Azure Bilişsel Arama veri şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma

Azure Bilişsel Arama, hizmet tarafından yönetilen anahtarlarlabekleyen dizinli içeriği otomatik olarak şifreler. Daha fazla koruma gerekiyorsa, Azure Key Vault ' de oluşturduğunuz ve yönettiğiniz anahtarları kullanarak, varsayılan şifrelemeyi ek bir şifreleme katmanıyla birlikte tamamlayabilirsiniz. Bu makale, müşteri tarafından yönetilen anahtar şifrelemesini ayarlama adımlarında size yol gösterir.

Müşteri tarafından yönetilen anahtar şifrelemesi Azure Key Vaultbağımlıdır. Kendi şifreleme anahtarlarınızı oluşturabilir ve bunları bir anahtar kasasında saklayabilir veya şifreleme anahtarları oluşturmak için Azure Key Vault API 'Lerini kullanabilirsiniz. Azure Key Vault ile günlüğe kaydetmeyi etkinleştirirsenizanahtar kullanımını da denetleyebilirsiniz.

Müşteri tarafından yönetilen anahtarlarla şifreleme, bu nesneler oluşturulduğunda tek tek dizinlere veya eş anlamlı haritalara uygulanır ve arama hizmeti düzeyinin kendisi üzerinde belirtilmez. Yalnızca yeni nesneler şifrelenebilir. Zaten var olan içeriği şifrelenemez.

Anahtarların tümünün aynı anahtar kasasında olması gerekmez. Tek bir arama hizmeti, her biri farklı anahtar kasalarında depolanan, her biri kendi müşteri tarafından yönetilen şifreleme anahtarlarıyla şifrelenen birden çok şifrelenmiş dizini veya eş anlamlı haritaları barındırabilirler. Ayrıca, aynı hizmette, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenmemiş dizinler ve eş anlamlı haritalar da olabilir.

Önemli

Müşteri tarafından yönetilen anahtarlar uygularsanız, Anahtar Kasası anahtarlarının rutin olarak dönmesi ve uygulama gizli dizileri ve kaydı Active Directory için katı yordamları izlediğinizden emin olun. Tüm şifrelenmiş içerikleri, eski olanları silmeden önce yeni gizli dizileri ve anahtarları kullanacak şekilde güncelleştirin. Bu adımı kaçırırsanız, içeriğinizin şifresi çözülemez.

Çift şifreleme

Çift şifreleme, müşteri tarafından yönetilen anahtarların (CMK) bir uzantısıdır. İki katlı şifreleme (CMK tarafından bir kez ve hizmet tarafından yönetilen anahtarlar tarafından) ve bir veri diskine yazılan uzun vadeli depolamayı ve geçici disklere yazılan kısa vadeli depolamayı çevreden çok kapsamlı olarak anlamış olduğu anlaşıldı. Yapılandırma gerekli değildir. Nesnelere CMK uyguladığınızda, Çift şifreleme otomatik olarak çağrılır.

Tüm bölgelerde Çift şifreleme kullanılabilir olsa da, destek iki aşamada kullanıma sunulmuştur. İlk çıkış Ağustos 2020 ' de ve aşağıda listelenen beş bölgeyi içeriyordu. İkinci dağıtım 2021, kalan tüm bölgelere genişletilmiş bir çift şifrelemeye sahip olabilir. Daha eski bir hizmette CMK kullanıyorsanız ve çift şifrelemeyi isterseniz, tercih ettiğiniz bölgede yeni bir arama hizmeti oluşturmanız gerekecektir.

Region Hizmet oluşturma tarihi
Batı ABD 2 1 Ağustos 2020 ' den sonra
Doğu ABD 1 Ağustos 2020 ' den sonra
Orta Güney ABD 1 Ağustos 2020 ' den sonra
US Gov Virginia 1 Ağustos 2020 ' den sonra
US Gov Arizona 1 Ağustos 2020 ' den sonra
Desteklenen diğer tüm bölgeler 13 Mayıs 2021 ' den sonra

Önkoşullar

Bu senaryoda aşağıdaki araçlar ve hizmetler kullanılır.

Şifrelenmiş nesneyi oluşturabileceğiniz bir arama uygulamasına sahip olmanız gerekir. Bu koda, bir Anahtar Kasası anahtarına ve Active Directory kayıt bilgilerine başvurabileceksiniz. Bu kod, çalışan bir uygulama veya C# kod örneği DotNetHowToEncryptionUsingCMKgibi prototip kodu olabilir.

İpucu

Şifreleme anahtarı parametresi içeren dizin ve eş anlamlı eşlemeler oluşturan REST API 'Leri çağırmak için Postman, Visual Studio Codeveya Azure PowerShellkullanabilirsiniz. Şu anda dizinlere veya eş anlamlı haritalara anahtar eklemek için bir portal desteği yoktur.

1-anahtar kurtarmayı etkinleştir

Müşteri tarafından yönetilen anahtarlarla şifrelemenin doğası nedeniyle, Azure Anahtar Kasası anahtarınız silinirse hiç kimse verilerinizi alamaz. Yanlışlıkla Key Vault anahtar silmeleri nedeniyle oluşan veri kaybını engellemek için, anahtar kasasında geçici silme ve Temizleme korumasının etkinleştirilmesi gerekir. Geçici silme varsayılan olarak etkindir, bu nedenle yalnızca kasıtlı olarak devre dışı bırakılmışsa sorunlarla karşılaşırsınız. Temizleme koruması varsayılan olarak etkin değildir, ancak Bilişsel Arama ' de müşteri tarafından yönetilen anahtar şifrelemesi için gereklidir. Daha fazla bilgi için bkz. geçici-silme ve Temizleme koruması genel bakış.

Portal, PowerShell veya Azure CLı komutlarını kullanarak her iki özelliği de ayarlayabilirsiniz.

Azure portalını kullanma

  1. Azure Portal oturum açın ve Anahtar Kasası genel bakış sayfasını açın.

  2. Genel bakış sayfasında, temel parçalar altında, geçici silme ve Temizleme korumasını etkinleştirin.

PowerShell'i kullanma

  1. Connect-AzAccountAzure kimlik bilgilerinizi kurmak için ' i çalıştırın.

  2. Anahtar kasanıza bağlanmak ve geçerli bir adla değiştirmek için aşağıdaki komutu çalıştırın <vault_name> :

    $resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "<vault_name>").ResourceId
    
  3. Azure Key Vault, geçici silme etkin ile oluşturulur. Kasanızda devre dışıysa, aşağıdaki komutu çalıştırın:

    $resource.Properties | Add-Member -MemberType NoteProperty -Name "enableSoftDelete" -Value 'true'
    
  4. Temizleme korumasını etkinleştir:

    $resource.Properties | Add-Member -MemberType NoteProperty -Name "enablePurgeProtection" -Value 'true'
    
  5. Güncelleştirmelerinizi kaydedin:

    Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
    

Azure CLI’yı kullanma

  • Azure CLI yüklemenizvarsa, gerekli özellikleri etkinleştirmek için aşağıdaki komutu çalıştırabilirsiniz.

    az keyvault update -n <vault_name> -g <resource_group> --enable-soft-delete --enable-purge-protection
    

2-Key Vault bir anahtar oluşturma

Azure Key Vault ' de bir anahtarınız zaten varsa bu adımı atlayın.

  1. Azure Portal oturum açın ve Anahtar Kasası genel bakış sayfasını açın.

  2. Sol taraftaki tuşları seçin ve + Oluştur/içeri aktar' ı seçin.

  3. Anahtar oluştur bölmesinde, Seçenekler listesinden, anahtar oluşturmak için kullanmak istediğiniz yöntemi seçin. Yeni bir anahtar oluşturabilir , var olan bir anahtarı yükleyebilir veya bir anahtarın yedeğini seçmek için yedekleme geri yükleme ' yi kullanabilirsiniz.

  4. Anahtarınız için bir ad girin ve isteğe bağlı olarak diğer anahtar özelliklerini seçin.

  5. Dağıtımı başlatmak için Oluştur ' u seçin.

  6. Anahtar tanımlayıcısını bir yere, anahtar değer URI 'sinden, anahtar adından ve anahtar sürümünden oluşur. Azure Bilişsel Arama 'de şifrelenmiş bir dizin tanımlamak için tanımlayıcıya ihtiyacınız olacaktır.

    Yeni bir anahtar kasası anahtarı oluştur

3-Active Directory bir uygulamayı kaydetme

  1. Azure Portal, aboneliğiniz için Azure Active Directory kaynağını bulun.

  2. Sol tarafta, Yönet altında, uygulama kayıtları öğesini seçin ve ardından Yeni kayıt' ı seçin.

  3. Kayda, belki de arama uygulaması adına benzer bir ad verin. Kaydet’i seçin.

  4. Uygulama kaydı oluşturulduktan sonra uygulama KIMLIĞINI kopyalayın. Bu dizeyi uygulamanıza sağlamanız gerekir.

    Dotnethowtoencryptionusingcmkaracılığıyla adımladıysanız, bu değeri dosyadaki appsettings.js yapıştırın.

    Temel bileşenler bölümündeki uygulama KIMLIĞI

  5. Ardından, sol taraftaki sertifikalar & parolaları ' nı seçin.

  6. Yeni istemci gizli dizisi’ni seçin. Gizli dizi için bir görünen ad verin ve Ekle' yi seçin.

  7. Uygulama gizli dizesini kopyalayın. Örnek içinde adımlarken, bu değeri dosyadaki appsettings.js yapıştırın.

    Uygulama gizli dizisi

4-anahtar erişim izinleri verme

Bu adımda Key Vault bir erişim ilkesi oluşturacaksınız. Bu ilke, müşteri tarafından yönetilen anahtarınızı kullanmak için Active Directory izinle kaydettiğiniz uygulamayı verir.

Erişim izinleri belirli bir zamanda iptal edilebilir. Bu Anahtar Kasası 'nı kullanan herhangi bir arama hizmeti dizini veya eş anlamlı eşleme, iptal edildikten sonra kullanılamaz hale gelir. Anahtar Kasası erişim izinlerinin daha sonraki bir zamanda geri yüklenmesi, Dizin \ eş anlamlı eşleme erişimini geri yükler. Daha fazla bilgi için bkz. bir anahtar kasasına güvenli erişim.

  1. Hala Azure portal, Anahtar Kasası genel bakış sayfasını açın.

  2. Sol taraftaki erişim ilkelerini seçin ve + erişim ilkesi Ekle' yi seçin.

    Yeni Anahtar Kasası erişim ilkesi Ekle

  3. Sorumlu Seç ' i seçin ve Active Directory kaydettiğiniz uygulamayı seçin. Adına göre arama yapabilirsiniz.

    Anahtar Kasası erişim ilkesi sorumlusunu seçin

  4. Anahtar izinler' de Al, anahtar kaydırmayı kaldır ve anahtarı sarmalama' i seçin.

  5. Gizli izinler' de Al' ı seçin.

  6. Sertifika izinleri' nde Al' ı seçin.

  7. Ekle ' yi ve ardından Kaydet' i seçin.

Önemli

Azure Bilişsel Arama şifrelenmiş içerik, belirli bir sürüme sahip belirli bir Azure Key Vault anahtarı kullanacak şekilde yapılandırılmıştır. Anahtarı veya sürümü değiştirirseniz, önceki key\version. silinmeden önce dizin veya eş anlamlı haritanın yeni key\version kullanacak şekilde güncellenmesi gerekir Bunun başarısız olması, anahtar erişimi kaybolduktan sonra içeriğin şifresini çözemeyecek şekilde dizin veya eş anlamlı haritanın kullanılamamasına neden olur.

5-içerik şifreleyin

Bir dizin, veri kaynağı, Beceri, Dizin Oluşturucu veya eş anlamlı eşleme üzerinde müşteri tarafından yönetilen bir anahtar eklemek için arama REST API veya SDK 'sını kullanmanız gerekir. Portal, eş anlamlı haritalar veya şifreleme özellikleri sunmaz. Geçerli bir API dizinleri kullandığınızda, veri kaynakları, becerileri, Dizin oluşturucular ve eş anlamlı eşlemeler en üst düzey bir encryptionKey özelliğini destekler.

Bu örnek, Azure Key Vault ve Azure Active Directory değerleri ile REST API kullanır:

{
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Not

Bu Anahtar Kasası ayrıntılarının hiçbiri gizli kabul edilmez ve Azure portal ' deki ilgili Azure Key Vault anahtarı sayfasına göz atarak kolayca alınabilir.

Örnek: Dizin şifreleme

Create INDEX Azure Bilişsel Arama REST APIkullanarak şifrelenmiş bir dizin oluşturun. encryptionKeyKullanılacak şifreleme anahtarını belirtmek için özelliğini kullanın.

Not

Bu Anahtar Kasası ayrıntılarının hiçbiri gizli kabul edilmez ve Azure portal ' deki ilgili Azure Key Vault anahtarı sayfasına göz atarak kolayca alınabilir.

REST örnekleri

Bu bölümde, şifrelenmiş bir dizin ve eş anlamlı eşleme için tam JSON gösterilmektedir

Dizin şifreleme

Burada tek fark, Dizin tanımının bir parçası olarak şifreleme anahtarı ayrıntılarını belirten Dizin oluşturma (REST API)yolunda yeni bir REST API dizin oluşturma ayrıntılarından bulunabilir:

{
 "name": "hotels",
 "fields": [
  {"name": "HotelId", "type": "Edm.String", "key": true, "filterable": true},
  {"name": "HotelName", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": true, "facetable": false},
  {"name": "Description", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "en.lucene"},
  {"name": "Description_fr", "type": "Edm.String", "searchable": true, "filterable": false, "sortable": false, "facetable": false, "analyzer": "fr.lucene"},
  {"name": "Category", "type": "Edm.String", "searchable": true, "filterable": true, "sortable": true, "facetable": true},
  {"name": "Tags", "type": "Collection(Edm.String)", "searchable": true, "filterable": true, "sortable": false, "facetable": true},
  {"name": "ParkingIncluded", "type": "Edm.Boolean", "filterable": true, "sortable": true, "facetable": true},
  {"name": "LastRenovationDate", "type": "Edm.DateTimeOffset", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Rating", "type": "Edm.Double", "filterable": true, "sortable": true, "facetable": true},
  {"name": "Location", "type": "Edm.GeographyPoint", "filterable": true, "sortable": true},
 ],
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Artık dizin oluşturma isteğini gönderebilir ve sonra dizini normal olarak kullanmaya başlayabilirsiniz.

Eş anlamlı eşleme şifrelemesi

Eş anlamlı eşleme oluşturma Azure Bilişsel Arama REST APIkullanarak şifrelenmiş bir eş anlamlı eşleme oluşturun. encryptionKeyKullanılacak şifreleme anahtarını belirtmek için özelliğini kullanın.

{
  "name" : "synonymmap1",
  "format" : "solr",
  "synonyms" : "United States, United States of America, USA\n
  Washington, Wash. => WA",
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Artık eş anlamlı harita oluşturma isteğini gönderebilir ve normal olarak kullanmaya başlayabilirsiniz.

Örnek: veri kaynağı şifrelemesi

Veri kaynağını oluştur (Azure Bilişsel Arama REST API)kullanarak şifrelenmiş bir veri kaynağı oluşturun. encryptionKeyKullanılacak şifreleme anahtarını belirtmek için özelliğini kullanın.

{
  "name" : "datasource1",
  "type" : "azureblob",
  "credentials" :
  { "connectionString" : "DefaultEndpointsProtocol=https;AccountName=datasource;AccountKey=accountkey;EndpointSuffix=core.windows.net"
  },
  "container" : { "name" : "containername" },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Artık veri kaynağı oluşturma isteğini gönderebilir ve normal olarak kullanmaya başlayabilirsiniz.

Örnek: beceri şifreleme

Create beceri Azure Bilişsel Arama REST APIkullanarak şifrelenmiş bir beceri oluşturun. encryptionKeyKullanılacak şifreleme anahtarını belirtmek için özelliğini kullanın.

{
  "name" : "datasource1",
  "type" : "azureblob",
  "credentials" :
  { "connectionString" : "DefaultEndpointsProtocol=https;AccountName=datasource;AccountKey=accountkey;EndpointSuffix=core.windows.net"
  },
  "container" : { "name" : "containername" },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Artık beceri oluşturma isteğini gönderebilir ve normal olarak kullanmaya başlayabilirsiniz.

Örnek: Dizin Oluşturucu şifreleme

Create Indexer Create Azure Bilişsel Arama REST APIkullanarak şifrelenmiş bir Dizin Oluşturucu oluşturun. encryptionKeyKullanılacak şifreleme anahtarını belirtmek için özelliğini kullanın.

{
  "name": "indexer1",
  "dataSourceName": "datasource1",
  "skillsetName": "skillset1",
  "parameters": {
      "configuration": {
          "imageAction": "generateNormalizedImages"
      }
  },
  "encryptionKey": {
    "keyVaultUri": "https://demokeyvault.vault.azure.net",
    "keyVaultKeyName": "myEncryptionKey",
    "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660",
    "accessCredentials": {
      "applicationId": "00000000-0000-0000-0000-000000000000",
      "applicationSecret": "myApplicationSecret"
    }
  }
}

Artık Dizin Oluşturucu oluşturma isteğini gönderebilir ve normal olarak kullanmaya başlayabilirsiniz.

Önemli

encryptionKeyMevcut arama dizinlerine veya eş anlamlı haritalara eklenemediğinden, üç Anahtar Kasası ayrıntılarının (örneğin, anahtar sürümünü güncelleştirme) her biri için farklı değerler sağlanarak güncelleştirilebilirler. Yeni bir Key Vault anahtarına veya yeni bir anahtar sürümüne geçiş yaparken, önce anahtarı kullanan herhangi bir arama dizini veya eş anlamlı eşleme, önceki key\version. silinmeden önce yeni key\version kullanacak şekilde güncellenmelidir Bunun başarısız olması, anahtar erişimi kaybolduktan sonra içeriğin şifresini çözemeyeceği için dizin veya eş anlamlı haritanın kullanılamaz hale gelmesine neden olur. Anahtar Kasası erişim izinlerinin daha sonraki bir zamanda geri yüklenmesi, içerik erişimini geri yükler.

Daha basit alternatif: Güvenilen hizmet

Kiracı yapılandırmasına ve kimlik doğrulama gereksinimlerine bağlı olarak, bir Anahtar Kasası anahtarına erişmenin daha basit bir yaklaşımını uygulayabilirsiniz. Bir Active Directory uygulaması oluşturmak ve kullanmak yerine, sistem tarafından yönetilen bir kimliği etkinleştirerek bir arama hizmetini güvenilir bir hizmet yapabilirsiniz. Ardından, Anahtar Kasası anahtarına erişmek için, güvenilir arama hizmetini, AD ile kaydedilmiş bir uygulama yerine bir güvenlik ilkesi olarak kullanacaksınız.

Bu yaklaşım, uygulama kaydı ve uygulama gizli dizileri için adımları atlamanızı sağlar ve yalnızca Anahtar Kasası bileşenleri (URI, kasa adı, anahtar sürümü) için bir şifreleme anahtarı tanımını basitleştirir.

Genel olarak, yönetilen bir kimlik kimlik bilgilerini kodda (ApplicationSecret veya ApplicationSecret) depolamadan Azure Key Vault kimlik doğrulaması yapmasına olanak sağlar. Bu tür yönetilen kimliğin yaşam döngüsü, yalnızca tek bir yönetilen kimliğe sahip olabilen arama hizmetinizin yaşam döngüsüne bağlıdır. Yönetilen kimliklerin nasıl çalıştığı hakkında daha fazla bilgi için bkz. Azure kaynakları için Yönetilen kimlikler.

  1. Arama hizmetinizi güvenilir bir hizmet yapın. Sistem tarafından atanan yönetilen kimliği aç

  2. Azure Key Vault bir erişim ilkesi ayarlarken, ilke olarak güvenilir arama hizmetini seçin (AD-kayıtlı uygulama yerine). Erişim anahtarı izinleri verme adımında belirtildiği gibi aynı izinleri (birden fazla alma, SARMALAMA, GERI saral) atayın.

  3. Active Directory özelliklerini atladığında, Basitleştirilmiş bir oluşturma kullanın encryptionKey .

    {
      "encryptionKey": {
        "keyVaultUri": "https://demokeyvault.vault.azure.net",
        "keyVaultKeyName": "myEncryptionKey",
        "keyVaultKeyVersion": "eaab6a663d59439ebb95ce2fe7d5f660"
      }
    }
    

Bu basitleştirilmiş yaklaşımı benimsemeye engel olacak koşullar şunlardır:

  • Anahtar kasasına doğrudan arama hizmeti erişim izinleri verilemez (örneğin, arama hizmeti, Azure Key Vault farklı bir Active Directory kiracısında ise).

  • Tek bir arama hizmeti, her anahtar kasasının kimlik doğrulaması için farklı bir kimlik kullanması gereken farklı bir anahtar kasasından farklı bir anahtar kullanan birden çok şifrelenmiş ındexes\eş anlamlı haritaları barındırmak için gereklidir. Bir arama hizmeti yalnızca tek bir yönetilen kimliğe sahip olabileceğinden, birden çok kimlik için bir gereksinim, senaryonuza yönelik Basitleştirilmiş yaklaşımı ayırt edebilir.

Şifrelenmiş içerikle çalışma

Müşteri tarafından yönetilen anahtar şifrelemesi sayesinde, ek şifreleme/şifre çözme işi nedeniyle hem dizin oluşturma hem de sorgular için gecikme fark edeceksiniz. Azure Bilişsel Arama şifreleme etkinliğini günlüğe almaz, ancak Anahtar Kasası günlüğü aracılığıyla anahtar erişimini izleyebilirsiniz. Anahtar Kasası yapılandırmasının bir parçası olarak günlük kaydını etkinleştirmenizi öneririz.

Anahtar dönüşünün zaman içinde oluşması beklenmektedir. Anahtarları her döndürdüğünüzde, bu sırayı izlemeniz önemlidir:

  1. Bir dizin veya eş anlamlı eşleme tarafından kullanılan anahtarı belirleme.
  2. Anahtar Kasası 'nda yeni bir anahtar oluşturun, ancak özgün anahtarı kullanılabilir olarak bırakın.
  3. Yeni değerleri kullanmak için bir dizin veya eş anlamlı haritadaki encryptionKey özelliklerini güncelleştirin . Yalnızca bu özellikle oluşturulan nesneler, farklı bir değer kullanacak şekilde güncelleştirilemeyebilir.
  4. Anahtar kasasındaki önceki anahtarı devre dışı bırakın veya silin. Yeni anahtarın kullanıldığını doğrulamak için anahtar erişimini izleyin.

Performans nedenleriyle, arama hizmeti anahtarı birkaç saate kadar önbelleğe alır. Anahtarı yeni bir sağlamadan devre dışı bırakır veya silerseniz, sorgular önbelleğin süresi dolana kadar geçici olarak çalışmaya devam edecektir. Ancak, arama hizmeti içeriğin şifresini çözemeyecek şekilde şu iletiyi alırsınız: "erişim yasak. Kullanılan sorgu anahtarı iptal edilmiş olabilir, lütfen yeniden deneyin. "

Sonraki adımlar

Azure Güvenlik mimarisi hakkında bilginiz varsa, Azure Güvenlik belgelerinigözden geçirin ve özellikle bu makalede: