Смена и отмена ключа, управляемого клиентом

  • Статья

Эта статья является третей частью в серии учебников из четырех частей. Первая часть содержит общие сведения о ключах, управляемых клиентом, их функциях и рекомендациях перед их включением в реестре. Во второй части вы узнаете, как включить ключ, управляемый клиентом, с помощью Azure CLI, портал Azure или шаблона azure Resource Manager. В этой статье описывается смена, обновление и отзыв ключа, управляемого клиентом.

Смена ключа, управляемого клиентом

Чтобы сменить ключ, можно обновить версию ключа в Azure Key Vault или создать новый ключ. При смене ключа можно указать то же удостоверение, которое использовалось для создания реестра.

Кроме того, вы можете выполнить приведенные ниже действия.

  • Настройте новое назначаемое пользователем удостоверение для доступа к ключу.
  • Включите и укажите удостоверение реестра, назначаемое системой.

Примечание

Чтобы включить идентификацию, назначенную системой, на портале, выберите Параметры>Удостоверения и установите для статуса назначенной системой идентификацию Вкл.

Убедитесь, что для удостоверения, настроенного для доступа по ключу, задан необходимый доступ к хранилищу ключей .

Создание или обновление версии ключа с помощью Azure CLI

Чтобы создать новую версию ключа, выполните команду az keyvault key create.

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Если вы настроите реестр для обнаружения обновлений версии ключей, управляемый клиентом ключ автоматически обновляется в течение одного часа.

Если вы настраиваете обновление реестра вручную для новой версии ключа, выполните команду az-acr-encryption-rotate-key . Передайте новый идентификатор ключа и удостоверение, которое требуется настроить.

Совет

При запуске az-acr-encryption-rotate-keyможно передать идентификатор ключа с управлением версиями или идентификатор ключа без переверки. Если вы используете идентификатор ключа без изменений, реестр настраивается для автоматического обнаружения последующих обновлений версии ключа.

Обновить версию ключа, управляемого клиентом, вручную можно двумя способами:

  • Смените ключ и используйте назначаемое пользователем удостоверение.

    Если вы используете ключ из другого хранилища ключей, убедитесь, что principal-id-user-assigned-identity у него есть getразрешения , wrapи unwrap для этого хранилища ключей.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Смените ключ и используйте удостоверение, назначаемое системой.

    Перед использованием назначаемого системой удостоверения убедитесь, что getему назначены разрешения , wrapи unwrap .

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Создание или обновление версии ключа с помощью портал Azure

Используйте параметры шифрования реестра, чтобы обновить параметры хранилища ключей, ключа или удостоверения для ключа, управляемого клиентом.

Например, вот как можно настроить новый ключ.

  1. На портале перейдите в реестр.

  2. В разделе Параметры выберите Шифрование>Изменить ключ.

    Снимок экрана: параметры ключа шифрования в портал Azure.

  3. В разделе Шифрование выберите один из следующих вариантов:

    • Выберите Выбрать из Key Vault, а затем выберите существующее хранилище ключей и ключ или щелкните Создать. Выбранная клавиша отключена и включает автоматическую смену ключей.
    • Введите URI ключа и укажите ИД ключа напрямую. Вы можете указать URI ключа с управлением версиями (для ключа, который необходимо сменить вручную) или универсальный код ресурса (URI) неверсивного ключа (который включает автоматическую смену ключей).

  4. Завершите выбор ключа и нажмите кнопку Сохранить.

Отмена ключа, управляемого клиентом

Вы можете отозвать ключ шифрования, управляемый клиентом, изменив политику доступа, изменив разрешения на хранилище ключей или удалив ключ.

Чтобы изменить политику доступа управляемого удостоверения, которое использует реестр, выполните команду az-keyvault-delete-policy :

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Чтобы удалить отдельные версии ключа, выполните команду az-keyvault-key-delete . Для этой операции требуется разрешение "Ключи/удаление ".

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Примечание

Отмена ключа, управляемого клиентом, блокирует доступ ко всем данным реестра. Если вы включите доступ к разделу или восстановите удаленный раздел, реестр выберет его, и вы сможете восстановить контроль над доступом к зашифрованным данным реестра.

Дальнейшие действия

Перейдите к следующей статье , чтобы устранить распространенные проблемы, такие как ошибки при удалении управляемого удостоверения, ошибки 403 и случайное удаление ключей.