你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Use-AipServiceKeyVaultKey
告知 Azure 信息保护在 Azure 密钥保管库中使用客户管理的租户密钥。
语法
Use-AipServiceKeyVaultKey
-KeyVaultKeyUrl <String>
[-FriendlyName <String>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 说明
Use-AipServiceKeyVaultKey cmdlet 告知 Azure 信息保护在 Azure 密钥保管库中使用客户管理的密钥 (BYOK) 。
必须使用 PowerShell 配置租户密钥;无法使用管理门户执行此配置。
可以在激活 Azure Rights Management () 保护服务之前或之后运行此 cmdlet。
运行此 cmdlet 之前,请确保已向 Azure Rights Management 服务主体授予对包含要用于 Azure 信息保护密钥的密钥保管库的权限。 通过运行 Azure 密钥保管库 cmdlet Set-AzKeyVaultAccessPolicy 授予这些权限。
出于安全原因,Use-AipServiceKeyVaultKey cmdlet 不允许在 Azure 密钥保管库中设置或更改密钥的访问控制。 运行 Set-AzKeyVaultAccessPolicy 授予该访问权限后,请运行 Use-AipServiceKeyVaultKey,告知 Azure 信息保护使用使用 KeyVaultKeyUrl 参数指定的密钥和版本。
有关详细信息,请参阅有关选择 Azure 密钥保管库位置的最佳做法。
备注
如果在向密钥保管库授予权限之前运行此 cmdlet,则会看到显示 Rights Management 服务未能添加密钥的错误。
若要查看更多详细信息,请使用 -Verbose 再次运行命令。 如果未授予权限,则会看到 VERBOSE:无法访问 Azure KeyVault。
成功运行命令后,会将密钥添加为组织的 Azure 信息保护存档的客户管理的租户密钥。 若要使其成为 Azure 信息保护的活动租户密钥,必须运行 Set-AipServiceKeyProperties cmdlet。
使用 Azure 密钥保管库集中管理和监视你指定的密钥的使用。 对租户密钥的所有调用都将对组织拥有的密钥保管库进行。 可以使用 Get-AipServiceKeys cmdlet 确认你在密钥保管库中使用哪个密钥。
有关 Azure 信息保护支持的租户密钥类型的详细信息,请参阅规划和实现 Azure 信息保护租户密钥。
有关 Azure Key Vault 的详细信息,请参阅什么是 Azure Key Vault。
示例
示例 1:将 Azure 信息保护配置为在 Azure 密钥保管库中使用客户管理的密钥
PS C:\>Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contoso.vault.azure.net/keys/contoso-aipservice-key/aaaabbbbcccc111122223333"此命令告知 Azure 信息保护在名为 contoso 的密钥保管库中使用名为 contoso-aipservice-key 的密钥(版本 aaaabbbbcccc1111222233333)。
Azure 密钥保管库中的此密钥和版本将成为 Azure 信息保护的客户管理的租户密钥。
参数
-Confirm
提示你在运行 cmdlet 之前进行确认。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Force
强制运行命令而不要求用户确认。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-FriendlyName
指定受信任的发布域 (TPD) 和从 AD RMS 导入的 SLC 密钥的友好名称。
如果用户运行 Office 2016 或 Office 2013,请在“服务器证书”选项卡上为 AD RMS 群集属性指定相同的友好名称值。
此参数是可选的。 如果不使用它,则改用密钥标识符。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-KeyVaultKeyUrl
指定要用于租户密钥的 Azure 密钥保管库中的密钥和版本的 URL。
Azure 信息保护将此密钥用作租户的所有加密操作的根密钥。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-WhatIf
显示在此 cmdlet 运行的情况下将会发生什么。 此 cmdlet 未运行。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |