Müşteri tarafından yönetilen anahtarı döndürme ve iptal etme
Bu makale, dört bölümlü bir öğretici serisinin üçüncü bölümüdür. Birinci bölüm , kayıt defterinizde etkinleştirmeden önce müşteri tarafından yönetilen anahtarlara, bunların özelliklerine ve dikkat edilmesi gerekenlere genel bir bakış sağlar. İkincisi bölümünde Azure CLI, Azure portal veya Azure Resource Manager şablonu kullanarak müşteri tarafından yönetilen anahtarı etkinleştirmeyi öğreneceksiniz. Bu makalede, müşteri tarafından yönetilen bir anahtarı döndürme, güncelleştirme ve iptal etme konusunda size yol gösterilmektedir.
Müşteri tarafından yönetilen anahtarı döndürme
Anahtarı döndürmek için Azure Key Vault anahtar sürümünü güncelleştirebilir veya yeni bir anahtar oluşturabilirsiniz. Anahtarı döndürürken, kayıt defterini oluşturmak için kullandığınız kimlikle aynı kimliği belirtebilirsiniz.
İsteğe bağlı olarak şunları da yapabilirsiniz:
- Anahtara erişmek için kullanıcı tarafından atanan yeni bir kimlik yapılandırın.
- Kayıt defterinin sistem tarafından atanan kimliğini etkinleştirin ve belirtin.
Not
Kayıt defterinin sistem tarafından atanan kimliğini portalda etkinleştirmek için Ayarlar>Kimliği'ni seçin ve sistem tarafından atanan kimliğin durumunu Açık olarak ayarlayın.
Anahtar erişimi için yapılandırdığınız kimlik için gerekli anahtar kasası erişiminin ayarlandığından emin olun.
Azure CLI kullanarak anahtar sürümünü oluşturma veya güncelleştirme
Yeni bir anahtar sürümü oluşturmak için az keyvault key create komutunu çalıştırın:
# Create new version of existing key
az keyvault key create \
--name <key-name> \
--vault-name <key-vault-name>
Kayıt defterini anahtar sürümü güncelleştirmelerini algıacak şekilde yapılandırdığınızda, müşteri tarafından yönetilen anahtar bir saat içinde otomatik olarak güncelleştirilir.
Kayıt defterini yeni bir anahtar sürümü için el ile güncelleştirme için yapılandırdıysanız az-acr-encryption-rotate-key komutunu çalıştırın. Yeni anahtar kimliğini ve yapılandırmak istediğiniz kimliği geçirin.
İpucu
komutunu çalıştırdığınızda az-acr-encryption-rotate-key
, sürümlenmiş bir anahtar kimliği veya çevrilmemiş bir anahtar kimliği geçirebilirsiniz. Tersine çevrilmemiş bir anahtar kimliği kullanırsanız, kayıt defteri daha sonraki anahtar sürümü güncelleştirmelerini otomatik olarak algılamak üzere yapılandırılır.
Müşteri tarafından yönetilen bir anahtar sürümünü el ile güncelleştirmek için iki seçeneğiniz vardır:
Anahtarı döndürün ve kullanıcı tarafından atanan bir kimlik kullanın.
Anahtarı farklı bir anahtar kasasından kullanıyorsanız, bu anahtar kasası üzerinde
get
,wrap
veunwrap
izinlerine sahip olduğunuprincipal-id-user-assigned-identity
doğrulayın.az acr encryption rotate-key \ --name <registry-name> \ --key-encryption-key <new-key-id> \ --identity <principal-id-user-assigned-identity>
Anahtarı döndürün ve sistem tarafından atanan bir kimlik kullanın.
Sistem tarafından atanan kimliği kullanmadan önce ,
wrap
veunwrap
izinlerinin bu kimliğe atandığınıget
doğrulayın.az acr encryption rotate-key \ --name <registry-name> \ --key-encryption-key <new-key-id> \ --identity [system]
Azure portal kullanarak anahtar sürümünü oluşturma veya güncelleştirme
Müşteri tarafından yönetilen bir anahtarın anahtar kasasını, anahtarını veya kimlik ayarlarını güncelleştirmek için kayıt defterinin Şifreleme ayarlarını kullanın.
Örneğin, yeni bir anahtar yapılandırmak için:
Portalda kayıt defterinize gidin.
Ayarlar'ın altında Şifreleme>Anahtarı Değiştir'i seçin.
Şifreleme'de aşağıdaki seçeneklerden birini belirleyin:
- Key Vault seç'i seçin ve ardından mevcut bir anahtar kasası ve anahtarı seçin veya Yeni oluştur'u seçin. Seçtiğiniz anahtar değiştirilmez ve otomatik anahtar döndürmeyi etkinleştirir.
- Anahtar URI'sini girin'i seçin ve doğrudan bir anahtar tanımlayıcısı sağlayın. Sürümlü anahtar URI'si (el ile döndürülmesi gereken bir anahtar için) veya ters çevrilmemiş bir anahtar URI'si (otomatik anahtar döndürmeyi etkinleştirir) sağlayabilirsiniz.
Anahtar seçimini tamamlayın ve kaydet'i seçin.
Müşteri tarafından yönetilen anahtarı iptal etme
Erişim ilkesini değiştirerek, anahtar kasasındaki izinleri değiştirerek veya anahtarı silerek müşteri tarafından yönetilen bir şifreleme anahtarını iptal edebilirsiniz.
Kayıt defterinizin kullandığı yönetilen kimliğin erişim ilkesini değiştirmek için az-keyvault-delete-policy komutunu çalıştırın:
az keyvault delete-policy \
--resource-group <resource-group-name> \
--name <key-vault-name> \
--object-id <key-vault-key-id>
Bir anahtarın tek tek sürümlerini silmek için az-keyvault-key-delete komutunu çalıştırın. Bu işlem anahtarlar/silme izni gerektirir.
az keyvault key delete \
--name <key-vault-name> \
--
--object-id $identityPrincipalID \
Not
Müşteri tarafından yönetilen anahtarın iptali, tüm kayıt defteri verilerine erişimi engeller. Anahtara erişimi etkinleştirir veya silinen bir anahtarı geri yüklerseniz, kayıt defteri anahtarı seçer ve şifrelenmiş kayıt defteri verilerine erişim denetimini yeniden kazanabilirsiniz.
Sonraki adımlar
Yönetilen kimliği kaldırırken karşılaşılan hatalar, 403 hataları ve yanlışlıkla anahtar silme işlemleri gibi yaygın sorunları gidermek için sonraki makaleye ilerleyin.