Aracılığıyla paylaş

Müşteri tarafından yönetilen anahtarı döndürme ve iptal etme

  • Makale

Bu makale, dört bölümlü bir öğretici serisinin üçüncü bölümüdür. Birinci bölüm , kayıt defterinizde etkinleştirmeden önce müşteri tarafından yönetilen anahtarlara, bunların özelliklerine ve dikkat edilmesi gerekenlere genel bir bakış sağlar. İkincisi bölümünde Azure CLI, Azure portal veya Azure Resource Manager şablonu kullanarak müşteri tarafından yönetilen anahtarı etkinleştirmeyi öğreneceksiniz. Bu makalede, müşteri tarafından yönetilen bir anahtarı döndürme, güncelleştirme ve iptal etme konusunda size yol gösterilmektedir.

Müşteri tarafından yönetilen anahtarı döndürme

Anahtarı döndürmek için Azure Key Vault anahtar sürümünü güncelleştirebilir veya yeni bir anahtar oluşturabilirsiniz. Anahtarı döndürürken, kayıt defterini oluşturmak için kullandığınız kimlikle aynı kimliği belirtebilirsiniz.

İsteğe bağlı olarak şunları da yapabilirsiniz:

  • Anahtara erişmek için kullanıcı tarafından atanan yeni bir kimlik yapılandırın.
  • Kayıt defterinin sistem tarafından atanan kimliğini etkinleştirin ve belirtin.

Not

Kayıt defterinin sistem tarafından atanan kimliğini portalda etkinleştirmek için Ayarlar>Kimliği'ni seçin ve sistem tarafından atanan kimliğin durumunu Açık olarak ayarlayın.

Anahtar erişimi için yapılandırdığınız kimlik için gerekli anahtar kasası erişiminin ayarlandığından emin olun.

Azure CLI kullanarak anahtar sürümünü oluşturma veya güncelleştirme

Yeni bir anahtar sürümü oluşturmak için az keyvault key create komutunu çalıştırın:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Kayıt defterini anahtar sürümü güncelleştirmelerini algıacak şekilde yapılandırdığınızda, müşteri tarafından yönetilen anahtar bir saat içinde otomatik olarak güncelleştirilir.

Kayıt defterini yeni bir anahtar sürümü için el ile güncelleştirme için yapılandırdıysanız az-acr-encryption-rotate-key komutunu çalıştırın. Yeni anahtar kimliğini ve yapılandırmak istediğiniz kimliği geçirin.

İpucu

komutunu çalıştırdığınızda az-acr-encryption-rotate-key, sürümlenmiş bir anahtar kimliği veya çevrilmemiş bir anahtar kimliği geçirebilirsiniz. Tersine çevrilmemiş bir anahtar kimliği kullanırsanız, kayıt defteri daha sonraki anahtar sürümü güncelleştirmelerini otomatik olarak algılamak üzere yapılandırılır.

Müşteri tarafından yönetilen bir anahtar sürümünü el ile güncelleştirmek için iki seçeneğiniz vardır:

  • Anahtarı döndürün ve kullanıcı tarafından atanan bir kimlik kullanın.

    Anahtarı farklı bir anahtar kasasından kullanıyorsanız, bu anahtar kasası üzerinde get, wrapve unwrap izinlerine sahip olduğunu principal-id-user-assigned-identity doğrulayın.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <principal-id-user-assigned-identity>

  • Anahtarı döndürün ve sistem tarafından atanan bir kimlik kullanın.

    Sistem tarafından atanan kimliği kullanmadan önce , wrapve unwrap izinlerinin bu kimliğe atandığını getdoğrulayın.

    az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Azure portal kullanarak anahtar sürümünü oluşturma veya güncelleştirme

Müşteri tarafından yönetilen bir anahtarın anahtar kasasını, anahtarını veya kimlik ayarlarını güncelleştirmek için kayıt defterinin Şifreleme ayarlarını kullanın.

Örneğin, yeni bir anahtar yapılandırmak için:

  1. Portalda kayıt defterinize gidin.

  2. Ayarlar'ın altında Şifreleme>Anahtarı Değiştir'i seçin.

    Azure portal şifreleme anahtarı seçeneklerinin ekran görüntüsü.

  3. Şifreleme'de aşağıdaki seçeneklerden birini belirleyin:

    • Key Vault seç'i seçin ve ardından mevcut bir anahtar kasası ve anahtarı seçin veya Yeni oluştur'u seçin. Seçtiğiniz anahtar değiştirilmez ve otomatik anahtar döndürmeyi etkinleştirir.
    • Anahtar URI'sini girin'i seçin ve doğrudan bir anahtar tanımlayıcısı sağlayın. Sürümlü anahtar URI'si (el ile döndürülmesi gereken bir anahtar için) veya ters çevrilmemiş bir anahtar URI'si (otomatik anahtar döndürmeyi etkinleştirir) sağlayabilirsiniz.

  4. Anahtar seçimini tamamlayın ve kaydet'i seçin.

Müşteri tarafından yönetilen anahtarı iptal etme

Erişim ilkesini değiştirerek, anahtar kasasındaki izinleri değiştirerek veya anahtarı silerek müşteri tarafından yönetilen bir şifreleme anahtarını iptal edebilirsiniz.

Kayıt defterinizin kullandığı yönetilen kimliğin erişim ilkesini değiştirmek için az-keyvault-delete-policy komutunu çalıştırın:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Bir anahtarın tek tek sürümlerini silmek için az-keyvault-key-delete komutunu çalıştırın. Bu işlem anahtarlar/silme izni gerektirir.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Not

Müşteri tarafından yönetilen anahtarın iptali, tüm kayıt defteri verilerine erişimi engeller. Anahtara erişimi etkinleştirir veya silinen bir anahtarı geri yüklerseniz, kayıt defteri anahtarı seçer ve şifrelenmiş kayıt defteri verilerine erişim denetimini yeniden kazanabilirsiniz.

Sonraki adımlar

Yönetilen kimliği kaldırırken karşılaşılan hatalar, 403 hataları ve yanlışlıkla anahtar silme işlemleri gibi yaygın sorunları gidermek için sonraki makaleye ilerleyin.