你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Use-AipServiceKeyVaultKey
告知 Azure 信息保护在 Azure Key Vault 中使用客户管理的租户密钥。
语法
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 说明
Use-AipServiceKeyVaultKey cmdlet 告知 Azure 信息保护在 Azure Key Vault 中使用客户管理的密钥(BYOK)。
必须使用 PowerShell 配置租户密钥;无法使用管理门户执行此配置。
可以在激活保护服务(Azure Rights Management)之前或之后运行此 cmdlet。
运行此 cmdlet 之前,请确保已向 Azure Rights Management 服务主体授予密钥保管库的权限,该保管库包含要用于 Azure 信息保护的密钥。 通过运行 Azure Key Vault cmdlet 授予这些权限,Set-AzKeyVaultAccessPolicy。
出于安全原因,Use-AipServiceKeyVaultKey cmdlet 不允许在 Azure Key Vault 中设置或更改密钥的访问控制。 通过 Set-AzKeyVaultAccessPolicy授予该访问权限后,请运行 Use-AipServiceKeyVaultKey,以告知 Azure 信息保护使用通过 KeyVaultKeyUrl 参数指定的密钥和版本。
有关详细信息,请参阅 选择 Azure Key Vault 位置的最佳做法。
注意
如果在向密钥保管库授予权限之前运行此 cmdlet,则会看到一个错误,其中显示 Rights Management 服务无法添加密钥。
若要查看更多详细信息,请使用 -详细再次运行命令。 如果未授予权限,则会看到 VERBOSE:无法访问 Azure KeyVault。
成功运行命令后,该密钥将添加为组织的 Azure 信息保护的存档客户管理的租户密钥。 若要使其成为 Azure 信息保护的活动租户密钥,必须运行 Set-AipServiceKeyProperties cmdlet。
使用 Azure Key Vault 集中管理和监视你指定的密钥的使用。 对租户密钥的所有调用都将对组织拥有的密钥保管库进行。 可以使用 Get-AipServiceKeys cmdlet 来确认在 Key Vault 中使用哪个密钥。
有关 Azure 信息保护支持的租户密钥类型的详细信息,请参阅 规划和实现 Azure 信息保护租户密钥。
有关 Azure Key Vault 的详细信息,请参阅 什么是 Azure Key Vault。
示例
示例 1:将 Azure 信息保护配置为在 Azure Key Vault 中使用客户管理的密钥
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"此命令告知 Azure 信息保护使用名为 contoso-aipservice-key版本 aaaabbbbcccc1111222223333(名为 contoso contoso)的密钥保管库。
然后,Azure Key Vault 中的此密钥和版本将成为 Azure 信息保护的客户管理的租户密钥。
参数
-Confirm
在运行 cmdlet 之前,提示你进行确认。
| 类型: | SwitchParameter |
| 别名: | cf |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Force
强制命令运行而不要求用户确认。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-FriendlyName
指定从 AD RMS 导入的受信任发布域(TPD)和 SLC 密钥的友好名称。
如果用户运行 Office 2016 或 Office 2013,请在“服务器证书”选项卡上为 AD RMS 群集属性设置相同的 友好名称 值。
此参数是可选的。 如果不使用它,则会改用密钥标识符。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-KeyVaultKeyUrl
指定要用于租户密钥的 Azure Key Vault 中的密钥和版本的 URL。
Azure 信息保护将使用此密钥作为租户的所有加密操作的根密钥。
| 类型: | String |
| Position: | Named |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-WhatIf
显示 cmdlet 运行时会发生什么情况。 cmdlet 未运行。
| 类型: | SwitchParameter |
| 别名: | wi |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |