tenant1 中选择多租户已注册应用程序的名称，并在 Azure 门户中创建多租户应用程序。

客户使用为多租户应用程序提供的名称来标识 Tenant2 中的应用程序。 请注意应用的对象 ID 和应用程序 ID。 后续步骤中需要使用这些值。

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

服务提供商创建用户分配的托管标识

登录 ISV 的租户，然后创建用户分配的托管标识以充当联合标识凭据。 若要创建新的用户分配的托管标识，必须分配一个包含 Microsoft.ManagedIdentity/userAssignedIdentities/write 操作的角色。

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

服务提供商将用户分配的托管标识配置为应用程序上的联合凭据

将用户分配的托管标识配置为应用程序上的联合标识凭据，以便它可以模拟应用程序的标识。

若要从 PowerShell 配置联合标识凭据，请先安装 Az.Resources 模块的 6.3.0 版本或更高版本。

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Azure CLI

• 在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息，请参阅 Azure Cloud Shell 中的 Bash 快速入门。

  

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

服务提供商配置标识

以下步骤由服务提供商的租户 Tenant1 中的服务提供商执行。

服务提供商登录到 Azure

登录到 Azure 以使用 Azure CLI。

az login

服务提供商创建新的多租户应用注册

在 Tenant1 中选择多租户应用程序的名称，并在 Azure 门户中创建多租户应用程序。

客户使用为多租户应用程序提供的名称来标识 Tenant2 中的应用程序。 请复制应用的应用程序 ID（或客户端 ID）、应用的对象 ID，以及应用的租户 ID。 你将在以下步骤中需要使用这些值。

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

服务提供商创建用户分配的托管标识

登录 ISV 的租户，然后创建用户分配的托管标识以充当联合标识凭据。 若要创建新的用户分配的托管标识，必须分配一个包含 Microsoft.ManagedIdentity/userAssignedIdentities/write 操作的角色。

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

服务提供商将用户分配的托管标识配置为应用程序上的联合凭据

运行 az ad app federated-credential create 方法，在应用上配置联合标识凭据，并与外部标识提供者建立信任关系。

使用 api://AzureADTokenExchange 作为联合标识凭据中的 audience 值。 有关更多详细信息，请参阅 API 参考。

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

服务提供商与客户共享应用程序 ID

查找多租户应用程序的的应用程序 ID（客户端 ID），并将其与客户共享。

客户向服务提供商的应用授予对密钥保管库中的密钥的访问权限

以下步骤由客户在客户的租户 Tenant2 中执行。 客户可以使用 Azure 门户、Azure PowerShell 或 Azure CLI。

执行这些步骤的用户必须是具有特权角色（例如应用程序管理员、云应用程序管理员或全局管理员）的管理员。

Portal

登录到 Azure 门户并执行以下步骤。

客户在客户租户中安装服务提供商应用程序

若要在客户的租户中安装服务提供商的已注册应用程序，请从已注册的应用创建具有应用程序 ID 的服务主体。 可以通过以下任一方式创建服务主体：

• 使用 Microsoft Graph、Microsoft Graph PowerShell、Azure PowerShell或 Azure CLI 手动创建服务主体。
• 构造管理员同意 URL，并授予租户范围的同意，以创建服务主体。 需要向他们提供 AppId。

客户创建密钥保管库

若要创建密钥保管库，必须为用户帐户分配“密钥保管库参与者”角色或其他允许创建密钥保管库的角色。

1. 在 Azure 门户菜单或主页中，选择“+ 创建资源”。 在“搜索”框中输入“密钥保管库”。 从结果列表中选择“密钥保管库”。 在“密钥保管库”页上，选择“创建”。

2. 在“基本信息”选项卡中选择一个订阅。 在“资源组”下选择“新建”，然后输入资源组名称。

3. 为“密钥保管库”输入唯一的名称。

4. 选择区域和定价层。

5. 为新的密钥保管库启用清除保护。

6. 在“访问策略”选项卡上，为“权限模型”选择“Azure 基于角色的访问控制”。

7. 选择“查看 + 创建”，然后选择“创建” 。

   

记下密钥保管库名称和 URI。访问密钥保管库的应用程序必须使用此 URI。

有关详细信息，请参阅快速入门 - 使用 Azure 门户创建 Azure 密钥保管库。

客户将“密钥保管库加密管理人员”角色分配给用户帐户

此步骤确保你可以创建加密密钥。

1. 导航到密钥保管库，然后从左窗格中选择“访问控制(IAM)”。
2. 在“授予对此资源的访问权限”下选择“添加角色分配”。
3. 搜索并选择“密钥保管库加密管理人员”。
4. 在“成员”下，选择“用户、组或服务主体”。
5. 选择“成员”并搜索用户帐户。
6. 选择“查看 + 分配”。

客户创建加密密钥

若要创建加密密钥，必须为用户帐户分配“密钥保管库加密管理人员”角色或其他允许创建密钥的角色。

1. 在密钥保管库属性页中，选择“密钥”。
2. 选择“生成/导入”。
3. 在“创建密钥”屏幕上，指定密钥的名称。 让其他值保留默认设置。
4. 选择“创建”。
5. 复制密钥 URI。

客户向服务提供商应用程序授予对密钥保管库的访问权限

将 Azure RBAC 角色“密钥保管库加密服务加密用户”分配给服务提供商的已注册应用程序，以便它可以访问密钥保管库。

1. 导航到密钥保管库，然后从左窗格中选择“访问控制(IAM)”。
2. 在“授予对此资源的访问权限”下选择“添加角色分配”。
3. 搜索并选择“密钥保管库加密服务加密用户”。
4. 在“成员”下，选择“用户、组或服务主体”。
5. 选择“成员”，然后从服务提供商处搜索已安装的应用程序的应用程序名称。
6. 选择“查看 + 分配”。

现在可以使用密钥保管库 URI 和密钥配置客户管理的密钥。

PowerShell

若要使用 Azure PowerShell 配置客户端的租户，请安装最新的 Az 模块。 有关如何安装 PowerShell 的详细信息，请参阅使用 PowerShellGet 在 Windows 上安装 Azure PowerShell。

• 如果选择在本地使用 Azure PowerShell：
  • 安装最新版本的 Az PowerShell 模块。
  • 使用 Connect-AzAccount cmdlet 连接到 Azure 帐户。
• 如果选择使用 Azure Cloud Shell：
  • 有关详细信息，请参阅 Azure Cloud Shell 概述。

客户登录到 Azure

在 Azure PowerShell 中，登录到客户的租户，并将活动订阅设置为客户的订阅。

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

客户在客户租户中安装服务提供商应用程序

收到服务提供商的多租户应用程序的应用程序 ID 后，请通过创建服务主体将该应用程序安装到租户 Tenant2 中。

在计划创建密钥保管库的租户中执行以下命令。

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

客户创建密钥保管库

若要创建密钥保管库，必须为客户的帐户分配“密钥保管库参与者”角色或其他允许创建密钥保管库的角色。

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

客户将“密钥保管库加密管理人员”角色分配给用户帐户

将“密钥保管库加密管理人员”角色分配给用户帐户。 此步骤确保用户可以创建密钥保管库和加密密钥。 以下示例将角色分配给当前登录用户。

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

客户创建加密密钥

若要创建加密密钥，必须为用户帐户分配“密钥保管库加密管理人员”角色或其他允许创建密钥的角色。

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

客户向服务提供商应用程序授予对密钥保管库的访问权限

通过之前创建的服务主体将 Azure RBAC 角色“密钥保管库加密服务加密用户”分配给服务提供商的已注册应用程序，以便它可以访问密钥保管库。

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

现在可以使用密钥保管库 URI 和密钥配置客户管理的密钥。

Azure CLI

• 在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息，请参阅 Azure Cloud Shell 中的 Bash 快速入门。

  

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

客户登录到 Azure

登录到 Azure 以使用 Azure CLI。

az login

客户在客户租户中安装服务提供商应用程序

收到服务提供商的多租户应用程序的应用程序 ID 后，请使用以下命令将该应用程序安装到租户 Tenant2 中。 安装应用程序会在租户中创建服务主体。

在计划创建密钥保管库的租户中执行以下命令。

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

客户创建密钥保管库

若要创建密钥保管库，必须为客户的帐户分配“密钥保管库参与者”角色或其他允许创建密钥保管库的角色。

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

客户将“密钥保管库加密管理人员”角色分配给用户帐户

此步骤确保你可以创建密钥保管库和加密密钥。

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

客户创建加密密钥

若要创建加密密钥，必须为用户帐户分配“密钥保管库加密管理人员”角色或其他允许创建密钥的角色。

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

客户向服务提供商应用程序授予对密钥保管库的访问权限

通过之前创建的服务主体将 Azure RBAC 角色“密钥保管库加密服务加密用户”分配给服务提供商的已注册应用程序，以便已注册应用程序可以访问密钥保管库。

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

现在可以使用密钥保管库 URI 和密钥配置客户管理的密钥。

创建使用来自不同租户的密钥加密的新 Azure Cosmos DB 帐户

至此，你已在服务提供商的租户上配置多租户应用程序。 你还在客户的租户上安装了应用程序，并在客户的租户上配置了密钥保管库和密钥。 接下来，可以在服务提供商的租户上创建 Azure Cosmos DB 帐户，并使用来自客户租户的密钥配置客户管理的密钥。

使用客户管理的密钥创建 Azure Cosmos DB 帐户时，我们必须确保它有权访问客户使用的密钥。 在单租户方案中，授予对 Azure Cosmos DB 主体的直接密钥保管库访问权限或使用特定的托管标识。 在跨租户方案中，我们不再依赖对密钥保管库的直接访问权限，因为它位于客户管理的另一个租户中。 因为存在该约束，所以我们在前面部分中创建跨租户应用程序并在应用程序内注册托管标识，以便授予其访问客户的密钥保管库权限。 创建跨租户 CMK Azure Cosmos DB 帐户时，我们将结合使用此托管标识以及跨租户应用程序 ID。 有关详细信息，请参阅本文的阶段 3 - 服务提供商使用客户管理的密钥加密 Azure 资源中的数据部分。

每当密钥保管库中有新版本的密钥时，它都会在 Azure Cosmos DB 帐户上自动更新。

使用 Azure 资源管理器 JSON 模板

使用以下特定参数部署 ARM 模板：

注意

如果要在 Azure 资源管理器模板之一中重新创建此示例，请使用 2022-05-15 的 apiVersion。

参数	说明	示例值
keyVaultKeyUri	驻留在服务提供商密钥保管库中的客户管理的密钥标识符。	https://my-vault.vault.azure.com/keys/my-key
identity	指定应将托管标识分配给 Azure Cosmos DB 帐户的对象。	"identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}}
defaultIdentity	托管标识的资源 ID 和多租户 Microsoft Entra 应用程序的应用程序 ID 的组合。	UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

以下是配置了三个参数的模板段示例：

{
  "kind": "GlobalDocumentDB",
  "location": "East US 2",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity": {}
    }
  },
  "properties": {
    "locations": [
      {
        "locationName": "East US 2",
        "failoverPriority": 0,
        "isZoneRedundant": false
      }
    ],
    "databaseAccountOfferType": "Standard",
    "keyVaultKeyUri": "https://my-vault.vault.azure.com/keys/my-key",
    "defaultIdentity": "UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
  }
}

重要

Azure PowerShell、Azure CLI 或 Azure 门户尚不支持此功能。

创建新的 Azure Cosmos DB 帐户时，不能使用特定密钥版本配置客户管理的密钥。 密钥本身在传递时不能带有版本，末尾也不能有反斜杠。

若要撤消或禁用客户管理的密钥，请参阅使用 Azure Key Vault 为 Azure Cosmos DB 帐户配置客户管理的密钥

另请参阅

• 使用 Azure Key Vault 为 Azure Cosmos 帐户配置客户管理的密钥